LINUX.ORG.RU

Intel TXT

 , , ,


0

2

Нашёл у себя в BIOS такую опцию. Читаю про неё, читаю, но понимание не приходит. Прочитал и на сайте Intel пару статей о сабже, но везде какая-то не то что протеворечивая информация, а не имеющая ничего общего. Из одного места у меня сложилось впечатление, что сабж дополнительно укрепляет виртуальные машины, чтобы то, что внутри, не могло из них выбраться. Из другого - что сабж проводит проверку BIOS и всего прочего перед загрузкой ОС.

Остаются невыясненными следующие вопросы - Что это такое? Зачем оно нужно? Нужно ли оно на домашнем компьютере? В каких случаях оно может понадобиться?

Пожалуйста, помогите. Заранее спасибо.

★★

Ответ на: комментарий от GGUseR

Я правильно понимаю, что эта сущность фиксирует хардварный/софтварный состав системы и впредь позволяет грузить только такой набор, для изменения требуется перенастройка?

Valdor ★★ ()

Представляет собой скорее не средство доверенной загрузки, а защиту ресурсов любых отдельных приложений на аппаратном уровне в целом.

Тут скорее оно не дает одному процессу залезть в адресное пространство другого. У меня тоже есть оно (Core i5-2500), полезная штука, включил поддержку в ядре. Может защитить от некоторых сплойтов.

Meyer ★★★★★ ()

intel
безопасность

взаимоисключающие параграфы

anonymous ()

Что это такое?

Троян от АНБ, естественно.

Зачем оно нужно?

Для внедрения зонда.

anonymous ()
Ответ на: комментарий от Meyer

Грепнул конфиг ядра на предмет TXT:

CONFIG_HAVE_INTEL_TXT=y
# CONFIG_INTEL_TXT is not set
Неочевидно, что бы это значило. extract-ikconfig не экстрактит, а Debian в /proc/config.gz запущенные конфиг не пишет.

То есть, в принципе, это - инструментарий, который можно использовать для Доверенной загрузки, а можно просто включить и он несколько укрепит систему?

И ещё - от чего это может защитить? Если она изолирует пространство памяти процессов, то ясно, что один процесс к другому не влезет. А что насчёт виртуалок? О них было много сказано, но мне не ясно - она защищает от залезания из Хоста в Виртуалку или наоборот? И будет ли она защищать (адресное пространство, блаблабла) без tboot? Известно, что tboot нужен как раз для верификации всего софта/железа, а без него будет ли эта сущность выполнять свою второстепенную функцию?

Valdor ★★ ()
Последнее исправление: Valdor (всего исправлений: 1)
Ответ на: комментарий от Valdor

На счет «доверенной» загрузки не знаю, но эта штука вроде изолирует процессы друг от друга.

Meyer ★★★★★ ()
Ответ на: комментарий от Valdor

Насколько я понимаю, Intel Trusted Execution Technology изолирует отдельные процессы в полностью обособленной среде исполнения (Trusted Platform Module). Это может применяться для DRM, защиты данных пользователя (от других обывателей, но не от АНБ) и т.п.

proud_anon ★★★★★ ()
Последнее исправление: proud_anon (всего исправлений: 1)
Ответ на: комментарий от Meyer

не дает одному процессу залезть в адресное пространство другого

ядро так работает и без этой фигни. зачем она нужна?

anonymous ()
Ответ на: комментарий от proud_anon

Я тоже что-то такое слышал, но, блин: http://i.imgur.com/ceICJPt.png

Intel Trusted Execution Technology (Intel TXT, formerly known as LaGrande Technology) is the name of a computer hardware technology whose primary goals are:


    Attestation of the authenticity of a platform and its operating system.


    Assuring that an authentic operating system starts in a trusted environment, which can then be considered trusted.


    Providing of a trusted operating system with additional security capabilities not available to an unproven one.



Intel TXT uses a Trusted Platform Module (TPM) and cryptographic techniques to provide measurements of software and platform components so that system software as well as local and remote management applications may use those measurements to make trust decisions. This technology is based on an industry initiative by the Trusted Computing Group (TCG) to promote safer computing. It defends against software-based attacks aimed at stealing sensitive information by corrupting system and/or BIOS code, or modifying the platform's configuration.

Здесь исключительно о проверке целостности/доверенности компонентов. Как будто речь о двух разных технологиях.

Valdor ★★ ()
Последнее исправление: Valdor (всего исправлений: 2)
Ответ на: комментарий от Meyer

защищёный режим x86 — тоже аппаратный. так зачем нужен этот txt?

anonymous ()
Ответ на: комментарий от Valdor

А ты задайся вопросом: как именно будет проверяться аутентичность операционной системы и что такое «trusted environment»? А ещё почитай, что такое Trusted Platform Module.

proud_anon ★★★★★ ()
Ответ на: комментарий от proud_anon

Я ознакомился. У меня такие ощущения - все упирается в хардварный чип, который считается доверенным, и, начиная с него, проводится проверка последовательно всего по ходу загрузки системы.

Короче - если я эту вещь включу в БИОС, но не буду настраивать (tboot и все такое), то это принесет какой-нибудь профит?

Valdor ★★ ()

Слово «trusted» здесь означает, что ты доверяешь АНБ.

anonymous ()

Конечная цель подобных говнотехнологий - запретить софт без троянов АНБ, в том числе весь самодельный.

anonymous ()
Ответ на: комментарий от Valdor

Короче - если я эту вещь включу в БИОС, но не буду настраивать (tboot и все такое), то это принесет какой-нибудь профит?

Я думаю, что нет. Если у тебя ни одна программа не подписана и не умеет с этим работать, откуда взяться профиту? Но не уверен.

proud_anon ★★★★★ ()
Ответ на: комментарий от proud_anon

Я ещё-ещё почитал. Суть там сугубо в подписях и в том, чтобы никто не прокрался в виртуалку. В моём юзкейсе - бесполезно.

Valdor ★★ ()
Ответ на: комментарий от Valdor

Intel vPro, ASrock MB, Xeon-ны, 5520 продолжать, ? А, оно надо?

anonymous ()
Ответ на: комментарий от Valdor

Неочевидно, что бы это значило.

Конечно, очевидно, что CONFIG_HAVE_INTEL_TXT=y

Deleted ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.