Что за TPM дурацкий?

systemd-boot

Это опциональный компонент. А Windows - это вся платформа. Как бы разница есть.

Ну то есть элементарно можно будет лишить меня доступа ко всему, в непредсказуемый момент времени.

Что значит «можно будет» и «в непредсказуемый момент времени»? TPM сам сбросится что ли, по настроению?

То же самое можно сказать про UEFI, AES-NI, 64-битные системы, AVX, TLS, ACPI, x87. Когда-то их массово не было, и приложения/ОС не требовали их наличия.

Тут такая штука, что приложения и ОС и сейчас их в основном не требуют, если не используется соответствующий функционал. Некоторые вещи конечно просто устаревают, но это естественный процесс.

Гораздо проще продать пользователю Windows 11, сказав, что «теперь BitLocker защищает ваши данные ещё надёжнее».

Да он и раньше мог использовать TPM. Зачем делать его обязательным, если юзеру он нафиг не нужен, битлокер не нужен и комп, допустим просто пускалка для игр или офисная машинка, где ничего чувствительного для владельца практически нет.

Нет, злоумышленник сбросит.

Если у злоумышленника задача лишить тебя данных, то он может просто форматнуть твой диск.

Новых угроз тут нет.

Ну как это нет. Сейчас у меня от формата диска доступ никуда не пропадет вообще. Если все завязать на TPM то мне пока не понятно, как решается эта проблема.

Понятно. Но это все звучит как чисто серверная технология. Зачем же винду на это завязали - вообще непонятно.

Нифига тебе не понятно. Это звучит как технология, давно уже использующаяся в каждом корпоративном ноутбуке.

Я вообще не понял, что ты здесь сказал. Какой «доступ»? Что «всё завязать»?

Возможно, но причем я к корпоративным ноутбукам? Все на свете - пользователи корпоративных ноутбуков?

А почему всем военные ноутбуки не выдать? Там тоже технологии интересные есть. Давай на них винду, обычную Home, завяжем?

Что непонятного, сейчас все в облаке и форматирование диска на сохранность паролей и доступа по ним не влияет.

Если ключи зашить в TPM, завязаться на это, типа безопаснее, а потом их сбросят? То что?

Какие «ключи зашить»? Ты приписываешь мне какие-то тезисы, которые я не говорил, а потом героически их опровергаешь (при этом не называя сами тезисы).

Ты боишься, что злоумышленник придёт, форматнёт тебе TPM и ты потеряешь доступ к данным, т. к. ключ шифрования хранится в нём. Но тот же злоумышленник может просто форматнуть тебе диск, если перед ним стоит такая задача. Всё. Какие-то «ключи от облаков» это ты уже сам себе придумал.

Но тот же злоумышленник может просто форматнуть тебе диск.

Ну хорошо, в принципе так и есть.

Но тогда что дает мне TPM? Выяснили, что вреда больше не будет. А пользы?

Полнодисковое шифрование без пароля. Вход в систему по короткому коду. Secure/encrypted by default.

Ну давай посмотрим, какой процент пользователей шифрует диск сейчас. Может я один такой с незашифрованным?

Зачем же винду на это завязали - вообще непонятно

Вмешалась вирусня в систему -> все пароли недоступны, пока не вытравишь.

Ну ты вообще не можешь сложить два и два?

Ты у меня спрашиваешь: зачем. Я отвечаю: чтобы было secure by default, прозрачно для пользователя. Ты возражаешь: а кто сейчас так делает!

Никто, потому что нужно специально этим заниматься. Сабж для того, чтобы система могла всё что ей нужно шифровать самостоятельно.

Вообще битлокер, конечно же, не единственный пример, зачем нужен TPM. Но самый показательный.

Погоди, так мне же вон выше пишут, что все равно двухфакторная авторизация при загрузке системы потребуется. То есть пароль из головы все равно нужен.

В случае использования TPM можно проверить, что все критические компоненты (в т.ч. initramfs) целые, и только тогда расшифровывать диск с использованием двух факторов - парольной фразы из головы пользователя и ключа из TPM.

Я и без TPM могу диск зашифровать с паролем из головы.

Полностью без участия пользователя нет смысла шифровать же, злоумышленник включит ноут а там все само расшифровалось. И что?

Погоди, так мне же вон выше пишут, что все равно двухфакторная авторизация при загрузке системы потребуется. То есть пароль из головы все равно нужен.

Ты сам мне только что загонял про отпечатки.

Суть в том, что с TPM второй фактор может быть совершенно разным (PIN-код, криптостойкость которого ни на что не влияет; отпечаток; скан хлебала; и т. п.). В отличие от парольной фразы, он не используется для криптографических операций напрямую.

С TPM второй фактор может быть совершенно разным (PIN-код, криптостойкость которого ни на что не влияет; отпечаток; скан хлебала; и т. п.).

Ну понятно, но это же не «прозрачно для пользователя». Это не более прозрачно чем тупо зашифровать диск без всякого TPM. По твоим словам, этого никто не делает потому что нужны телодвижения. Так получается, и с TPM нужны такие же телодвижения. Что он дает тогда?

Пока я понял только что дает защиту от подмены initramfs при физическом доступе к компьютеру. Это угроза конечно, но какая-то совсем эфемерная.

Отойдешь от ноута - и сразу гопник со специально под твой дистрибутив подготовленной initramfs на флешке подскочит.

Возможно, но причем я к корпоративным ноутбукам?

А причем linux.org.ru к Windows 11?

При том что тут виндузятников треть. А остальные дуалбутчики.

Ну понятно, но это же не «прозрачно для пользователя»

Это не более прозрачно чем тупо зашифровать диск без всякого TPM

Гораздо более. Чтобы зашифровать диск без всякого TPM, нужна парольная фраза, она должна быть криптостойкой (длинной), её нужно вводить страшными белыми буковками на чёрном фоне (до запуска ОС), если ты её протерял, то автоматически можешь говорить данным «досвидос». TPM позволяет отделить криптостойкость от второго фактора.

Пока я понял только что дает защиту от подмены initramfs при физическом доступе к компьютеру.

Для этого никакой TPM не нужен, достаточно Secure Boot.

Я все равно не догоняю. Ну сделали вместо криптостойкой фразы короткий пин-код. Злоумышленник берет и подбирает этот пин код. Как от этого спасает TPM?

Я все равно не догоняю

Да я вижу, что ты не догоняешь.

Злоумышленник берет и подбирает этот пин код. Как от этого спасает TPM?

От этого спасёт тот, кто этот пин-код проверяет. Т. к. непосредственно пин-кодом ничего не шифруется, правила его проверки диктуются не законами физики и математики, а программно. Говоря более простыми словами, можно, например, давать не более 3 попыток в полчаса, а после 10 неудачных всё стирать к такой-то матери.

Теперь понятно.

Вообще битлокер, конечно же, не единственный пример, зачем нужен TPM. Но самый показательный.

Вангую, что это требование необходимо или для копирастии и/или для дальнейшей отвязки права юзера распоряжаться данными на своей системе.

т. к. непосредственно пин-кодом ничего не шифруется

Да вроде как и так ничего уже давно самой парольной фразой не шифруется.

давать не более 3 попыток в полчаса

Немного некорректно, наверное, сравнивать, но та же vera отнюдь не моментально открывается после ввода пароля. Т.е. если о брутфорсе, то он шансов ни там ни там.

Ещё раз для полной ясности: если я полью ноут с TPM водой и TPM чип позеленел, то всё, можно с чистым сердцем сразу диск форматировать без лишних страданий? Так?

Это что, новый способ майкрософта насадить всех на кукан?

Типа того, да. Как и secureboot.

Да вроде как и так ничего уже давно самой парольной фразой не шифруется.

Парольной фразой шифруется мастер-ключ. Иначе как ты себе это представляешь?

Немного некорректно, наверное, сравнивать, но та же vera отнюдь не моментально открывается после ввода пароля. Т.е. если о брутфорсе, то он шансов ни там ни там.

Если у тебя «парольная фраза» из 4 цифр, то ты хоть обложись scrypt’ами.

Ещё раз для полной ясности: если я полью ноут с TPM водой и TPM чип позеленел, то всё, можно с чистым сердцем сразу диск форматировать без лишних страданий? Так?

Ну, ещё бывают ключи для восстановления. Но в самом примитивном случае, конечно, так.

Если заниматься типичным для линуксоводов воинствующим аскетизмом...

А как там с загрузкой в виртуальных машинах будет?

гопари отжимают телефон и уводят твой банковский счёт.

Сканер отпечатка.

вот от сканера и отожмут твои пальцы.

Пользователю на десктопе тоже полезно хранить секреты там, откуда их не достанет вредоносный код.

У типичного пользователя секреты лежат в домашнем каталоге. И там их отлично достанет любой шифровальщик и троян. Большинству вирусов не нужны ни права админа, ни внедрение в ядро. Это нужно как раз «серверным» вирусам, атакующих продвинутых пользователей. Но без 0day спасут классическая методика «не запускать что попало», а с 0 day и tpm можно обойти.

Поэтому пугание буткитами и подменой initramfs это очень странно. Нишевая же фигня. Кому-то, безусловно, полезно, но у подавляющего большинства вектора атаки совсем другие.

Ubikey

Тут и Вангой быть не обязательно, это на поверхности плавает и видимо для всех. TPM это возможность использовать ниезвлекаемые данные и неотключаемую неизменяемую логику. И drm одно из самых явных этому применений

Может из-за этого tpm винде капец наконец наступит ?

Иначе как ты себе это представляешь?

Ну вообще так и представляю

Ну, ещё бывают ключи для восстановления

А это как-то стандартизовано или только «бывает»? А то стрёмно немножечко, плюс одна точка фатального отказа, и так их дохрена.

А это как-то стандартизовано или только «бывает»?

Что стандартизовано? Какого-то единого стандарта на полнодисковое шифрование, естественно, нет. Поэтому «бывает», в зависимости от используемой тобой системы. В BitLocker — да, есть. В LUKS2 — как таковых специальных «ключей восстановления» нет, но есть просто множественные парольные фразы, как сделаешь, так и будет.

Проверил - нету.

посмотри спецификации к матплате, как минимум разъем должен быть.

и еще я уж тебе не стал говорить, что всякое усложнение ведет к потенциальным проблемам. потому что я всегда это говорю, а ты опять начнешь из общих соображений спорить. но как раз на opennet'e пример:

В реализации продвигаемых компанией Dell технологий удалённого восстановления ОС и обновления прошивок (BIOSConnect и HTTPS Boot) выявлены уязвимости, позволяющие добиться подмены устанавливаемых обновлений прошивок BIOS/UEFI и удалённо выполнить код на уровне прошивки. Запущенный код может изменить начальное состояния операционной системы и использоваться для обхода применяемых механизмов защиты. Уязвимости затрагивают 129 моделей различных ноутбуков, планшетов и ПК Dell, в том числе защищённых при помощи технологий UEFI Secure Boot и Dell Secured-core.

https://www.opennet.ru/opennews/art.shtml?num=55389

вот тебе и умный биос, и тпм и все-все-все. когда биос был глупый, хотя бы remote атаки на него нельзя было совершать.

Я вообще-то, про tpm как таковой спрашивал. Но раз вопрос показался непонятным, то значит либо я чушь спросил, либо такого нет. Почитаю, пожалуй про tpm для начала.

Нет, в TPM ключей для восстановления не бывает. В этом как бы вся суть любых аппаратных криптографических модулей.

и еще я уж тебе не стал говорить, что всякое усложнение ведет к потенциальным проблемам. потому что я всегда это говорю, а ты опять начнешь из общих соображений спорить

Конечно, начну. Потому что вообще всякое усложнение ведёт к потенциальным проблемам. Если исходить только из этого тезиса, игнорируя все остальные, то человечеству из пещер вообще не нужно было вылезать, не говоря уже о комплюктерах и прочих бесовских приблудах(tm). Но это заведомо неправильный вывод, значит, по правилам формальной логики, предпосылка не может быть истинной.

вот тебе и умный биос, и тпм и все-все-все. когда биос был глупый, хотя бы remote атаки на него нельзя было совершать.

За кадром остался вопрос, как ты связал TPM c выходящими в Интернет прошивками. А то у тебя выходит «сгорел сарай, гори и хата» slippery slope argument.

У меня ноуту 11 лет, и то там TPM.

Лол, при наличии физического доступа я и так могу лишить тебя всех данных, я быстро бегаю.

Бэкапы отдельно, это все отдельно.

Ну и терпение у тебя.

Без продвижения технологий не будет массовых успешных сценариев их использования.

У пользователя нет TPM, значит хранить там чувствительные данные опасно, поэтому приложения не пытаются это делать. Вместо этого приложения хранят чувствительные данные на смартфоне, где с безопасностью всё лучше - есть аппаратный аналог TPM, «диск» зашифрован по-умолчанию из коробки, приложения гораздо сильнее изолированы друг от друга и т.д. Пользователю смартфона не надо ни о чём думать и ничего настраивать - разработчик системы уже предоставил необходимую инфраструктуру разработчикам прикладных приложений, и если последний не будет слишком сильно косячить, то всё будет работать безопаснее, чем на типичном ПК.

Как только на ПК появится доступная пользователю инфраструктура для удобного хранения и обработки чувствительной информации, часть этих приложений переползёт со смартфонов на ПК. Продвигая TPM, Microsoft создаёт кусочек этой инфраструктуры, и делает платформу Wintel более привлекательной для разработчика, который хочет этими фичами воспользоваться.

Да, пользователь и раньше мог использовать TPM, если он специально подумает об этом. Но разработчик приложения не мог расчитывать на наличие TPM на пользвательской системе. А с массовым распространением Windows 11 сможет. Так и плохая безопасность ОС по-умолчанию будет считаться устаревшим положением вещей.

Не хочет обычный пользователь думать про шифрование диска, privsep и TPM, ему просто надо, чтобы всё работало, и для этого не надо было прикладывать усилий. А прикладной разработчик не хочет вкладываться в чужую инфраструктуру, да и навязать собственный новый стандарт ему будет сложновато.

У пользователя нет TPM, значит хранить там чувствительные данные опасно, поэтому приложения не пытаются это делать. Вместо этого приложения хранят чувствительные данные на смартфоне

Что это за приложения такие?

сли исходить только из этого тезиса, игнорируя все остальные, то человечеству из пещер вообще

неверно. зависимость типа параболы. какое-то время усложнение дает выигрыш. есть оптимальное соотношение, оно же KISS. есть, когда сложность работает уже в минус.

как ты связал TPM c выходящими в Интернет прошивками

я вообще удивился, когда вы его с загрузкой связали. это же просто криптографический модуль. так что не я это начал.

У меня ноуту 11 лет, и то там TPM.

У тебя устаревший, нужен второй версии.