Subtitles created by Musa Jallow
(ITKST56 course assignment at JYU.fi)
Resurssien loppuminen
Hakkerointi TMP:llä
Seuraava puhe on hakkerointi
TMP:llä. Älkää kysykö mitä voitte tehdä
TMP:llä. Sen sijaan kysykää mitä TMP voi
tehdä sinulle
Ja se toimii tietyllä tavalla
johdantona siihen mitä TMP on ja mitä
sillä voi tehdä
Ja vieraileva juontaja on Andreas
ja tässä hän on. Antakaa suuret aplodit.
Kiitos
Tervehdys kaikille. Minun nimeni on
Andreas. Aion esitellä joitakin asioita
TMP:stä. Tässä on minun GitHub-kahva ja
nimi josta voit löytää osan asioiasta
joiden parissa työskentelen
Ja kaikista tärkeimmät lähteet
joista puhun on tämä. Näet sen
loppuyhteenvedossa uudestaan
Jotenka, kuka minä olen.
Työskentelen TMP:n parissa, jotenka olen
löytänyt jonkun joka on valmis maksamaan
minulle työskennelläkseni tämän asian
parissa.
Ja olen jäsenenä luotto
tietokoneryhmässä, joka tekee paljon
näiden asioiden määrittelyä
Aloitin työskentelyn TMP:n parissa
13 vuotta sitten, jolloin se oli 1.2.
Yritin saada asiat toimivaan itselleni,
mikä ei kuitenkaan onnistunut järjestelmä
ei ollut hyvin ylläpidetty, API oli ikävä
Jotenka 5 vuotta sitten, kun
osallistujia rekrytoitiin työskentelmään
TSS 2.0 parissa. Hyppäsin kanin koloon
välittömästi
Määrittelyä, kirjoittamista ja mitä
muuta TSS toteuttamiseen ja ylläpitoon
tarvittiin.
Github tuli myöhemmin kuvioihin
Tätä lopputulosta aion esitellä
teille. Aion käydä läpi esittely lyhyesti
mitä TMP:t ovat
Ja sitten siirrymme kahteen
aiheeseen tietojen suojaaminen ja
käynnistyksen suojaaminen. Ja sitten
informaatiota siitä miten voit aloittaa
työskentelyn itse
Ja tässä tulee hauska osuus.
Jotenka teidän huviksi ja minun
henkilökohtaisen yöllisen adrenaliinin
vuoksi ajattelin sisällyttää joitakin
demoja
Se mitä aion nyt tehdä on, että
kopion kaiken tämän
Siirryn omistamaani ja luotettavaan
virtuaalikoneeseen
Ja tietysti se ei toimi heti
Minun olisi pitänyt avata sudo
ensiksi
Aion tehdä live demoja aina välillä
Pyydän, älkää DoS täällä olevaa
internettiä tai esitys jää hyvin lyhyeksi
Mitä ovat TMP:t. TMP on
turvallisuus-siru joka liitetään emolevyyn
Ja kiitso Microsoftin, kun antoivat
TMP:s kaikille halvalla. Koska kiitos
Microsoftin logo-ohjelman jokaisessa
kuluttajatietokoneessa on nykyään TMP
Jotenka miksi ei käyttäisi niitä.
Ne ovat melko tietoturvallisia. Niissä on
tiety kriteerisertifikaatit joihin voitte
luottaa
Tottakai on ollut joitain
TMP.failed ja Tanja ja David puhuivat
tästä kaksi, kolmetuntia sitten mikä oli
mielenkiintoista
Ja mihin se pystyy? Se pystyy
tekemään Cryptoa, varastointia ja
tallentamaan boot has -arvoja
Ja se on periaattessa kaikki mihin
se pystyy. Jotenka se on täysin
passiivinen laite
Mikä on kaikista tärkein pointti.
Ja oikealla näette vanhoja 1.2 versioita.
Nykypäivänä se on paljon pienempi
Ovat TMP:t vaarallisia?
Mielestäni olemme kuullet keskusteluja
menneisyydessä, että kongressissa ollaan
väitelty molemmista suunnista
TMP:llä oli huono maine kun
ne tulivat ensimmäistä kertaa myyntiin
Kuten sanoin ne ovat täysin
passiivisia
Ja mitä TMP:t ovat oikeasti niin
ne ovat upotettuja älysiruja
Jotenka sinulla on tietynlainen
tietoturvaelementti tietokoneessa jota
voit käyttää hyödyksi
Ja sitten on rehellisyys
raportointi ja paikkaominaisuudet
Joihin menen vähän tarkemmin
myöhemmin
Mutta älä vain ota minun sanaani
asiasta vaan ota Richard Stormanin tai
GNU säätiön, koska he määrittelivät että
luottamus-alusta-moduuli, joka on
saatavilla tietokoneisiin ei ole
vaarallinen ja ei ole syytä sisällyttää
sellaista tietokoneeseen
Sanoisin, että ne ovat saaneet
"Storman hyväksyssän"
Ja täten miksi ei vain voisi käyttää
niitä
Seuraavaksi siirrytään asian pihviin
Kirjautumistietojen suojaaminen.
Kuka täällä käyttää julkista avain
suojausta jollakin tavalla?
Odotan, että kaikki kädet nousevat
Kuka käyttää älykorttia tai
"Yubi"-avainta tai TMP:tä suojaamaan
tietoja?
Okei
Ja kuka on optimoinut tämän
prosessin ja vain jättänyt alykortin
sinne taikatkaissut osan siitä?
Tai käyttäny Yubi-avain nanoa?
Okei. Vain muutama. Teille
muutamille tämä on sama suoja minkä
TMP tarjoaa
Ja muille älykortit. Voitte käyttää
TMP:tä, koska se on kätevämpi. Lisäksi
teillä on jo se niin miksi ette käyttäisi
sitä?
Okei. Mikä on turvallisuus idea
kirjautumistietojen suojaamisessa,
joka tulee älykorttien ja TMP:n kanssa
saman tyylisesti?
Periaatteessa haluamme jakaa
autentikoinnin, todisteen hallussapidosta
ja todisteen tiedosta
Jotenka meillä on kaksi tekijää
jotka haluamme saavuuttaa autentikoinnissa
Todiste tiedosta on hyvin
suoraviivainen. salasanan tai koodin
laittaminen älykortin avaamiseksi.
Ja todiste hallussapidosta on
toinen tekijä. Mitä tämä tärkoitta?
Mitä tarvitset luodaksesi todisteen
hallussapidosta tarvitset jotain mikä
ei ole kopioitavissa tai kloonattavissa
Eli se on pääominaisuus
mitä älykortti sinulle antaa
Mitä, esimerkiksi pehmeä merkki
tai julkinen avain, joka hengailee sinun
kovalevyllä ei anna sinulle
Koska voit vain CPttää sen ja
tuoda sen eri koneelle
Ja ajaa sen samaan aikaan monella
koneella
Jotenka jos sinulla on jotain mitä
ei voi kopioida, voi olla vain yhdellä
henkilöllä ja siten saat lisä turvaa.
Ja tästä tulee erityisen tärkeää
kaikissa hakkerointi konferensseissa,
täällä tai BlackHat tai missä ikinä
Koska näissä tapahtumissa
olevat ihmiset ovat hyvä tallentamaan
ja selvittämään salasanoja
Jotenka tämä on hyvä argumentti
miksi sinulla tulisi olla toinen
ominaisuus
Jotenka todiste hallussapidosta voi
olla älykortti tai Yubi-avain nano
voidaan muuttaa todisteeksi
hallusapidosta tietokoneella joka
sisältää TMP:n
Jotenka ainoastaan jos jollain on
pääsy tähän koneeseen ja tieto koodista.
Nämä kaksi tekijää mahdollistavat
autentikoinnin
Tyypillisesti jos olet hakkeroinnin
uhri. Tämä on ongelma siinä mitä
todiste hallussapidosta tarkoittaa
Sama kuin jos sinulla on älykortti
älykorttilukijassa siinä ajassa kun joku
saa järjestelmäsi haltuun he ovat
enemmän tai vähemmän kyvykkäitä
käyttämään sinun kirjautumistietoja
Mutta on kaksi eroa. Ne ovat
väliaikaisesti kiinnitettyjä aikaan
joka hakkeroinnissa kestää eli jos
siivoat järjestelmän voit jatkaa
työskentelyä normaalisti jälkeenpäin
Toinen asia on, että ei ole
mahdollista että hyökkäys, kuten
"kova verenvuoto"
Koska kaikki haavoittuvuudet
eivät ole kyvykkäitä saamaan täysiä
oikeuksia. Joskus hyökkäys kuten
"kova verenvuoto" voi saada vain tiettyjä
osia haltuunsa
Sinulla ei ole kyseistä ongelmaa
jos tietokone ei tiedä avainta ja sitä ei
ole tallennettu RAM:lle tai levylle
Demon aika
Kuinka voit käyttää tätä
kirjautumistietojen suojausta?
Yksinkertaisin tapa tehdä se on
TPM 2 TSS koneen avulla
TPM ohjelmistoprojektilla
Minun ei pitäisi kertoa siitä täällä
Jotenka asensimme yhden näistä
ohjelmistoista aikaisemmin ja se ei
oikeastaan ladannut
Jotta voitte käyttää sitä
tarvitsette vain nämä kolme komentoa
ja aion näyttää ne teille nopeasti
Muuten...
En käytä TPM:tä vaan käytän
laitteiston TPM:tä
Lähetin sen virtuaalikoneelle
Vaihdetaan virtuaalityöpöydälle
Jotenka mitä teemme ensimmäiseksi?
Ymmärrämme.. nyt se toimii
Luomme avaimen käyttämällä TPM:tä
ja seuraava komento luo itse-asetetun
sertifikaatin, ja kuten näette jotka ovat
työskennelleet asian parissa niin
ensimmäinen komento on mukautettu
komento ohjelmistosta
Toinen on tavallinen OpenSSL luo
sertifikaatti komento jossa nimetään
moottori ja avain joka tulee sen mukana
Jotenka aiomme ottaa tämän
Laitetaan se tänne
Olemme Itävallassa nyt
Ketä kiinnostaa
Ja nyt meillä on curl ja curl pystyy
yhditämään meidät... toimi nyt. Minun
olisi pitänyt tuoda hiiri
Jotenka curl pystyy käyttämään
OpenSSL moottoria ja älä ärsyynny
kautta-kautta epävarmuudesta.
Ajan tällä hetkellä EngineX serveriä
isäntäjärjestelmässä
Ja virtuaalikoneenssa käytän
curlia autentikoimaan ja käytän
client -autentikointi keskustellakseni
EngineX:n kanssa
Ja kuten huomaatte tämä on
nettisivu ja ensimmäistä kertaa
ajaessani komennon en meinannut
uskoa näkemääni koska se oli niin
nopea ja ajattelin että tein virheen
Jotenka verifioidakseni kaikille
teille teen "trace loginnin"
Ja sitten näemme että meillä
tapahtuu paljon kommunikointia TPM:n
kanssa
Jotenka käytämme oikeasti
TPM:tä tehdäksemme asiakas puolen
autentikointia serverillä
(aploodit)
Kiitos
Seuraava asia. Tämä on.. ensiksi
tämä on minun tapani tehdä asioita.
Haluan käyttää TPM:ää kotona ja ehkä
tehdä tyypillisiä bash skripti pohjaisia
asioita
ja milloin ikinä teetkään bash
skriptiä sinä et halua laittaa salasanaasi
sinne, koska kun pusket skriptit
Githubiin muut ihmiset voivat ladata ne
ja käyttää sinun salasanoja
Jotenka tämä on toinen etu näissä
ja toinen asia jota haluan tehdä
kotona. Minulla on Internet-
verkkopalvelin, joka on käytännössä
käänteinen välityspalvelin EngineX:llä
Se välittää tavarat kotiavustajalle
ja muihin paikkoihin
ja haluan pystyä poistamaan
tämän jotta pystyn tallentamaan
kirjautumistietoja turvallisesti, jotta
seuraavan kerran kun EngineX
"heart bleeds" ei se pilaa kaikkea
puolestani
ja EngineX:llä on erittäin
helppoa tehdä se
os katsomme tätä sivustoa
joka on merkitty tähän. Se on
käytännössä vain oletussivusto
näemme että meidän on
lähetettävä sertifikaatti ja
ssh-sertifikaattiavain
voit käyttää tätä avainsanakonetta,
joten toivottavasti et koskaan tallenna
avaimesi
ja jos kutsun moottoria siitä
tulee ongelman
ja me osoitamme tpm2tss -moottoria
ja koska jonkun ärsyttävän bugin
vuoksi EngineX ja ihmiset EngineX
foorumilla ovat puhuneet siitä
en löytänyt hyvää ratkaisua
asian korjaamiseksi ja tästä syystä
jouduin määrittelemään moottorin
uudestaan täällä
jotenka nyt kun kaikki tämä on
kunnossa voimme vain
käynnistää uudelleen
voimme vain käynnistää EngineX:n
uudelleen ja tällä kertaa käännämme sen
ympäri. Joten jatkan vain luotetun
verkkopalvelimeni isäntäjärjestelmässä
yritä kirjautua siihen
kyllä, koska emme luota sen
sertifikaattiin välittömästi yea,
mutta me voimme käyttää
TPM:ää autentikoimiseen
jotenka molemmat puolet voivat
nyt aloittaa skriptaamisen
Siisitä
Nyt mennään
Okei, joten se on helpoin tapa
päästä alkuun kun yrität yhdistää
TPM:n päivittäisiin bash-rutiineihin
seuraavaksi hieman monimutkaisempi
tapa tehdä asioita on pkcs11
pkcs11on avoimen ryhmän
standardisoitu API, jota Firefox käyttää
esimerkiksi älykorttien kanssa
kommunikoimiseen
ja tietysti me myös
työskentelemme... kuten nämä yhteisöt ja
teemme jotain sen eteen
meillä on jopa antenneja
täällä huoneessa
paljasin heidät
Okei, olemme tällä hetkellä
"orc0 face"
Tämä on myös syy siihen miksi
on outoa että asennustyökalut eivät
asennu aina kun kutsut niitä asentaaksesi
joten jos yrität ajaa näitä juttuja
uudelleen kotoa käsin huomioi näiden
diojen perusteella, että tämä on polku
tpmp2-työkalun chekc.git arkistoon
ja ainoa asia, joka todella saa
asennuksen on kirjasto jota pkcs11
käytämme myöhemmin
Joka tapauksessa
Otamme nämä muutamat käskyt täällä
ja periaatteessa teemme alustuksen.
Ensin laitamme pythonpath-juttuja ja
muuta sellaista
osoitamme tietokannan
tallentamiseen kodin alle
alustamme ja lisäämme tokenin
joka käytännössä luo uuden älykortin
ja sitten lisäämme avaimen
Okei
katsotaan toimiiko se oikein
Näyttää hyvältä
Joo
ja siinä se meillä on. Loimme juuri
älykortin tällä satunnaisella
älykorttitunnuksella, josta sinun
ei tarvitse välittää
mitä hienoa tässä on? Olen menossa
tähän ongelmaan koska haluan käyttää
sitä todentaakseni ssh:n kautta
koska en tiedä kuinka moni teistä
ssh-asiakastodennusta käyttävistä käyttää
allekirjoittavia julkisia avaimia
Eli periaatteessa lähes kaikki
Siistiä
Hakkerikonferenssi
Niin, ja kuka teistä ei suojaa
avaintansa salasanalla vaan käyttää
siihen tyhjää salasanaa?
Okei. Teille kaikille tämä saattaa
olla mielenkiintoista
joten aiomme kutsua ssh-keygenillä
ja mitä se tekee on ainoastaan
Joo
Generoi ssh-avaimen ja te kaikki
luultavasti näette tämän
Joten kopioin tämän
ja menee isäntäkoneeseeni
ja nyt menen
lisätty valtuutetut avaimet
ja lisään tämän avaimen
ja palaan virtuaalikoneeseen
Virtuaalinen työpöytä virtuaalisen
työpöydän sisällä
Se on kuin "pimp my ride"
Okei, ja sitten voimme kirjautua
sisään ssh:lla
ja
tämän pitäisi myös toimia nyt
ja tässä pyydämme PIN-koodia
älykorttiin jota alun perin kutsuin
merkiksi
jolle luultavasti löydät
paremman nimen
ja nyt olen sisällä
eli se toimii myös
(apploodit)
mutta jotta asiat olisivat vielä
siistimpi, mihin muuhun käytämme ssh:tä
no me käytämme sitä tai ainakin minä
käytän sitä gitiin
otamme tämän avaimen uudelleen
ja siirrymme Github:iin
ja tämä on minun Github-tili
Nyt menee mielenkiintoiseksi
Lisään tämän ssh-avaimeksi
ja
Kyllä tallennan salasanoja
millään heistä ei ole asiakkaan
todennusta...asiakkaan todennustodistus
kanssamme mitä muuta minun pitäisi tehdä
joten asia jota teemme täällä on
pohjimmiltaan että periaatteessa luon
tämän siistin shell skriptin joka
sisältää ssh-kutsun pkcss11-kirjastolla
ja sitten viemme sen git_ssh
-ympäristömuuttujan alle, mikä
tarkoittaa, että ssh:n sijaan
git kutsuu uutta ssh-juttuamme
ja tämä käännetään
kutsumalla pkcss11-palveluntarjoajaa
seuraavaksi kloonataan
ja täällä on uudelleen
TPM-invokaatio
Analoginen enemmän TPM kutsu
ja täällä ollaan
ja voimme nyt jopa mennä eteenpäin
ja kirjautua ulos haarasta
Luulen, että käytin tätä
testeissäni, joten kutsun sitä
Nyt
Ei
Tietysti
Kirjaudutaan ulos uudesta haarasta
git push origin
ja se on puskettu ja voit mennä
eteenpäin ja mennä nimiavaruuteeni
Githubissa ja sinun pitäisi nähdä tämän
mahtavan TPM-autentikoidun haaran
pusku tuolla
(aplodit)
Okei
kuten sanoin tämä on rc0\.
Toivottavasti tulee pari bugia ennen
lopullista julkaisua mutta
äyttää aika käyttökelpoiselta,
sanoisin
Okei. Tulen seuraavaan asiaan
joka on vielä kovasti työn alla
Tämä on bittilokero Linuxille
ja olen kirjoittanut tämän
yli vuosi sitten
ja ryhmässä oli yhdistämispyyntö
ja olemme pohjimmiltaan uudelleen
rakentaneet koko asian mutta ajattelin
että olisi hauskaa tuoda tämä työ, jonka
tein kauan sitten
Mitä tämä tekee niin perustaa
lukot ja krypton
Idea on, että sinulla on
äänenvoimakkuusnäppäin, jolla kokonaiset
taltiot salataan, ja sitten sinulla on useita
avaimia, jotka on tallennettu vetoomuksen
lukko-otsikkoon
jossa tämä äänenvoimakkuusavain
salataan yleensä avaimella, joka on
syöttämäsi salasanan oikealla puolella
ja tämä sitten näyttää siltä,
mitä näemme täällä keskellä
jossa meillä on tämän tyyppinen
avainpaikka nolla
ja niinpä tein tuolloin, että
jatkoin näitä
Tämä on json joten jos käytät
lukkoa ainakin uusi alimuoto
Sinulla on json ja
vetoomuksen otsikot
Se on jotenkin mahtavaa
Helpotti elämääni paljon tuolloin
Meillä on siellä avainpaikka
jotain sellaista ja me otamme
äänenvoimakkuusnäppäimen
ja käytämme yhtä TPM:n ei-volutaalista
muistitilaa
ja tallennamme
äänenvoimakkuusnäppäimen suoraan
sinne ja niin on
ja kyllä vain muuta ei tarvita
ja sitten mitä teemme
alustamattomille Luks-otsikoille,
tallennamme vain metadataa
sinne ja niin on
Esimerkiksi
Mikä on se "nvindex" numero
jonka alle varastoimme tavaraa?
Okei
Demon aika jälleen
ja
joten tämä on haaramme
ryhmä josta poistun
ja tulee olemaan
Kokoamalla tämän livenä
Samalla vielä yksi huomautus.
Käyttöjärjestelmä jota ajetaan
virtuaalikoneella on vakio Ubuntu-asennus
ja
valitsin juuri tämän salauksen LVM
Ubuntun ohjatun asennustoiminnon aikana
ja kuinka koskaan, valitettavasti
se käyttää edelleen Luks1:tä tässä
muodossa joten mitä sinun täytyy tehdä
asennusmedialle jos haluat tehdä sen
sinun on kutsuttava tämä
"cryptsetup conver"
joka muuntaa Luks1-muodon
luks2-muotoon
kaiken pitäisi olla nyt valmista
Okei
Kyllä vain. Me kokosimme ja
asensimme nyt päivitämme nopeasti
korvaamme cryptolabin
joka ei tee sitä kokoajan
ja
seuraava komento jota olemme
suorittamassa, ja näette että ainoa ero on
komennon "--tpm" lisääminen tähän
Joka. Kyllä
kutsuu käyttämään TPMää
tila sille
ja syötämme olemassa
olevan salasanan
syötämme uuden salasanan ja tätä
uutta salasanaa käytetään TPMn
todentamiseen
ja
meillä on vain 5 minuuttia, joten
hyppään suoraan eteenpäin
Kaiken pitäisi nyt olla kunnossa ja
seuraavan uudelleenkäynnistyksen
yhteydessä järjestelmä kysyy minulta
TPM pohjaista salasanaa ja sitten
pääsemme näkemään
joten näemme tässä, että toinen
avainpaikka on nyt TPM2-tyyppinen
Okei
Vielä yksi asia jonka haluan
esitellä varhaisessa käynnistyksessä
on eheyden tarkistus joka perustuu siihen
mitä Matthew Garret puhui "@32c3"
ja tämä on linkki hänen puheeseensa
Kannattaa ehdottomasti
käydä katsomassa se
Joten tässä on kyse varhaisen
käynnistyksen eheyden varmistamisesta ja
jakamalla salaisuu TPMn ja älypuhelimesi
välillä
ja
Kyllä. Tein juuri
uudelleentoteutuksen ja aion
esitellä myös sen
Valmistautuessamme siihen on teidän
kaikkien aika ottaa älypuhelimet esiin ja
avata ilmainen TOTP-sovellus tai
Google autentikaattori jotta voit
varmistaa että kaikki toimii tarkoituksen
mukaisesti
ja tämän olen itse asiassa
koonnut valmiiksi
Muuten jos yleisössä on jok, joka on
hyvä gtk-gui-suunnittelussa tule
juttelemaan minulle
Tässä näette minun tuotokseni
Okei
Aiomme suojella
Pyörittämällä komennon pcr027 ja
tämä varmistaa jokaisen käynnistyksen
yhteydessä että tämä PCR-arvo on
olivat samat kuin nyt kun käännämme
tätä järjestelmää joten se tarkoittaa
että jos sinulla on ydinpäivitys tai
tai päivitä sisäinen RDM
jälkeenpäin PCR-arvot vaihtelevat joten
sinun täytyy käydä läpi tämä prosessi
uudelleen
Joten kaikki ovat skannatneet tämän
toivottavasti omassa ilmaisessa TOTPssaan
tai Google autentikaattorilla
sitten voimme jatkaa ja voimme itse
asiassa aloittaa järjestelmän
uudelleenkäynnistyksen
ja toivottavasti tämä toimii nyt
koska monimutkaisin osa kaikissa
näissä demoissa oli itse asiassa
etäasetus "crap"n ja "implens"sin välillä.
uskokaa tai älkää
Okei ja näytöllä on tämä numer,
joka on todella suuri
828688\. Pitikö tämä paikkansa?
Yleisö: Kyllä
Hienoa
(aplodit)
ja toinen asia jonka teen nyt
erittäin suojatun salasanan sijaan ja
kirjoitan 1234
Teidän täytyy uskoa minua ja
mikä on TPM-salasana
ja se itseasiassa käynnistyy
käyttäen TPMää
Mikä on
Tässähän se on
joten se toimii myös Luksien kanssa
Okei
Toivottavasti tämä antoi teille
vaikutelman mitä voitte tehdä TPMllä
jo tänään
Jos haluat liittyä kehitykseen
mukaan, liittyä hackroom-juttuihin tämä
sivusto sisältää yhteisösivumme
Missä meillä on gitter joten voit
tulla puhumaan meille, minulle ja
muille kehittäjille
Voit katsoa niitä kahta
otsikkotiedostoa jotka ovat tärkeimmät
tällä hetkellä joten se on aivan uutta
Julkaisimme sen juuri tai
yhdistimme sen juuri masteriin
Muistaakseni viikko sitten
Olkaa hyvä ja katsokaa,
testatkaa sitä
Katsokaa myös
työkalut. Kaikki työkalut jotka
alkavat kirjaimella tpm2_ ovat
periaatteessa"esapi" tai "eses" peilejä
ja kaikki työkalujen etuliite tss_ ovat
yksi yhteen "thappy" -sovituksia
ja tässä on vielä yksi pro vinkki
kun kehität ja jokin epäonnistuu yhtäkkiä
se liittyy yleensä TPM-resurssien
loppumiseen
ja tämä komento siellä alhaalla
jäädyttää TPMn sisäisen RAMin uudelleen
jotta voit jatkaa työskentelyä
Okei
Kiitos
"Kysymysten aika"
Kiitos
Se oli Andreas
Ja nyt on kysymysten aika. Meillä
on kysymyksiä internetissä ja meillä on
kysymyksiä täällä
Ja
Katsokaa. Teillä kahdella on
sama paita
Hieno paita research exhaustion
Okei, voisimme aloittaa
numerosta neljä
Henkilö yleisöstä: Okei. Oletetaan
että sinulla on salausavaimet TPMssä ja
hallituksesi vaikuttaa jollain tavalla
TPMn tarjoajaan
Henkilö yleisöstä: Joten ehkä voisi
olla jokin tapa saada salausavain joten
tämä ei ole hyvä lähestymistapa joten
olisi mukavampaa antaa sinulle iso lihava
mandaatti saadaksesi avaimet
Henkilö yleisöstä: ja siellä on
joitain muita avaimi jotka ovat TPMssä
joten sinulla on oltava molemmat jotta v
oit salata tavarasi
Henkilö yleisöstä: joten se pitäisi
tehdä näin. Jotta ei voida sanoa että
henkilöä kidutetaan salauksen avaamiseksi
Henkilö yleisöstä: tiedot toisella
tietokoneella koska sillä on eri
TPM salaisuuteen
Henkilö yleisöstä: joten sinulla
pitäisi olla todellinen kaksiosainen
todennus ilman näitä avaimia TPMssä
koska en luottaisi siihen
Okei. Riippuu vainoharhaisuudestasi
mutta se on varmasti hyvä idea
Kiitos
Vain kysymyksiä. Ei kommentteja
En pahastu
Kysymyksiä. Tämä on sääntö.
Numero kaksi
Henkilö yleisöstä: Minun on
käytettävä Windowsia joka on salattu
"bitlockerilla" ja toisella sijalla
Henkilö yleisöstä: Kuinka
todennäköistä on että bitlockerin
tunnistetiedot tuhotaan tahattomasti
näiden työkalujen kanssa
työskennellessäni?
Se riippuu paljolti siitä mitä
työkaluja käytät ja mihin tarkoitukseen
Tässä käyttämäni työkalut ja
kaikki mitä näytin eivät asenna
estäviä avaimia
Luulen että oikeastaan pkcs11
asentaa presistan-avaimia, joten se
kuluttaa osan resursseistasi ja myös
crypto-jutuistasi
ja huippujutut vievät jonkin verran
"envy" -tilaa, ja jos uskot kuinka
paljon TPM-resursseja Windows haluaa
vaatia itselleen saatat törmätä ¨
resurssien loppumiseen.
Mutta ei ole muita avaimia joita
nämä työkalut tai demot poistavat
Eli voit mennä huoletta ja
käyttää noita
Okei. Kiitos.
Ehkäpä meillä on
kysymys internetistä
Henkilö yleisöstä: Joo muut
laitteisto tokenit kuten "ubi-avain"
heillä saattaa olla esimerkiksi painike
jota sinun täytyy painaa saadaksesi
jonkinlaisen todisteen läsnäolosta
jotta ohjelmisto ei voi käyttää sitä
Henkilö yleisöstä: taustalla
ilman että tiedät siitä
Henkilö yleisöstä: Kuinka tehdä
sama käyttäen TPMää?
Tällä hetkellä ei pysty
Mutta toivon tai olen toivonut että
TPM voisi käyttää lediä kymmenen
vuoden päästä
Todennäköisemmin näemme
jossain vaiheessa tulevaisuudessa joitain
gpio-käyttöisiä TPM-laitteita ja riippuen
siitä mitä voimme tehdä niillä
mahdollisesti pystymme
sisällyttämään tämän
tai saman tyylisiä
ominaisuuksia tulevaisuudessa
mutta toistaiseksi uskon että on
ollut vain tutkimusprototyyppejä joita
olen itse päässyt toteuttamaan TPMlle
"cortex-r3" -laitteessa
"gpion" hyödyllisyyden
osoittamiseksi suoraan tpm:stä.
Mutta se on ensin kehitettävä
Okei. Kiitos
Numero viisi kiitos
Henkilö yleisöstä: Kyllä. Moi
Henkilö yleisöstä: Voitko toteuttaa
tämän universumin jatko-osan syötettynä
edelleen TPMlle? Aiotteko tehdä sen?
Kyllä ja ei. Voit toteuttaa osia
fidosta käyttämällä TPMää joka on
salauksen perustoiminto mutta fido
sisältää myös mukautettuja tietomuotoja
joita yleensä käsitellään myös
fido-tunnuksella
jossa sinulla on laskureita, jotka
lisäävät jotain sellaista
jota TPM ei tallenna sisäisesti
koska TPM ei tiedä fido-tietorakenteista
ja päinvastoin
Kuitenkin fido2lle mielestäni oli
tämäTPM-metastaattinentila
mutta se olisi jonkun toteutettava
Haluatko aloittaa työskentelyn sen
parissa tule puhumaan minulle ja olen
varmasti apunasi
Joten tekemistä on paljon ja kyllä
Jos joku teistä etsii tekemistä
Voit vain mennä eteenpäin ja katsoa
tätä github.io-yhteisösivua jos siirryt
ohjelmistoon
välilehti yläreunassa ja
vierität alas
on luettelo ohjelmista. Aloitamme
siis ohjelmista joilla on jo TPM-tuki
ja sitten meillä on
vielä pidempi lista ohjelmista
joissa oli TPMn suunnitteilla. On myös
paljon asioita kuten
Weboht ja Cryptoki ja vaikka mitä
muita missä toivoisin näkevän TPM tuen
Jopa niinkin yksinkertainen
kuin "gpt"
Mikä. Kyllä.
Okei. Numero kaksi kiitos
Henkilö yleisöstä: Kuinka monta
erilaista avainta tai älykorttia voit
tallentaa TPMään?
Henkilö yleisöstä: Onko se vain
yksi vai voitko tallentaa useampia?
On hienoa, että TPMn perusperiaate
on että TPM tallentaa vain hyvin
vähän avaimia
yleensä se on vain yksi
tässä tapauksessa
ja sitten kaikki muut avaimet
salataan tällä avaimella ja tallennetaan
kiintolevylle
Tällä pkcs11llä joka meillä on
täällä sinulla voi olla niin monta
avainta kuin sinulla on vapaata
kiintolevytilaa
tai niin monta avainta "sql-lite"
-työkalun avulla voit
tallentaa tietokantaan
Kiitos. Numero neljä kiitos.
Henkilö yleisöstä: Hei. kiitos
esityksestä. Minulla on ytimen
päivityksiin liittyvä kysymys
Jos päivitän ytimeni voinko mitata
mikä kernal on seuraavassa
käynnistyksessä
ja kertoa TPMlleni että tämä
uudelleensinetöi tällä hetkellä sinetöidyt
avaimet tuleville ptr-arvoille,joita sen
pitäisi odottaa seuraavassa
käynnistyksessä?
Teoriassa ehdottomasti kyllä
Se on täysin yksinkertaista joten
tutkija kertoo sinulle että se
ei ole haaste
Insinööri sen sijaan kertoo että
tämä on eräänlainen ongelma
ja
ongelma on että sinun on jotenkin
tiedettävä viitearvot
etukäteen ja sitten sinun on
laskettava uudelleen koko siihen m
ennyt mittausketju
joten tässä on kyse
lähestymistavasta
referenssi- ja eheysmittausjakelu
että Linux-promot -konferenssissa oli
osio jossa tätä ongelmaa käsiteltiin
Jotenka tämä on siis
Lähinnä infrastruktuuriongelma
pikemminkin kuin itse
asiassa TPMn ongelma
tai TPMn-perusohjelmiston
Okei. Kiitos.
Joten meillä on vielä yksi minuutti
joten olen erittäin pahoillani emme voi
ottaa enempää kysymyksiä huoneesta
mutta minulla on vielä yksi
kysymys internetistä
Henkilö yleisöstä: Jos en luota
TPMään ja koneeseeni voinko saada
toisenlaisen luotettavalta
palveluntarjoajalta? Ovatko ne y
hteensopivia siinä mielessä?
Kyllä. Tietääkseni heillä on
yhteensopiva pin-out ja yhteensopiva
cpi-protokolla ja
se on hieno asia että
ne ovat yhteensopivia
Varmasti
Eteenpäin
Paitsi ehkä intel ttp ftp joka
toimii hallintamoottorilla
Niillä tietysti jos myit ne RITllä
ei ole niillä ole enään IOta
Okei. Kiitos paljon.
Jos haluat ottaa yhteyttä Andreaan
mene verkkosivustolle. Olette nähneet
sen aikaisemmin
ja kiitos
ja ehkä vielä yhdet raikuvat
aplodit Andreakselle
(aplodit)
Kiitos
Subtitles created by Musa Jallow
(ITKST56 course assignment at JYU.fi)