0:00:00.000,0:00:05.819
Subtitles created by Musa Jallow [br](ITKST56 course assignment at JYU.fi)

0:00:10.115,0:00:12.674
Resurssien loppuminen

0:00:12.988,0:00:16.988
Hakkerointi TMP:llä

0:00:20.755,0:00:25.688
Seuraava puhe on hakkerointi [br]TMP:llä. Älkää kysykö mitä voitte tehdä

0:00:25.688,0:00:28.161
TMP:llä. Sen sijaan kysykää mitä TMP voi [br]tehdä sinulle

0:00:30.841,0:00:33.552
Ja se toimii tietyllä tavalla [br]johdantona siihen mitä TMP on ja mitä

0:00:33.552,0:00:34.942
sillä voi tehdä

0:00:34.942,0:00:40.922
Ja vieraileva juontaja on Andreas [br]ja tässä hän on. Antakaa suuret aplodit.

0:00:40.952,0:00:42.262
Kiitos

0:00:48.738,0:00:53.888
Tervehdys kaikille. Minun nimeni on [br]Andreas. Aion esitellä joitakin asioita

0:00:53.888,0:00:57.888
TMP:stä. Tässä on minun GitHub-kahva ja [br]nimi josta voit löytää osan asioiasta

0:00:57.888,0:01:01.576
joiden parissa työskentelen

0:01:01.576,0:01:06.346
Ja kaikista tärkeimmät lähteet [br]joista puhun on tämä. Näet sen

0:01:06.346,0:01:10.036
loppuyhteenvedossa uudestaan

0:01:10.036,0:01:15.364
Jotenka, kuka minä olen. [br]Työskentelen TMP:n parissa, jotenka olen

0:01:15.364,0:01:19.570
löytänyt jonkun joka on valmis maksamaan [br]minulle työskennelläkseni tämän asian

0:01:19.570,0:01:20.836
parissa.

0:01:20.836,0:01:23.926
Ja olen jäsenenä luotto [br]tietokoneryhmässä, joka tekee paljon

0:01:23.926,0:01:26.421
näiden asioiden määrittelyä

0:01:28.952,0:01:33.998
Aloitin työskentelyn TMP:n parissa [br]13 vuotta sitten, jolloin se oli 1.2.

0:01:35.930,0:01:42.220
Yritin saada asiat toimivaan itselleni, [br]mikä ei kuitenkaan onnistunut järjestelmä

0:01:42.220,0:01:49.683
ei ollut hyvin ylläpidetty, API oli ikävä

0:01:49.810,0:01:56.980
Jotenka 5 vuotta sitten, kun [br]osallistujia rekrytoitiin työskentelmään

0:01:56.980,0:02:03.233
TSS 2.0 parissa. Hyppäsin kanin koloon [br]välittömästi

0:02:03.360,0:02:07.710
Määrittelyä, kirjoittamista ja mitä [br]muuta TSS toteuttamiseen ja ylläpitoon

0:02:07.710,0:02:10.040
tarvittiin.

0:02:10.040,0:02:14.863
Github tuli myöhemmin kuvioihin

0:02:14.863,0:02:20.915
Tätä lopputulosta aion esitellä [br]teille. Aion käydä läpi esittely lyhyesti

0:02:20.915,0:02:25.008
mitä TMP:t ovat

0:02:25.337,0:02:30.956
Ja sitten siirrymme kahteen [br]aiheeseen tietojen suojaaminen ja

0:02:30.956,0:02:35.825
käynnistyksen suojaaminen. Ja sitten [br]informaatiota siitä miten voit aloittaa

0:02:35.826,0:02:38.886
työskentelyn itse

0:02:40.171,0:02:44.551
Ja tässä tulee hauska osuus. [br]Jotenka teidän huviksi ja minun

0:02:44.551,0:02:48.126
henkilökohtaisen yöllisen adrenaliinin [br]vuoksi ajattelin sisällyttää joitakin

0:02:48.126,0:02:49.996
demoja

0:02:49.996,0:02:53.996
Se mitä aion nyt tehdä on, että [br]kopion kaiken tämän

0:02:54.185,0:02:57.351
Siirryn omistamaani ja luotettavaan [br]virtuaalikoneeseen

0:02:59.476,0:03:02.496
Ja tietysti se ei toimi heti

0:03:04.939,0:03:07.489
Minun olisi pitänyt avata sudo [br]ensiksi

0:03:07.703,0:03:10.683
Aion tehdä live demoja aina välillä

0:03:11.712,0:03:17.622
Pyydän, älkää DoS täällä olevaa [br]internettiä tai esitys jää hyvin lyhyeksi

0:03:19.530,0:03:24.799
Mitä ovat TMP:t. TMP on [br]turvallisuus-siru joka liitetään emolevyyn

0:03:26.912,0:03:33.902
Ja kiitso Microsoftin, kun antoivat [br]TMP:s kaikille halvalla. Koska kiitos

0:03:33.915,0:03:38.885
Microsoftin logo-ohjelman jokaisessa [br]kuluttajatietokoneessa on nykyään TMP

0:03:41.406,0:03:45.776
Jotenka miksi ei käyttäisi niitä. [br]Ne ovat melko tietoturvallisia. Niissä on

0:03:45.796,0:03:54.631
tiety kriteerisertifikaatit joihin voitte [br]luottaa

0:03:57.733,0:04:06.933
Tottakai on ollut joitain [br]TMP.failed ja Tanja ja David puhuivat

0:04:06.938,0:04:11.498
tästä kaksi, kolmetuntia sitten mikä oli [br]mielenkiintoista

0:04:11.850,0:04:21.410
Ja mihin se pystyy? Se pystyy [br]tekemään Cryptoa, varastointia ja [br]tallentamaan boot has -arvoja

0:04:21.645,0:04:24.856
Ja se on periaattessa kaikki mihin [br]se pystyy. Jotenka se on täysin

0:04:24.856,0:04:26.547
passiivinen laite

0:04:26.591,0:04:31.781
Mikä on kaikista tärkein pointti. [br]Ja oikealla näette vanhoja 1.2 versioita.

0:04:31.781,0:04:35.691
Nykypäivänä se on paljon pienempi

0:04:37.435,0:04:43.675
Ovat TMP:t vaarallisia? [br]Mielestäni olemme kuullet keskusteluja

0:04:43.675,0:04:47.015
menneisyydessä, että kongressissa ollaan [br]väitelty molemmista suunnista

0:04:47.015,0:04:54.405
TMP:llä oli huono maine kun [br]ne tulivat ensimmäistä kertaa myyntiin

0:04:54.418,0:04:57.268
Kuten sanoin ne ovat täysin [br]passiivisia

0:04:57.268,0:05:01.268
Ja mitä TMP:t ovat oikeasti niin [br]ne ovat upotettuja älysiruja

0:05:01.569,0:05:05.569
Jotenka sinulla on tietynlainen [br]tietoturvaelementti tietokoneessa jota

0:05:05.569,0:05:07.739
voit käyttää hyödyksi

0:05:07.804,0:05:11.804
Ja sitten on rehellisyys [br]raportointi ja paikkaominaisuudet

0:05:12.730,0:05:15.909
Joihin menen vähän tarkemmin [br]myöhemmin

0:05:16.655,0:05:21.165
Mutta älä vain ota minun sanaani [br]asiasta vaan ota Richard Stormanin tai

0:05:21.168,0:05:26.998
GNU säätiön, koska he määrittelivät että [br]luottamus-alusta-moduuli, joka on

0:05:27.006,0:05:31.006
saatavilla tietokoneisiin ei ole [br]vaarallinen ja ei ole syytä sisällyttää

0:05:31.028,0:05:34.178
sellaista tietokoneeseen

0:05:34.498,0:05:38.268
Sanoisin, että ne ovat saaneet [br]"Storman hyväksyssän"

0:05:38.268,0:05:42.268
Ja täten miksi ei vain voisi käyttää[br]niitä

0:05:43.456,0:05:46.936
Seuraavaksi siirrytään asian pihviin

0:05:46.936,0:05:50.877
Kirjautumistietojen suojaaminen. [br]Kuka täällä käyttää julkista avain

0:05:50.877,0:05:53.167
suojausta jollakin tavalla?

0:05:53.276,0:05:56.496
Odotan, että kaikki kädet nousevat

0:05:57.938,0:06:01.938
Kuka käyttää älykorttia tai [br]"Yubi"-avainta tai TMP:tä suojaamaan

0:06:01.938,0:06:03.666
tietoja?

0:06:03.666,0:06:05.106
Okei

0:06:05.217,0:06:09.217
Ja kuka on optimoinut tämän [br]prosessin ja vain jättänyt alykortin

0:06:09.236,0:06:15.466
sinne taikatkaissut osan siitä? [br]Tai käyttäny Yubi-avain nanoa?

0:06:16.801,0:06:23.681
Okei. Vain muutama. Teille [br]muutamille tämä on sama suoja minkä

0:06:23.681,0:06:26.041
TMP tarjoaa

0:06:26.041,0:06:32.471
Ja muille älykortit. Voitte käyttää [br]TMP:tä, koska se on kätevämpi. Lisäksi

0:06:32.471,0:06:39.459
teillä on jo se niin miksi ette käyttäisi [br]sitä?

0:06:43.162,0:06:47.996
Okei. Mikä on turvallisuus idea [br]kirjautumistietojen suojaamisessa,

0:06:47.996,0:06:52.956
joka tulee älykorttien ja TMP:n kanssa [br]saman tyylisesti?

0:06:53.939,0:06:59.059
Periaatteessa haluamme jakaa [br]autentikoinnin, todisteen hallussapidosta

0:06:59.059,0:07:03.900
ja todisteen tiedosta

0:07:05.596,0:07:10.845
Jotenka meillä on kaksi tekijää [br]jotka haluamme saavuuttaa autentikoinnissa

0:07:11.656,0:07:15.697
Todiste tiedosta on hyvin [br]suoraviivainen. salasanan tai koodin

0:07:15.697,0:07:17.567
laittaminen älykortin avaamiseksi.

0:07:17.567,0:07:22.407
Ja todiste hallussapidosta on [br]toinen tekijä. Mitä tämä tärkoitta?

0:07:22.514,0:07:28.134
Mitä tarvitset luodaksesi todisteen [br]hallussapidosta tarvitset jotain mikä

0:07:28.216,0:07:30.949
ei ole kopioitavissa tai kloonattavissa

0:07:30.949,0:07:34.449
Eli se on pääominaisuus [br]mitä älykortti sinulle antaa

0:07:34.449,0:07:39.679
Mitä, esimerkiksi pehmeä merkki [br]tai julkinen avain, joka hengailee sinun

0:07:39.679,0:07:41.869
kovalevyllä ei anna sinulle

0:07:42.049,0:07:50.349
Koska voit vain CPttää sen ja [br]tuoda sen eri koneelle

0:07:50.496,0:07:53.762
Ja ajaa sen samaan aikaan monella [br]koneella

0:07:53.926,0:08:00.055
Jotenka jos sinulla on jotain mitä [br]ei voi kopioida, voi olla vain yhdellä

0:08:00.055,0:08:05.265
henkilöllä ja siten saat lisä turvaa.

0:08:05.891,0:08:10.461
Ja tästä tulee erityisen tärkeää [br]kaikissa hakkerointi konferensseissa,

0:08:10.563,0:08:14.664
täällä tai BlackHat tai missä ikinä

0:08:14.664,0:08:18.094
Koska näissä tapahtumissa [br]olevat ihmiset ovat hyvä tallentamaan

0:08:18.094,0:08:21.582
ja selvittämään salasanoja

0:08:21.582,0:08:24.724
Jotenka tämä on hyvä argumentti[br]miksi sinulla tulisi olla toinen

0:08:24.724,0:08:25.794
ominaisuus

0:08:27.983,0:08:33.873
Jotenka todiste hallussapidosta voi [br]olla älykortti tai Yubi-avain nano

0:08:33.873,0:08:38.873
voidaan muuttaa todisteeksi[br]hallusapidosta tietokoneella joka

0:08:38.873,0:08:41.483
sisältää TMP:n

0:08:41.483,0:08:45.483
Jotenka ainoastaan jos jollain on [br]pääsy tähän koneeseen ja tieto koodista.

0:08:45.483,0:08:51.757
Nämä kaksi tekijää mahdollistavat [br]autentikoinnin

0:08:52.370,0:08:55.650
Tyypillisesti jos olet hakkeroinnin [br]uhri. Tämä on ongelma siinä mitä

0:08:55.650,0:08:58.000
todiste hallussapidosta tarkoittaa

0:08:58.037,0:09:04.217
Sama kuin jos sinulla on älykortti [br]älykorttilukijassa siinä ajassa kun joku

0:09:05.547,0:09:09.547
saa järjestelmäsi haltuun he ovat[br]enemmän tai vähemmän kyvykkäitä

0:09:09.547,0:09:14.407
käyttämään sinun kirjautumistietoja

0:09:15.196,0:09:19.196
Mutta on kaksi eroa. Ne ovat [br]väliaikaisesti kiinnitettyjä aikaan

0:09:19.213,0:09:23.213
joka hakkeroinnissa kestää eli jos [br]siivoat järjestelmän voit jatkaa

0:09:23.239,0:09:26.309
työskentelyä normaalisti jälkeenpäin

0:09:26.837,0:09:30.627
Toinen asia on, että ei ole [br]mahdollista että hyökkäys, kuten

0:09:30.627,0:09:32.133
"kova verenvuoto"

0:09:32.272,0:09:36.272
Koska kaikki haavoittuvuudet [br]eivät ole kyvykkäitä saamaan täysiä

0:09:36.371,0:09:40.371
oikeuksia. Joskus hyökkäys kuten [br]"kova verenvuoto" voi saada vain tiettyjä

0:09:40.371,0:09:44.371
osia haltuunsa

0:09:46.538,0:09:51.238
Sinulla ei ole kyseistä ongelmaa[br]jos tietokone ei tiedä avainta ja sitä ei

0:09:51.238,0:09:53.448
ole tallennettu RAM:lle tai levylle

0:09:55.280,0:09:57.170
Demon aika

0:09:57.170,0:10:01.594
Kuinka voit käyttää tätä [br]kirjautumistietojen suojausta?

0:10:01.764,0:10:08.094
Yksinkertaisin tapa tehdä se on [br]TPM 2 TSS koneen avulla

0:10:09.218,0:10:12.068
TPM ohjelmistoprojektilla

0:10:12.167,0:10:14.732
Minun ei pitäisi kertoa siitä täällä

0:10:14.792,0:10:18.792
Jotenka asensimme yhden näistä [br]ohjelmistoista aikaisemmin ja se ei

0:10:18.792,0:10:22.072
oikeastaan ladannut

0:10:24.167,0:10:29.097
Jotta voitte käyttää sitä [br]tarvitsette vain nämä kolme komentoa

0:10:29.097,0:10:33.097
ja aion näyttää ne teille nopeasti

0:10:33.097,0:10:34.939
Muuten...

0:10:39.440,0:10:43.440
En käytä TPM:tä vaan käytän [br]laitteiston TPM:tä

0:10:45.165,0:10:49.165
Lähetin sen virtuaalikoneelle

0:10:57.931,0:11:00.868
Vaihdetaan virtuaalityöpöydälle

0:11:05.892,0:11:09.892
Jotenka mitä teemme ensimmäiseksi?

0:11:09.942,0:11:12.022
Ymmärrämme.. nyt se toimii

0:11:12.052,0:11:16.472
Luomme avaimen käyttämällä TPM:tä [br]ja seuraava komento luo itse-asetetun

0:11:16.472,0:11:22.392
sertifikaatin, ja kuten näette jotka ovat[br]työskennelleet asian parissa niin

0:11:22.422,0:11:26.322
ensimmäinen komento on mukautettu [br]komento ohjelmistosta

0:11:26.322,0:11:31.727
Toinen on tavallinen OpenSSL luo [br]sertifikaatti komento jossa nimetään

0:11:31.727,0:11:38.267
moottori ja avain joka tulee sen mukana

0:11:38.950,0:11:42.780
Jotenka aiomme ottaa tämän

0:11:42.914,0:11:46.334
Laitetaan se tänne

0:11:46.334,0:11:48.394
Olemme Itävallassa nyt

0:11:48.394,0:11:51.104
Ketä kiinnostaa

0:11:53.599,0:12:00.119
Ja nyt meillä on curl ja curl pystyy[br]yhditämään meidät... toimi nyt. Minun

0:12:03.975,0:12:06.405
olisi pitänyt tuoda hiiri

0:12:07.764,0:12:17.434
Jotenka curl pystyy käyttämään [br]OpenSSL moottoria ja älä ärsyynny

0:12:17.434,0:12:21.434
kautta-kautta epävarmuudesta. [br]Ajan tällä hetkellä EngineX serveriä

0:12:21.434,0:12:24.297
isäntäjärjestelmässä

0:12:24.297,0:12:28.297
Ja virtuaalikoneenssa käytän[br]curlia autentikoimaan ja käytän

0:12:28.297,0:12:32.297
client -autentikointi keskustellakseni [br]EngineX:n kanssa

0:12:38.288,0:12:42.288
Ja kuten huomaatte tämä on [br]nettisivu ja ensimmäistä kertaa

0:12:42.288,0:12:45.808
ajaessani komennon en meinannut [br]uskoa näkemääni koska se oli niin

0:12:45.808,0:12:48.818
nopea ja ajattelin että tein virheen

0:12:48.818,0:12:55.208
Jotenka verifioidakseni kaikille [br]teille teen "trace loginnin"

0:12:55.227,0:12:58.207
Ja sitten näemme että meillä [br]tapahtuu paljon kommunikointia TPM:n

0:12:58.207,0:12:59.597
kanssa

0:12:59.597,0:13:03.187
Jotenka käytämme oikeasti [br]TPM:tä tehdäksemme asiakas puolen

0:13:03.187,0:13:05.397
autentikointia serverillä

0:13:05.397,0:13:09.397
(aploodit)

0:13:10.145,0:13:11.825
Kiitos

0:13:12.197,0:13:19.842
Seuraava asia. Tämä on.. ensiksi [br]tämä on minun tapani tehdä asioita.

0:13:19.842,0:13:23.842
Haluan käyttää TPM:ää kotona ja ehkä [br]tehdä tyypillisiä bash skripti pohjaisia

0:13:23.842,0:13:26.932
asioita

0:13:26.932,0:13:30.451
ja milloin ikinä teetkään bash [br]skriptiä sinä et halua laittaa salasanaasi

0:13:30.451,0:13:33.886
sinne, koska kun pusket skriptit [br]Githubiin muut ihmiset voivat ladata ne

0:13:33.886,0:13:36.816
ja käyttää sinun salasanoja

0:13:36.816,0:13:39.886
Jotenka tämä on toinen etu näissä

0:13:40.003,0:13:43.623
ja toinen asia jota haluan tehdä[br]kotona. Minulla on Internet-

0:13:43.623,0:13:47.751
verkkopalvelin, joka on käytännössä [br]käänteinen välityspalvelin EngineX:llä

0:13:47.751,0:13:50.903
Se välittää tavarat kotiavustajalle[br]ja muihin paikkoihin

0:13:50.903,0:13:54.903
ja haluan pystyä poistamaan [br]tämän jotta pystyn tallentamaan

0:13:54.903,0:13:58.903
kirjautumistietoja turvallisesti, jotta[br]seuraavan kerran kun EngineX[br]"heart bleeds" ei se pilaa kaikkea

0:13:59.043,0:14:03.043
puolestani

0:14:03.195,0:14:07.195
ja EngineX:llä on erittäin[br]helppoa tehdä se

0:14:11.939,0:14:14.849
os katsomme tätä sivustoa[br]joka on merkitty tähän. Se on

0:14:14.849,0:14:16.859
käytännössä vain oletussivusto

0:14:16.859,0:14:20.349
näemme että meidän on [br]lähetettävä sertifikaatti ja

0:14:20.349,0:14:22.029
ssh-sertifikaattiavain

0:14:22.029,0:14:25.689
voit käyttää tätä avainsanakonetta, [br]joten toivottavasti et koskaan tallenna

0:14:25.689,0:14:26.759
avaimesi

0:14:26.759,0:14:29.097
ja jos kutsun moottoria siitä[br]tulee ongelman

0:14:29.137,0:14:33.017
ja me osoitamme tpm2tss -moottoria

0:14:33.017,0:14:37.197
ja koska jonkun ärsyttävän bugin [br]vuoksi EngineX ja ihmiset EngineX

0:14:37.197,0:14:40.217
foorumilla ovat puhuneet siitä

0:14:41.227,0:14:44.567
en löytänyt hyvää ratkaisua [br]asian korjaamiseksi ja tästä syystä

0:14:44.567,0:14:46.957
jouduin määrittelemään moottorin [br]uudestaan täällä

0:14:46.997,0:14:50.997
jotenka nyt kun kaikki tämä on[br]kunnossa voimme vain

0:14:52.566,0:14:56.566
käynnistää uudelleen

0:15:01.246,0:15:04.836
voimme vain käynnistää EngineX:n[br]uudelleen ja tällä kertaa käännämme sen

0:15:04.836,0:15:10.236
ympäri. Joten jatkan vain luotetun [br]verkkopalvelimeni isäntäjärjestelmässä

0:15:10.708,0:15:14.708
yritä kirjautua siihen

0:15:14.968,0:15:18.968
kyllä, koska emme luota sen [br]sertifikaattiin välittömästi yea,

0:15:19.008,0:15:23.008
mutta me voimme käyttää [br]TPM:ää autentikoimiseen

0:15:25.938,0:15:29.078
jotenka molemmat puolet voivat [br]nyt aloittaa skriptaamisen

0:15:29.078,0:15:33.078
Siisitä

0:15:33.078,0:15:35.008
Nyt mennään

0:15:35.008,0:15:39.008
Okei, joten se on helpoin tapa [br]päästä alkuun kun yrität yhdistää

0:15:39.008,0:15:42.171
TPM:n päivittäisiin bash-rutiineihin

0:15:42.938,0:15:46.938
seuraavaksi hieman monimutkaisempi[br]tapa tehdä asioita on pkcs11

0:15:49.037,0:15:55.297
pkcs11on avoimen ryhmän [br]standardisoitu API, jota Firefox käyttää

0:15:55.297,0:15:58.338
esimerkiksi älykorttien kanssa [br]kommunikoimiseen

0:15:58.757,0:16:02.757
ja tietysti me myös [br]työskentelemme... kuten nämä yhteisöt ja

0:16:02.757,0:16:06.127
teemme jotain sen eteen

0:16:06.127,0:16:09.598
meillä on jopa antenneja [br]täällä huoneessa

0:16:09.598,0:16:10.848
paljasin heidät

0:16:10.848,0:16:15.465
Okei, olemme tällä hetkellä [br]"orc0 face"

0:16:16.508,0:16:20.508
Tämä on myös syy siihen miksi[br]on outoa että asennustyökalut eivät

0:16:20.508,0:16:24.508
asennu aina kun kutsut niitä asentaaksesi

0:16:25.895,0:16:29.895
joten jos yrität ajaa näitä juttuja[br]uudelleen kotoa käsin huomioi näiden

0:16:29.895,0:16:36.005
diojen perusteella, että tämä on polku[br]tpmp2-työkalun chekc.git arkistoon

0:16:37.990,0:16:41.990
ja ainoa asia, joka todella saa [br]asennuksen on kirjasto jota pkcs11

0:16:42.077,0:16:43.857
käytämme myöhemmin

0:16:43.857,0:16:45.127
Joka tapauksessa

0:16:45.127,0:16:46.878
Otamme nämä muutamat käskyt täällä

0:16:46.878,0:16:50.618
ja periaatteessa teemme alustuksen.[br]Ensin laitamme pythonpath-juttuja ja

0:16:50.618,0:16:52.008
muuta sellaista

0:16:52.815,0:16:58.355
osoitamme tietokannan [br]tallentamiseen kodin alle

0:16:58.358,0:17:02.358
alustamme ja lisäämme tokenin [br]joka käytännössä luo uuden älykortin

0:17:03.878,0:17:06.141
ja sitten lisäämme avaimen

0:17:08.064,0:17:09.574
Okei

0:17:09.854,0:17:12.341
katsotaan toimiiko se oikein

0:17:15.701,0:17:17.671
Näyttää hyvältä

0:17:19.531,0:17:20.771
Joo

0:17:22.860,0:17:28.801
ja siinä se meillä on. Loimme juuri[br]älykortin tällä satunnaisella

0:17:28.811,0:17:31.438
älykorttitunnuksella, josta sinun [br]ei tarvitse välittää

0:17:31.466,0:17:35.466
mitä hienoa tässä on? Olen menossa [br]tähän ongelmaan koska haluan käyttää

0:17:35.466,0:17:39.466
sitä todentaakseni ssh:n kautta

0:17:39.903,0:17:44.183
koska en tiedä kuinka moni teistä [br]ssh-asiakastodennusta käyttävistä käyttää

0:17:44.625,0:17:47.955
allekirjoittavia julkisia avaimia

0:17:48.532,0:17:50.782
Eli periaatteessa lähes kaikki

0:17:51.032,0:17:52.048
Siistiä

0:17:52.048,0:17:53.167
Hakkerikonferenssi

0:17:53.261,0:17:57.261
Niin, ja kuka teistä ei suojaa[br]avaintansa salasanalla vaan käyttää

0:17:57.261,0:18:01.261
siihen tyhjää salasanaa?

0:18:03.971,0:18:07.971
Okei. Teille kaikille tämä saattaa [br]olla mielenkiintoista

0:18:09.881,0:18:13.881
joten aiomme kutsua ssh-keygenillä [br]ja mitä se tekee on ainoastaan

0:18:15.648,0:18:17.108
Joo

0:18:19.898,0:18:23.898
Generoi ssh-avaimen ja te kaikki[br]luultavasti näette tämän

0:18:25.087,0:18:27.717
Joten kopioin tämän

0:18:27.717,0:18:30.527
ja menee isäntäkoneeseeni

0:18:31.308,0:18:32.388
ja nyt menen

0:18:33.068,0:18:34.858
lisätty valtuutetut avaimet

0:18:34.968,0:18:38.238
ja lisään tämän avaimen

0:18:39.128,0:18:41.598
ja palaan virtuaalikoneeseen

0:18:43.638,0:18:46.638
Virtuaalinen työpöytä virtuaalisen[br]työpöydän sisällä

0:18:47.458,0:18:50.298
Se on kuin "pimp my ride"

0:18:51.178,0:18:53.478
Okei, ja sitten voimme kirjautua[br]sisään ssh:lla

0:18:54.248,0:18:54.998
ja

0:18:57.939,0:18:59.959
tämän pitäisi myös toimia nyt

0:18:59.959,0:19:03.149
ja tässä pyydämme PIN-koodia[br]älykorttiin jota alun perin kutsuin

0:19:03.169,0:19:03.918
merkiksi

0:19:04.958,0:19:06.958
jolle luultavasti löydät [br]paremman nimen

0:19:07.888,0:19:09.708
ja nyt olen sisällä

0:19:10.218,0:19:11.728
eli se toimii myös

0:19:11.988,0:19:15.098
(apploodit)

0:19:17.850,0:19:20.970
mutta jotta asiat olisivat vielä [br]siistimpi, mihin muuhun käytämme ssh:tä

0:19:20.978,0:19:24.978
no me käytämme sitä tai ainakin minä[br]käytän sitä gitiin

0:19:27.849,0:19:31.099
otamme tämän avaimen uudelleen

0:19:31.854,0:19:33.794
ja siirrymme Github:iin

0:19:34.204,0:19:36.664
ja tämä on minun Github-tili

0:19:37.994,0:19:39.894
Nyt menee mielenkiintoiseksi

0:19:41.424,0:19:45.964
Lisään tämän ssh-avaimeksi

0:19:45.964,0:19:46.724
ja

0:19:46.724,0:19:49.004
Kyllä tallennan salasanoja

0:19:51.064,0:19:54.594
millään heistä ei ole asiakkaan [br]todennusta...asiakkaan todennustodistus

0:19:54.594,0:19:57.264
kanssamme mitä muuta minun pitäisi tehdä

0:19:57.913,0:20:01.913
joten asia jota teemme täällä on [br]pohjimmiltaan että periaatteessa luon

0:20:01.943,0:20:05.943
tämän siistin shell skriptin joka [br]sisältää ssh-kutsun pkcss11-kirjastolla

0:20:07.236,0:20:11.236
ja sitten viemme sen git_ssh[br]-ympäristömuuttujan alle, mikä

0:20:11.236,0:20:15.236
tarkoittaa, että ssh:n sijaan

0:20:15.896,0:20:18.726
git kutsuu uutta ssh-juttuamme

0:20:18.726,0:20:22.666
ja tämä käännetään

0:20:23.776,0:20:27.776
kutsumalla pkcss11-palveluntarjoajaa

0:20:29.166,0:20:32.296
seuraavaksi kloonataan

0:20:33.426,0:20:35.686
ja täällä on uudelleen [br]TPM-invokaatio

0:20:36.716,0:20:38.726
Analoginen enemmän TPM kutsu

0:20:38.836,0:20:39.896
ja täällä ollaan

0:20:40.096,0:20:42.996
ja voimme nyt jopa mennä eteenpäin[br]ja kirjautua ulos haarasta

0:20:44.696,0:20:47.316
Luulen, että käytin tätä[br]testeissäni, joten kutsun sitä

0:20:48.806,0:20:49.536
Nyt

0:20:50.286,0:20:51.016
Ei

0:20:52.076,0:20:53.046
Tietysti

0:20:54.326,0:20:56.656
Kirjaudutaan ulos uudesta haarasta

0:20:59.936,0:21:01.516
git push origin

0:21:11.076,0:21:14.856
ja se on puskettu ja voit mennä[br]eteenpäin ja mennä nimiavaruuteeni

0:21:14.856,0:21:18.796
Githubissa ja sinun pitäisi nähdä tämän[br]mahtavan TPM-autentikoidun haaran

0:21:18.796,0:21:19.740
pusku tuolla

0:21:21.897,0:21:24.527
(aplodit)

0:21:27.010,0:21:27.850
Okei

0:21:27.950,0:21:32.640
kuten sanoin tämä on rc0\. [br]Toivottavasti tulee pari bugia ennen

0:21:32.640,0:21:34.490
lopullista julkaisua mutta

0:21:34.740,0:21:37.380
äyttää aika käyttökelpoiselta, [br]sanoisin

0:21:38.670,0:21:41.900
Okei. Tulen seuraavaan asiaan [br]joka on vielä kovasti työn alla

0:21:42.910,0:21:45.360
Tämä on bittilokero Linuxille

0:21:46.770,0:21:48.870
ja olen kirjoittanut tämän[br]yli vuosi sitten

0:21:48.950,0:21:52.140
ja ryhmässä oli yhdistämispyyntö

0:21:54.740,0:21:59.045
ja olemme pohjimmiltaan uudelleen[br]rakentaneet koko asian mutta ajattelin

0:21:59.045,0:22:02.365
että olisi hauskaa tuoda tämä työ, jonka [br]tein kauan sitten

0:22:03.800,0:22:06.190
Mitä tämä tekee niin perustaa [br]lukot ja krypton

0:22:09.190,0:22:15.790
Idea on, että sinulla on [br]äänenvoimakkuusnäppäin, jolla kokonaiset[br]taltiot salataan, ja sitten sinulla on useita [br]avaimia, jotka on tallennettu vetoomuksen[br]lukko-otsikkoon

0:22:15.790,0:22:19.790
jossa tämä äänenvoimakkuusavain [br]salataan yleensä avaimella, joka on

0:22:19.790,0:22:23.790
syöttämäsi salasanan oikealla puolella

0:22:24.027,0:22:27.747
ja tämä sitten näyttää siltä, ​​[br]mitä näemme täällä keskellä

0:22:27.960,0:22:31.120
jossa meillä on tämän tyyppinen[br]avainpaikka nolla

0:22:31.560,0:22:33.830
ja niinpä tein tuolloin, että [br]jatkoin näitä

0:22:33.830,0:22:37.570
Tämä on json joten jos käytät [br]lukkoa ainakin uusi alimuoto

0:22:37.570,0:22:40.870
Sinulla on json ja [br]vetoomuksen otsikot

0:22:41.240,0:22:43.920
Se on jotenkin mahtavaa

0:22:43.920,0:22:46.960
Helpotti elämääni paljon tuolloin

0:22:46.980,0:22:48.930
Meillä on siellä avainpaikka

0:22:48.990,0:22:52.990
jotain sellaista ja me otamme [br]äänenvoimakkuusnäppäimen

0:22:52.990,0:22:56.990
ja käytämme yhtä TPM:n ei-volutaalista [br]muistitilaa

0:22:57.888,0:23:00.328
ja tallennamme [br]äänenvoimakkuusnäppäimen suoraan

0:23:00.328,0:23:01.838
sinne ja niin on

0:23:02.893,0:23:04.933
ja kyllä vain muuta ei tarvita

0:23:04.993,0:23:08.993
ja sitten mitä teemme[br]alustamattomille Luks-otsikoille,[br]tallennamme vain metadataa

0:23:08.993,0:23:10.323
sinne ja niin on

0:23:10.926,0:23:12.646
Esimerkiksi

0:23:12.853,0:23:16.163
Mikä on se "nvindex" numero [br]jonka alle varastoimme tavaraa?

0:23:16.933,0:23:17.783
Okei

0:23:17.983,0:23:20.123
Demon aika jälleen

0:23:22.593,0:23:23.393
ja

0:23:31.053,0:23:33.733
joten tämä on haaramme[br]ryhmä josta poistun

0:23:33.733,0:23:35.953
ja tulee olemaan

0:23:35.953,0:23:39.143
Kokoamalla tämän livenä

0:23:40.647,0:23:44.647
Samalla vielä yksi huomautus. [br]Käyttöjärjestelmä jota ajetaan

0:23:44.650,0:23:48.650
virtuaalikoneella on vakio Ubuntu-asennus

0:23:48.874,0:23:50.414
ja

0:23:50.793,0:23:54.703
valitsin juuri tämän salauksen LVM [br]Ubuntun ohjatun asennustoiminnon aikana

0:23:58.583,0:24:03.653
ja kuinka koskaan, valitettavasti [br]se käyttää edelleen Luks1:tä tässä

0:24:03.713,0:24:07.713
muodossa joten mitä sinun täytyy tehdä[br]asennusmedialle jos haluat tehdä sen

0:24:07.810,0:24:09.930
sinun on kutsuttava tämä[br]"cryptsetup conver"

0:24:09.996,0:24:13.296
joka muuntaa Luks1-muodon [br]luks2-muotoon

0:24:14.073,0:24:16.453
kaiken pitäisi olla nyt valmista

0:24:16.873,0:24:17.923
Okei

0:24:18.209,0:24:21.799
Kyllä vain. ​​Me kokosimme ja [br]asensimme nyt päivitämme nopeasti

0:24:23.207,0:24:26.737
korvaamme cryptolabin [br]joka ei tee sitä kokoajan

0:24:27.606,0:24:28.346
ja

0:24:29.473,0:24:33.473
seuraava komento jota olemme [br]suorittamassa, ja näette että ainoa ero on[br]komennon "--tpm" lisääminen tähän

0:24:34.523,0:24:36.473
Joka. Kyllä

0:24:37.793,0:24:39.733
kutsuu käyttämään TPMää

0:24:40.723,0:24:41.833
tila sille

0:24:42.673,0:24:45.663
ja syötämme olemassa [br]olevan salasanan

0:24:46.923,0:24:50.923
syötämme uuden salasanan ja tätä[br]uutta salasanaa käytetään TPMn

0:24:51.073,0:24:52.453
todentamiseen

0:24:54.483,0:24:55.253
ja

0:24:56.542,0:24:59.422
meillä on vain 5 minuuttia, joten [br]hyppään suoraan eteenpäin

0:24:59.763,0:25:03.055
Kaiken pitäisi nyt olla kunnossa ja[br]seuraavan uudelleenkäynnistyksen

0:25:03.055,0:25:04.875
yhteydessä järjestelmä kysyy minulta

0:25:05.406,0:25:08.096
TPM pohjaista salasanaa ja sitten

0:25:10.113,0:25:12.823
pääsemme näkemään

0:25:14.503,0:25:17.653
joten näemme tässä, että toinen [br]avainpaikka on nyt TPM2-tyyppinen

0:25:19.373,0:25:20.373
Okei

0:25:29.033,0:25:32.203
Vielä yksi asia jonka haluan [br]esitellä varhaisessa käynnistyksessä

0:25:32.204,0:25:35.784
on eheyden tarkistus joka perustuu siihen[br]mitä Matthew Garret puhui "@32c3"

0:25:37.064,0:25:40.484
ja tämä on linkki hänen puheeseensa

0:25:40.734,0:25:42.834
Kannattaa ehdottomasti [br]käydä katsomassa se

0:25:43.324,0:25:47.324
Joten tässä on kyse varhaisen [br]käynnistyksen eheyden varmistamisesta ja

0:25:47.324,0:25:50.354
jakamalla salaisuu TPMn ja älypuhelimesi [br]välillä

0:25:50.368,0:25:51.458
ja

0:25:51.704,0:25:54.159
Kyllä. Tein juuri [br]uudelleentoteutuksen ja aion

0:25:54.169,0:25:55.859
esitellä myös sen

0:25:55.952,0:26:00.181
Valmistautuessamme siihen on teidän [br]kaikkien aika ottaa älypuhelimet esiin ja

0:26:00.181,0:26:03.231
avata ilmainen TOTP-sovellus tai

0:26:03.302,0:26:08.739
Google autentikaattori jotta voit [br]varmistaa että kaikki toimii tarkoituksen

0:26:08.739,0:26:10.019
mukaisesti

0:26:12.796,0:26:15.806
ja tämän olen itse asiassa[br]koonnut valmiiksi

0:26:16.366,0:26:19.956
Muuten jos yleisössä on jok, joka on[br]hyvä gtk-gui-suunnittelussa tule

0:26:19.966,0:26:21.896
juttelemaan minulle

0:26:22.326,0:26:24.596
Tässä näette minun tuotokseni

0:26:25.016,0:26:25.806
Okei

0:26:25.946,0:26:27.476
Aiomme suojella

0:26:29.046,0:26:34.686
Pyörittämällä komennon pcr027 ja [br]tämä varmistaa jokaisen käynnistyksen

0:26:34.686,0:26:38.686
yhteydessä että tämä PCR-arvo on

0:26:38.892,0:26:42.892
olivat samat kuin nyt kun käännämme[br]tätä järjestelmää joten se tarkoittaa

0:26:43.147,0:26:46.097
että jos sinulla on ydinpäivitys tai

0:26:46.097,0:26:49.170
tai päivitä sisäinen RDM[br]jälkeenpäin PCR-arvot vaihtelevat joten

0:26:49.170,0:26:51.660
sinun täytyy käydä läpi tämä prosessi[br]uudelleen

0:26:51.690,0:26:55.580
Joten kaikki ovat skannatneet tämän [br]toivottavasti omassa ilmaisessa TOTPssaan

0:26:55.930,0:26:57.740
tai Google autentikaattorilla

0:26:57.900,0:27:01.830
sitten voimme jatkaa ja voimme itse [br]asiassa aloittaa järjestelmän

0:27:01.830,0:27:04.100
uudelleenkäynnistyksen

0:27:06.490,0:27:08.530
ja toivottavasti tämä toimii nyt

0:27:09.020,0:27:12.789
koska monimutkaisin osa kaikissa[br]näissä demoissa oli itse asiassa

0:27:12.789,0:27:15.229
etäasetus "crap"n ja "implens"sin välillä.

0:27:16.700,0:27:18.580
uskokaa tai älkää

0:27:20.130,0:27:22.710
Okei ja näytöllä on tämä numer, [br]joka on todella suuri

0:27:23.240,0:27:25.640
828688\. Pitikö tämä paikkansa?

0:27:26.730,0:27:27.740
Yleisö: Kyllä

0:27:28.080,0:27:29.240
Hienoa

0:27:30.310,0:27:31.660
(aplodit)

0:27:32.250,0:27:37.380
ja toinen asia jonka teen nyt [br]erittäin suojatun salasanan sijaan ja

0:27:37.380,0:27:38.970
kirjoitan 1234

0:27:40.100,0:27:43.160
Teidän täytyy uskoa minua ja [br]mikä on TPM-salasana

0:27:44.420,0:27:47.150
ja se itseasiassa käynnistyy[br]käyttäen TPMää

0:27:47.720,0:27:49.530
Mikä on

0:27:49.868,0:27:51.288
Tässähän se on

0:27:51.401,0:27:53.901
joten se toimii myös Luksien kanssa

0:27:54.097,0:27:54.947
Okei

0:27:56.944,0:28:00.314
Toivottavasti tämä antoi teille [br]vaikutelman mitä voitte tehdä TPMllä

0:28:00.334,0:28:02.014
jo tänään

0:28:02.946,0:28:06.476
Jos haluat liittyä kehitykseen[br]mukaan, liittyä hackroom-juttuihin tämä

0:28:06.476,0:28:09.016
sivusto sisältää yhteisösivumme

0:28:10.094,0:28:14.094
Missä meillä on gitter joten voit[br]tulla puhumaan meille, minulle ja

0:28:14.114,0:28:16.044
muille kehittäjille

0:28:16.854,0:28:20.704
Voit katsoa niitä kahta [br]otsikkotiedostoa jotka ovat tärkeimmät

0:28:20.704,0:28:23.224
tällä hetkellä joten se on aivan uutta

0:28:24.424,0:28:27.144
Julkaisimme sen juuri tai [br]yhdistimme sen juuri masteriin

0:28:27.844,0:28:29.884
Muistaakseni viikko sitten

0:28:30.554,0:28:32.994
Olkaa hyvä ja katsokaa,[br]testatkaa sitä

0:28:33.994,0:28:35.454
Katsokaa myös

0:28:37.924,0:28:41.924
työkalut. Kaikki työkalut jotka [br]alkavat kirjaimella tpm2_ ovat

0:28:41.924,0:28:46.824
periaatteessa"esapi" tai "eses" peilejä [br]ja kaikki työkalujen etuliite tss_ ovat

0:28:46.824,0:28:50.824
yksi yhteen "thappy" -sovituksia

0:28:51.681,0:28:57.731
ja tässä on vielä yksi pro vinkki [br]kun kehität ja jokin epäonnistuu yhtäkkiä

0:28:57.731,0:29:01.567
se liittyy yleensä TPM-resurssien [br]loppumiseen

0:29:02.134,0:29:05.604
ja tämä komento siellä alhaalla [br]jäädyttää TPMn sisäisen RAMin uudelleen

0:29:05.604,0:29:07.704
jotta voit jatkaa työskentelyä

0:29:07.934,0:29:08.694
Okei

0:29:08.966,0:29:09.985
Kiitos

0:29:15.034,0:29:16.404
"Kysymysten aika"

0:29:17.444,0:29:18.174
Kiitos

0:29:18.844,0:29:20.124
Se oli Andreas

0:29:20.219,0:29:24.809
Ja nyt on kysymysten aika. Meillä [br]on kysymyksiä internetissä ja meillä on

0:29:24.809,0:29:28.809
kysymyksiä täällä

0:29:28.932,0:29:29.702
Ja

0:29:31.574,0:29:35.574
Katsokaa. Teillä kahdella on [br]sama paita

0:29:36.074,0:29:38.374
Hieno paita research exhaustion

0:29:39.264,0:29:41.174
Okei, voisimme aloittaa[br]numerosta neljä

0:29:42.554,0:29:46.554
Henkilö yleisöstä: Okei. Oletetaan [br]että sinulla on salausavaimet TPMssä ja

0:29:46.554,0:29:50.034
hallituksesi vaikuttaa jollain tavalla [br]TPMn tarjoajaan

0:29:51.024,0:29:57.402
Henkilö yleisöstä: Joten ehkä voisi [br]olla jokin tapa saada salausavain joten

0:29:57.402,0:30:01.342
tämä ei ole hyvä lähestymistapa joten [br]olisi mukavampaa antaa sinulle iso lihava

0:30:01.352,0:30:03.102
mandaatti saadaksesi avaimet

0:30:03.164,0:30:07.164
Henkilö yleisöstä: ja siellä on [br]joitain muita avaimi jotka ovat TPMssä

0:30:07.164,0:30:10.704
joten sinulla on oltava molemmat jotta v[br]oit salata tavarasi

0:30:10.874,0:30:14.874
Henkilö yleisöstä: joten se pitäisi [br]tehdä näin. Jotta ei voida sanoa että

0:30:14.874,0:30:18.814
henkilöä kidutetaan salauksen avaamiseksi

0:30:20.673,0:30:24.533
Henkilö yleisöstä: tiedot toisella[br]tietokoneella koska sillä on eri

0:30:24.533,0:30:26.163
TPM salaisuuteen

0:30:26.163,0:30:29.593
Henkilö yleisöstä: joten sinulla [br]pitäisi olla todellinen kaksiosainen

0:30:29.593,0:30:32.593
todennus ilman näitä avaimia TPMssä [br]koska en luottaisi siihen

0:30:32.834,0:30:36.034
Okei. Riippuu vainoharhaisuudestasi [br]mutta se on varmasti hyvä idea

0:30:36.794,0:30:37.674
Kiitos

0:30:38.484,0:30:40.784
Vain kysymyksiä. Ei kommentteja

0:30:41.704,0:30:42.774
En pahastu

0:30:44.474,0:30:46.534
Kysymyksiä. Tämä on sääntö.

0:30:48.074,0:30:49.554
Numero kaksi

0:30:50.104,0:30:53.124
Henkilö yleisöstä: Minun on[br]käytettävä Windowsia joka on salattu

0:30:53.124,0:30:55.224
"bitlockerilla" ja toisella sijalla

0:30:55.407,0:30:58.247
Henkilö yleisöstä: Kuinka[br]todennäköistä on että bitlockerin

0:30:58.247,0:31:01.167
tunnistetiedot tuhotaan tahattomasti[br]näiden työkalujen kanssa

0:31:01.167,0:31:02.817
työskennellessäni?

0:31:04.036,0:31:07.406
Se riippuu paljolti siitä mitä [br]työkaluja käytät ja mihin tarkoitukseen

0:31:07.966,0:31:13.156
Tässä käyttämäni työkalut ja [br]kaikki mitä näytin eivät asenna

0:31:13.156,0:31:15.726
estäviä avaimia

0:31:15.926,0:31:19.716
Luulen että oikeastaan pkcs11 [br]asentaa presistan-avaimia, joten se

0:31:19.716,0:31:22.786
kuluttaa osan resursseistasi ja myös [br]crypto-jutuistasi

0:31:23.226,0:31:27.376
ja huippujutut vievät jonkin verran[br]"envy" -tilaa, ja jos uskot kuinka

0:31:27.376,0:31:32.996
paljon TPM-resursseja Windows haluaa [br]vaatia itselleen saatat törmätä ¨

0:31:32.996,0:31:35.006
resurssien loppumiseen.

0:31:35.444,0:31:40.294
Mutta ei ole muita avaimia joita [br]nämä työkalut tai demot poistavat

0:31:42.107,0:31:44.997
Eli voit mennä huoletta ja[br]käyttää noita

0:31:46.837,0:31:48.007
Okei. Kiitos.

0:31:48.857,0:31:51.167
Ehkäpä meillä on [br]kysymys internetistä

0:31:51.867,0:31:55.867
Henkilö yleisöstä: Joo muut [br]laitteisto tokenit kuten "ubi-avain"

0:31:55.867,0:31:59.467
heillä saattaa olla esimerkiksi painike [br]jota sinun täytyy painaa saadaksesi

0:31:59.467,0:32:03.027
jonkinlaisen todisteen läsnäolosta [br]jotta ohjelmisto ei voi käyttää sitä

0:32:03.027,0:32:06.178
Henkilö yleisöstä: taustalla[br]ilman että tiedät siitä

0:32:06.178,0:32:08.612
Henkilö yleisöstä: Kuinka tehdä[br]sama käyttäen TPMää?

0:32:09.188,0:32:10.828
Tällä hetkellä ei pysty

0:32:11.044,0:32:15.044
Mutta toivon tai olen toivonut että[br]TPM voisi käyttää lediä kymmenen

0:32:15.044,0:32:17.768
vuoden päästä

0:32:18.254,0:32:22.254
Todennäköisemmin näemme [br]jossain vaiheessa tulevaisuudessa joitain

0:32:22.278,0:32:26.278
gpio-käyttöisiä TPM-laitteita ja riippuen [br]siitä mitä voimme tehdä niillä

0:32:26.808,0:32:29.218
mahdollisesti pystymme [br]sisällyttämään tämän

0:32:29.218,0:32:32.048
tai saman tyylisiä[br]ominaisuuksia tulevaisuudessa

0:32:32.098,0:32:36.098
mutta toistaiseksi uskon että on [br]ollut vain tutkimusprototyyppejä joita

0:32:36.098,0:32:40.098
olen itse päässyt toteuttamaan TPMlle [br]"cortex-r3" -laitteessa

0:32:41.250,0:32:45.250
"gpion" hyödyllisyyden [br]osoittamiseksi suoraan tpm:stä.

0:32:45.514,0:32:47.814
Mutta se on ensin kehitettävä

0:32:48.780,0:32:50.340
Okei. Kiitos

0:32:51.710,0:32:53.360
Numero viisi kiitos

0:32:54.820,0:32:56.850
Henkilö yleisöstä: Kyllä. Moi

0:32:57.790,0:33:01.430
Henkilö yleisöstä: Voitko toteuttaa[br]tämän universumin jatko-osan syötettynä

0:33:01.470,0:33:04.300
edelleen TPMlle? Aiotteko tehdä sen?

0:33:05.720,0:33:09.720
Kyllä ja ei. Voit toteuttaa osia [br]fidosta käyttämällä TPMää joka on

0:33:09.720,0:33:13.390
salauksen perustoiminto mutta fido [br]sisältää myös mukautettuja tietomuotoja

0:33:14.660,0:33:18.660
joita yleensä käsitellään myös[br]fido-tunnuksella

0:33:19.810,0:33:23.810
jossa sinulla on laskureita, jotka[br]lisäävät jotain sellaista

0:33:24.530,0:33:27.910
jota TPM ei tallenna sisäisesti[br]koska TPM ei tiedä fido-tietorakenteista

0:33:27.920,0:33:30.540
ja päinvastoin

0:33:31.280,0:33:35.280
Kuitenkin fido2lle mielestäni oli [br]tämäTPM-metastaattinentila

0:33:36.260,0:33:40.260
mutta se olisi jonkun toteutettava

0:33:41.000,0:33:45.000
Haluatko aloittaa työskentelyn sen[br]parissa tule puhumaan minulle ja olen

0:33:45.000,0:33:47.620
varmasti apunasi

0:33:48.450,0:33:52.450
Joten tekemistä on paljon ja kyllä

0:33:52.730,0:33:56.730
Jos joku teistä etsii tekemistä

0:33:57.640,0:34:01.440
Voit vain mennä eteenpäin ja katsoa[br]tätä github.io-yhteisösivua jos siirryt

0:34:01.440,0:34:02.850
ohjelmistoon

0:34:03.430,0:34:05.480
välilehti yläreunassa ja[br]vierität alas

0:34:05.480,0:34:09.480
on luettelo ohjelmista. Aloitamme [br]siis ohjelmista joilla on jo TPM-tuki

0:34:09.480,0:34:11.270
ja sitten meillä on

0:34:11.270,0:34:14.690
vielä pidempi lista ohjelmista [br]joissa oli TPMn suunnitteilla. On myös

0:34:14.700,0:34:16.590
paljon asioita kuten

0:34:17.220,0:34:21.220
Weboht ja Cryptoki ja vaikka mitä [br]muita missä toivoisin näkevän TPM tuen

0:34:21.710,0:34:25.710
Jopa niinkin yksinkertainen [br]kuin "gpt"

0:34:26.190,0:34:27.430
Mikä. Kyllä.

0:34:28.530,0:34:30.460
Okei. Numero kaksi kiitos

0:34:31.295,0:34:35.415
Henkilö yleisöstä: Kuinka monta [br]erilaista avainta tai älykorttia voit

0:34:35.415,0:34:37.138
tallentaa TPMään?

0:34:37.138,0:34:40.628
Henkilö yleisöstä: Onko se vain [br]yksi vai voitko tallentaa useampia?

0:34:41.308,0:34:45.308
On hienoa, että TPMn perusperiaate[br]on että TPM tallentaa vain hyvin

0:34:45.308,0:34:46.908
vähän avaimia

0:34:48.170,0:34:50.840
yleensä se on vain yksi [br]tässä tapauksessa

0:34:50.850,0:34:54.180
ja sitten kaikki muut avaimet[br]salataan tällä avaimella ja tallennetaan

0:34:54.180,0:34:55.250
kiintolevylle

0:34:56.000,0:34:59.410
Tällä pkcs11llä joka meillä on[br]täällä sinulla voi olla niin monta

0:34:59.410,0:35:02.730
avainta kuin sinulla on vapaata[br]kiintolevytilaa

0:35:03.690,0:35:07.690
tai niin monta avainta "sql-lite" [br]-työkalun avulla voit

0:35:07.690,0:35:09.990
tallentaa tietokantaan

0:35:10.900,0:35:12.940
Kiitos. Numero neljä kiitos.

0:35:13.440,0:35:16.550
Henkilö yleisöstä: Hei. kiitos[br]esityksestä. Minulla on ytimen

0:35:16.560,0:35:19.170
päivityksiin liittyvä kysymys

0:35:19.720,0:35:26.030
Jos päivitän ytimeni voinko mitata[br]mikä kernal on seuraavassa

0:35:26.040,0:35:27.590
käynnistyksessä

0:35:28.420,0:35:31.970
ja kertoa TPMlleni että tämä [br]uudelleensinetöi tällä hetkellä sinetöidyt

0:35:31.970,0:35:35.320
avaimet tuleville ptr-arvoille,joita sen [br]pitäisi odottaa seuraavassa

0:35:35.330,0:35:37.000
käynnistyksessä?

0:35:37.680,0:35:39.890
Teoriassa ehdottomasti kyllä

0:35:39.890,0:35:43.031
Se on täysin yksinkertaista joten[br]tutkija kertoo sinulle että se

0:35:43.031,0:35:44.171
ei ole haaste

0:35:44.254,0:35:47.654
Insinööri sen sijaan kertoo että[br]tämä on eräänlainen ongelma

0:35:48.202,0:35:49.032
ja

0:35:49.672,0:35:52.752
ongelma on että sinun on jotenkin[br]tiedettävä viitearvot

0:35:52.752,0:35:55.712
etukäteen ja sitten sinun on[br]laskettava uudelleen koko siihen m

0:35:55.722,0:35:57.202
ennyt mittausketju

0:35:57.915,0:36:01.075
joten tässä on kyse [br]lähestymistavasta

0:36:01.512,0:36:04.892
referenssi- ja eheysmittausjakelu [br]että Linux-promot -konferenssissa oli

0:36:04.892,0:36:07.352
osio jossa tätä ongelmaa käsiteltiin

0:36:08.102,0:36:10.572
Jotenka tämä on siis

0:36:11.072,0:36:13.672
Lähinnä infrastruktuuriongelma

0:36:14.262,0:36:17.702
pikemminkin kuin itse [br]asiassa TPMn ongelma

0:36:17.952,0:36:20.112
tai TPMn-perusohjelmiston

0:36:20.882,0:36:22.162
Okei. Kiitos.

0:36:22.192,0:36:25.772
Joten meillä on vielä yksi minuutti [br]joten olen erittäin pahoillani emme voi

0:36:25.772,0:36:27.422
ottaa enempää kysymyksiä huoneesta

0:36:27.422,0:36:29.752
mutta minulla on vielä yksi [br]kysymys internetistä

0:36:30.092,0:36:33.322
Henkilö yleisöstä: Jos en luota[br]TPMään ja koneeseeni voinko saada

0:36:33.322,0:36:36.202
toisenlaisen luotettavalta [br]palveluntarjoajalta? Ovatko ne y

0:36:36.202,0:36:38.642
hteensopivia siinä mielessä?

0:36:38.982,0:36:42.182
Kyllä. Tietääkseni heillä on [br]yhteensopiva pin-out ja yhteensopiva

0:36:42.182,0:36:44.222
cpi-protokolla ja

0:36:44.912,0:36:47.842
se on hieno asia että

0:36:48.162,0:36:50.862
ne ovat yhteensopivia

0:36:51.452,0:36:52.432
Varmasti

0:36:53.222,0:36:54.452
Eteenpäin

0:36:55.582,0:36:58.842
Paitsi ehkä intel ttp ftp joka[br]toimii hallintamoottorilla

0:36:59.872,0:37:03.872
Niillä tietysti jos myit ne RITllä[br]ei ole niillä ole enään IOta

0:37:04.392,0:37:06.522
Okei. Kiitos paljon.

0:37:07.122,0:37:10.912
Jos haluat ottaa yhteyttä Andreaan[br]mene verkkosivustolle. Olette nähneet

0:37:10.912,0:37:12.602
sen aikaisemmin

0:37:13.262,0:37:14.492
ja kiitos

0:37:14.902,0:37:17.638
ja ehkä vielä yhdet raikuvat [br]aplodit Andreakselle

0:37:17.642,0:37:18.902
(aplodit)

0:37:18.902,0:37:19.682
Kiitos

0:37:21.812,0:37:25.812
Subtitles created by Musa Jallow [br](ITKST56 course assignment at JYU.fi)