Subtitles created by Musa Jallow (ITKST56 course assignment at JYU.fi) Resurssien loppuminen Hakkerointi TMP:llä Seuraava puhe on hakkerointi TMP:llä. Älkää kysykö mitä voitte tehdä TMP:llä. Sen sijaan kysykää mitä TMP voi tehdä sinulle Ja se toimii tietyllä tavalla johdantona siihen mitä TMP on ja mitä sillä voi tehdä Ja vieraileva juontaja on Andreas ja tässä hän on. Antakaa suuret aplodit. Kiitos Tervehdys kaikille. Minun nimeni on Andreas. Aion esitellä joitakin asioita TMP:stä. Tässä on minun GitHub-kahva ja nimi josta voit löytää osan asioiasta joiden parissa työskentelen Ja kaikista tärkeimmät lähteet joista puhun on tämä. Näet sen loppuyhteenvedossa uudestaan Jotenka, kuka minä olen. Työskentelen TMP:n parissa, jotenka olen löytänyt jonkun joka on valmis maksamaan minulle työskennelläkseni tämän asian parissa. Ja olen jäsenenä luotto tietokoneryhmässä, joka tekee paljon näiden asioiden määrittelyä Aloitin työskentelyn TMP:n parissa 13 vuotta sitten, jolloin se oli 1.2. Yritin saada asiat toimivaan itselleni, mikä ei kuitenkaan onnistunut järjestelmä ei ollut hyvin ylläpidetty, API oli ikävä Jotenka 5 vuotta sitten, kun osallistujia rekrytoitiin työskentelmään TSS 2.0 parissa. Hyppäsin kanin koloon välittömästi Määrittelyä, kirjoittamista ja mitä muuta TSS toteuttamiseen ja ylläpitoon tarvittiin. Github tuli myöhemmin kuvioihin Tätä lopputulosta aion esitellä teille. Aion käydä läpi esittely lyhyesti mitä TMP:t ovat Ja sitten siirrymme kahteen aiheeseen tietojen suojaaminen ja käynnistyksen suojaaminen. Ja sitten informaatiota siitä miten voit aloittaa työskentelyn itse Ja tässä tulee hauska osuus. Jotenka teidän huviksi ja minun henkilökohtaisen yöllisen adrenaliinin vuoksi ajattelin sisällyttää joitakin demoja Se mitä aion nyt tehdä on, että kopion kaiken tämän Siirryn omistamaani ja luotettavaan virtuaalikoneeseen Ja tietysti se ei toimi heti Minun olisi pitänyt avata sudo ensiksi Aion tehdä live demoja aina välillä Pyydän, älkää DoS täällä olevaa internettiä tai esitys jää hyvin lyhyeksi Mitä ovat TMP:t. TMP on turvallisuus-siru joka liitetään emolevyyn Ja kiitso Microsoftin, kun antoivat TMP:s kaikille halvalla. Koska kiitos Microsoftin logo-ohjelman jokaisessa kuluttajatietokoneessa on nykyään TMP Jotenka miksi ei käyttäisi niitä. Ne ovat melko tietoturvallisia. Niissä on tiety kriteerisertifikaatit joihin voitte luottaa Tottakai on ollut joitain TMP.failed ja Tanja ja David puhuivat tästä kaksi, kolmetuntia sitten mikä oli mielenkiintoista Ja mihin se pystyy? Se pystyy tekemään Cryptoa, varastointia ja tallentamaan boot has -arvoja Ja se on periaattessa kaikki mihin se pystyy. Jotenka se on täysin passiivinen laite Mikä on kaikista tärkein pointti. Ja oikealla näette vanhoja 1.2 versioita. Nykypäivänä se on paljon pienempi Ovat TMP:t vaarallisia? Mielestäni olemme kuullet keskusteluja menneisyydessä, että kongressissa ollaan väitelty molemmista suunnista TMP:llä oli huono maine kun ne tulivat ensimmäistä kertaa myyntiin Kuten sanoin ne ovat täysin passiivisia Ja mitä TMP:t ovat oikeasti niin ne ovat upotettuja älysiruja Jotenka sinulla on tietynlainen tietoturvaelementti tietokoneessa jota voit käyttää hyödyksi Ja sitten on rehellisyys raportointi ja paikkaominaisuudet Joihin menen vähän tarkemmin myöhemmin Mutta älä vain ota minun sanaani asiasta vaan ota Richard Stormanin tai GNU säätiön, koska he määrittelivät että luottamus-alusta-moduuli, joka on saatavilla tietokoneisiin ei ole vaarallinen ja ei ole syytä sisällyttää sellaista tietokoneeseen Sanoisin, että ne ovat saaneet "Storman hyväksyssän" Ja täten miksi ei vain voisi käyttää niitä Seuraavaksi siirrytään asian pihviin Kirjautumistietojen suojaaminen. Kuka täällä käyttää julkista avain suojausta jollakin tavalla? Odotan, että kaikki kädet nousevat Kuka käyttää älykorttia tai "Yubi"-avainta tai TMP:tä suojaamaan tietoja? Okei Ja kuka on optimoinut tämän prosessin ja vain jättänyt alykortin sinne taikatkaissut osan siitä? Tai käyttäny Yubi-avain nanoa? Okei. Vain muutama. Teille muutamille tämä on sama suoja minkä TMP tarjoaa Ja muille älykortit. Voitte käyttää TMP:tä, koska se on kätevämpi. Lisäksi teillä on jo se niin miksi ette käyttäisi sitä? Okei. Mikä on turvallisuus idea kirjautumistietojen suojaamisessa, joka tulee älykorttien ja TMP:n kanssa saman tyylisesti? Periaatteessa haluamme jakaa autentikoinnin, todisteen hallussapidosta ja todisteen tiedosta Jotenka meillä on kaksi tekijää jotka haluamme saavuuttaa autentikoinnissa Todiste tiedosta on hyvin suoraviivainen. salasanan tai koodin laittaminen älykortin avaamiseksi. Ja todiste hallussapidosta on toinen tekijä. Mitä tämä tärkoitta? Mitä tarvitset luodaksesi todisteen hallussapidosta tarvitset jotain mikä ei ole kopioitavissa tai kloonattavissa Eli se on pääominaisuus mitä älykortti sinulle antaa Mitä, esimerkiksi pehmeä merkki tai julkinen avain, joka hengailee sinun kovalevyllä ei anna sinulle Koska voit vain CPttää sen ja tuoda sen eri koneelle Ja ajaa sen samaan aikaan monella koneella Jotenka jos sinulla on jotain mitä ei voi kopioida, voi olla vain yhdellä henkilöllä ja siten saat lisä turvaa. Ja tästä tulee erityisen tärkeää kaikissa hakkerointi konferensseissa, täällä tai BlackHat tai missä ikinä Koska näissä tapahtumissa olevat ihmiset ovat hyvä tallentamaan ja selvittämään salasanoja Jotenka tämä on hyvä argumentti miksi sinulla tulisi olla toinen ominaisuus Jotenka todiste hallussapidosta voi olla älykortti tai Yubi-avain nano voidaan muuttaa todisteeksi hallusapidosta tietokoneella joka sisältää TMP:n Jotenka ainoastaan jos jollain on pääsy tähän koneeseen ja tieto koodista. Nämä kaksi tekijää mahdollistavat autentikoinnin Tyypillisesti jos olet hakkeroinnin uhri. Tämä on ongelma siinä mitä todiste hallussapidosta tarkoittaa Sama kuin jos sinulla on älykortti älykorttilukijassa siinä ajassa kun joku saa järjestelmäsi haltuun he ovat enemmän tai vähemmän kyvykkäitä käyttämään sinun kirjautumistietoja Mutta on kaksi eroa. Ne ovat väliaikaisesti kiinnitettyjä aikaan joka hakkeroinnissa kestää eli jos siivoat järjestelmän voit jatkaa työskentelyä normaalisti jälkeenpäin Toinen asia on, että ei ole mahdollista että hyökkäys, kuten "kova verenvuoto" Koska kaikki haavoittuvuudet eivät ole kyvykkäitä saamaan täysiä oikeuksia. Joskus hyökkäys kuten "kova verenvuoto" voi saada vain tiettyjä osia haltuunsa Sinulla ei ole kyseistä ongelmaa jos tietokone ei tiedä avainta ja sitä ei ole tallennettu RAM:lle tai levylle Demon aika Kuinka voit käyttää tätä kirjautumistietojen suojausta? Yksinkertaisin tapa tehdä se on  TPM 2 TSS koneen avulla TPM ohjelmistoprojektilla Minun ei pitäisi kertoa siitä täällä Jotenka asensimme yhden näistä ohjelmistoista aikaisemmin ja se ei oikeastaan ladannut Jotta voitte käyttää sitä tarvitsette vain nämä kolme komentoa ja aion näyttää ne teille nopeasti Muuten... En käytä TPM:tä vaan käytän laitteiston TPM:tä Lähetin sen virtuaalikoneelle Vaihdetaan virtuaalityöpöydälle Jotenka mitä teemme ensimmäiseksi? Ymmärrämme.. nyt se toimii Luomme avaimen käyttämällä TPM:tä ja seuraava komento luo itse-asetetun sertifikaatin, ja kuten näette jotka ovat työskennelleet asian parissa niin ensimmäinen komento on mukautettu komento ohjelmistosta Toinen on tavallinen OpenSSL luo sertifikaatti komento jossa nimetään moottori ja avain joka tulee sen mukana Jotenka aiomme ottaa tämän Laitetaan se tänne Olemme Itävallassa nyt Ketä kiinnostaa Ja nyt meillä on curl ja curl pystyy yhditämään meidät... toimi nyt. Minun olisi pitänyt tuoda hiiri Jotenka curl pystyy käyttämään OpenSSL moottoria ja älä ärsyynny kautta-kautta epävarmuudesta. Ajan tällä hetkellä EngineX serveriä isäntäjärjestelmässä Ja virtuaalikoneenssa käytän curlia autentikoimaan ja käytän client -autentikointi keskustellakseni EngineX:n kanssa Ja kuten huomaatte tämä on nettisivu ja ensimmäistä kertaa ajaessani komennon en meinannut uskoa näkemääni koska se oli niin nopea ja ajattelin että tein virheen Jotenka verifioidakseni kaikille teille teen "trace loginnin" Ja sitten näemme että meillä tapahtuu paljon kommunikointia TPM:n kanssa Jotenka käytämme oikeasti TPM:tä tehdäksemme asiakas puolen autentikointia serverillä (aploodit) Kiitos Seuraava asia. Tämä on.. ensiksi tämä on minun tapani tehdä asioita. Haluan käyttää TPM:ää kotona ja ehkä tehdä tyypillisiä bash skripti pohjaisia asioita ja milloin ikinä teetkään bash skriptiä sinä et halua laittaa salasanaasi sinne, koska kun pusket skriptit Githubiin muut ihmiset voivat ladata ne ja käyttää sinun salasanoja Jotenka tämä on toinen etu näissä ja toinen asia jota haluan tehdä kotona. Minulla on Internet- verkkopalvelin, joka on käytännössä käänteinen välityspalvelin EngineX:llä Se välittää tavarat kotiavustajalle ja muihin paikkoihin ja haluan pystyä poistamaan tämän jotta pystyn tallentamaan kirjautumistietoja turvallisesti, jotta seuraavan kerran kun EngineX "heart bleeds" ei se pilaa kaikkea puolestani ja EngineX:llä on erittäin helppoa tehdä se os katsomme tätä sivustoa joka on merkitty tähän. Se on käytännössä vain oletussivusto näemme että meidän on lähetettävä sertifikaatti ja ssh-sertifikaattiavain voit käyttää tätä avainsanakonetta, joten toivottavasti et koskaan tallenna avaimesi ja jos kutsun moottoria siitä tulee ongelman ja me osoitamme tpm2tss -moottoria ja koska jonkun ärsyttävän bugin vuoksi EngineX ja ihmiset EngineX foorumilla ovat puhuneet siitä en löytänyt hyvää ratkaisua asian korjaamiseksi ja tästä syystä jouduin määrittelemään moottorin uudestaan täällä jotenka nyt kun kaikki tämä on kunnossa voimme vain käynnistää uudelleen voimme vain käynnistää EngineX:n uudelleen ja tällä kertaa käännämme sen ympäri. Joten jatkan vain luotetun verkkopalvelimeni isäntäjärjestelmässä yritä kirjautua siihen kyllä, koska emme luota sen sertifikaattiin välittömästi yea, mutta me voimme käyttää TPM:ää autentikoimiseen jotenka molemmat puolet voivat nyt aloittaa skriptaamisen Siisitä Nyt mennään Okei, joten se on helpoin tapa päästä alkuun kun yrität yhdistää TPM:n päivittäisiin bash-rutiineihin seuraavaksi hieman monimutkaisempi tapa tehdä asioita on pkcs11 pkcs11on avoimen ryhmän standardisoitu API, jota Firefox käyttää esimerkiksi älykorttien kanssa kommunikoimiseen ja tietysti me myös työskentelemme... kuten nämä yhteisöt ja teemme jotain sen eteen meillä on jopa antenneja täällä huoneessa paljasin heidät Okei, olemme tällä hetkellä "orc0 face" Tämä on myös syy siihen miksi on outoa että asennustyökalut eivät asennu aina kun kutsut niitä asentaaksesi joten jos yrität ajaa näitä juttuja uudelleen kotoa käsin huomioi näiden diojen perusteella, että tämä on polku tpmp2-työkalun chekc.git arkistoon ja ainoa asia, joka todella saa asennuksen on kirjasto jota pkcs11 käytämme myöhemmin Joka tapauksessa Otamme nämä muutamat käskyt täällä ja periaatteessa teemme alustuksen. Ensin laitamme pythonpath-juttuja ja muuta sellaista osoitamme tietokannan tallentamiseen kodin alle alustamme ja lisäämme tokenin joka käytännössä luo uuden älykortin ja sitten lisäämme avaimen Okei katsotaan toimiiko se oikein Näyttää hyvältä Joo ja siinä se meillä on. Loimme juuri älykortin tällä satunnaisella älykorttitunnuksella, josta sinun ei tarvitse välittää mitä hienoa tässä on? Olen menossa tähän ongelmaan koska haluan käyttää sitä todentaakseni ssh:n kautta koska en tiedä kuinka moni teistä ssh-asiakastodennusta käyttävistä käyttää allekirjoittavia julkisia avaimia Eli periaatteessa lähes kaikki Siistiä Hakkerikonferenssi Niin, ja kuka teistä ei suojaa avaintansa salasanalla vaan käyttää siihen tyhjää salasanaa? Okei. Teille kaikille tämä saattaa olla mielenkiintoista joten aiomme kutsua ssh-keygenillä ja mitä se tekee on ainoastaan Joo Generoi ssh-avaimen ja te kaikki luultavasti näette tämän Joten kopioin tämän ja menee isäntäkoneeseeni ja nyt menen lisätty valtuutetut avaimet ja lisään tämän avaimen ja palaan virtuaalikoneeseen Virtuaalinen työpöytä virtuaalisen työpöydän sisällä Se on kuin "pimp my ride" Okei, ja sitten voimme kirjautua sisään ssh:lla ja tämän pitäisi myös toimia nyt ja tässä pyydämme PIN-koodia älykorttiin jota alun perin kutsuin merkiksi jolle luultavasti löydät paremman nimen ja nyt olen sisällä eli se toimii myös (apploodit) mutta jotta asiat olisivat vielä siistimpi, mihin muuhun käytämme ssh:tä no me käytämme sitä tai ainakin minä käytän sitä gitiin otamme tämän avaimen uudelleen ja siirrymme Github:iin ja tämä on minun Github-tili Nyt menee mielenkiintoiseksi Lisään tämän ssh-avaimeksi ja Kyllä tallennan salasanoja millään heistä ei ole asiakkaan todennusta...asiakkaan todennustodistus kanssamme mitä muuta minun pitäisi tehdä joten asia jota teemme täällä on pohjimmiltaan että periaatteessa luon tämän siistin shell skriptin joka sisältää ssh-kutsun pkcss11-kirjastolla ja sitten viemme sen git_ssh -ympäristömuuttujan alle, mikä tarkoittaa, että ssh:n sijaan git kutsuu uutta ssh-juttuamme ja tämä käännetään kutsumalla pkcss11-palveluntarjoajaa seuraavaksi kloonataan ja täällä on uudelleen TPM-invokaatio Analoginen enemmän TPM kutsu ja täällä ollaan ja voimme nyt jopa mennä eteenpäin ja kirjautua ulos haarasta Luulen, että käytin tätä testeissäni, joten kutsun sitä Nyt Ei Tietysti Kirjaudutaan ulos uudesta haarasta git push origin ja se on puskettu ja voit mennä eteenpäin ja mennä nimiavaruuteeni Githubissa ja sinun pitäisi nähdä tämän mahtavan TPM-autentikoidun haaran pusku tuolla (aplodit) Okei kuten sanoin tämä on rc0\. Toivottavasti tulee pari bugia ennen lopullista julkaisua mutta äyttää aika käyttökelpoiselta, sanoisin Okei. Tulen seuraavaan asiaan joka on vielä kovasti työn alla Tämä on bittilokero Linuxille ja olen kirjoittanut tämän yli vuosi sitten ja ryhmässä oli yhdistämispyyntö ja olemme pohjimmiltaan uudelleen rakentaneet koko asian mutta ajattelin että olisi hauskaa tuoda tämä työ, jonka tein kauan sitten Mitä tämä tekee niin perustaa lukot ja krypton Idea on, että sinulla on äänenvoimakkuusnäppäin, jolla kokonaiset taltiot salataan, ja sitten sinulla on useita avaimia, jotka on tallennettu vetoomuksen lukko-otsikkoon jossa tämä äänenvoimakkuusavain salataan yleensä avaimella, joka on syöttämäsi salasanan oikealla puolella ja tämä sitten näyttää siltä, ​​ mitä näemme täällä keskellä jossa meillä on tämän tyyppinen avainpaikka nolla ja niinpä tein tuolloin, että jatkoin näitä Tämä on json joten jos käytät lukkoa ainakin uusi alimuoto Sinulla on json ja vetoomuksen otsikot Se on jotenkin mahtavaa Helpotti elämääni paljon tuolloin Meillä on siellä avainpaikka jotain sellaista ja me otamme äänenvoimakkuusnäppäimen ja käytämme yhtä TPM:n ei-volutaalista muistitilaa ja tallennamme äänenvoimakkuusnäppäimen suoraan sinne ja niin on ja kyllä vain muuta ei tarvita ja sitten mitä teemme alustamattomille Luks-otsikoille, tallennamme vain metadataa sinne ja niin on Esimerkiksi Mikä on se "nvindex" numero jonka alle varastoimme tavaraa? Okei Demon aika jälleen ja joten tämä on haaramme ryhmä josta poistun ja tulee olemaan Kokoamalla tämän livenä Samalla vielä yksi huomautus. Käyttöjärjestelmä jota ajetaan virtuaalikoneella on vakio Ubuntu-asennus ja valitsin juuri tämän salauksen LVM Ubuntun ohjatun asennustoiminnon aikana ja kuinka koskaan, valitettavasti se käyttää edelleen Luks1:tä tässä muodossa joten mitä sinun täytyy tehdä asennusmedialle jos haluat tehdä sen sinun on kutsuttava tämä "cryptsetup conver" joka muuntaa Luks1-muodon luks2-muotoon kaiken pitäisi olla nyt valmista Okei Kyllä vain. ​​Me kokosimme ja asensimme nyt päivitämme nopeasti korvaamme cryptolabin joka ei tee sitä kokoajan ja seuraava komento jota olemme suorittamassa, ja näette että ainoa ero on komennon "--tpm" lisääminen tähän Joka. Kyllä kutsuu käyttämään TPMää tila sille ja syötämme olemassa olevan salasanan syötämme uuden salasanan ja tätä uutta salasanaa käytetään TPMn todentamiseen ja meillä on vain 5 minuuttia, joten hyppään suoraan eteenpäin Kaiken pitäisi nyt olla kunnossa ja seuraavan uudelleenkäynnistyksen yhteydessä järjestelmä kysyy minulta TPM pohjaista salasanaa ja sitten pääsemme näkemään joten näemme tässä, että toinen avainpaikka on nyt TPM2-tyyppinen Okei Vielä yksi asia jonka haluan esitellä varhaisessa käynnistyksessä on eheyden tarkistus joka perustuu siihen mitä Matthew Garret puhui "@32c3" ja tämä on linkki hänen puheeseensa Kannattaa ehdottomasti käydä katsomassa se Joten tässä on kyse varhaisen käynnistyksen eheyden varmistamisesta ja jakamalla salaisuu TPMn ja älypuhelimesi välillä ja Kyllä. Tein juuri uudelleentoteutuksen ja aion esitellä myös sen Valmistautuessamme siihen on teidän kaikkien aika ottaa älypuhelimet esiin ja avata ilmainen TOTP-sovellus tai Google autentikaattori jotta voit varmistaa että kaikki toimii tarkoituksen mukaisesti ja tämän olen itse asiassa koonnut valmiiksi Muuten jos yleisössä on jok, joka on hyvä gtk-gui-suunnittelussa tule juttelemaan minulle Tässä näette minun tuotokseni Okei Aiomme suojella Pyörittämällä komennon pcr027 ja tämä varmistaa jokaisen käynnistyksen yhteydessä että tämä PCR-arvo on olivat samat kuin nyt kun käännämme tätä järjestelmää joten se tarkoittaa että jos sinulla on ydinpäivitys tai tai päivitä sisäinen RDM jälkeenpäin PCR-arvot vaihtelevat joten sinun täytyy käydä läpi tämä prosessi uudelleen Joten kaikki ovat skannatneet tämän toivottavasti omassa ilmaisessa TOTPssaan tai Google autentikaattorilla sitten voimme jatkaa ja voimme itse asiassa aloittaa järjestelmän uudelleenkäynnistyksen ja toivottavasti tämä toimii nyt koska monimutkaisin osa kaikissa näissä demoissa oli itse asiassa etäasetus "crap"n ja "implens"sin välillä. uskokaa tai älkää Okei ja näytöllä on tämä numer, joka on todella suuri 828688\. Pitikö tämä paikkansa? Yleisö: Kyllä Hienoa (aplodit) ja toinen asia jonka teen nyt erittäin suojatun salasanan sijaan ja kirjoitan 1234 Teidän täytyy uskoa minua ja mikä on TPM-salasana ja se itseasiassa käynnistyy käyttäen TPMää Mikä on Tässähän se on joten se toimii myös Luksien kanssa Okei Toivottavasti tämä antoi teille vaikutelman mitä voitte tehdä TPMllä jo tänään Jos haluat liittyä kehitykseen mukaan, liittyä hackroom-juttuihin tämä sivusto sisältää yhteisösivumme Missä meillä on gitter joten voit tulla puhumaan meille, minulle ja muille kehittäjille Voit katsoa niitä kahta otsikkotiedostoa jotka ovat tärkeimmät tällä hetkellä joten se on aivan uutta Julkaisimme sen juuri tai yhdistimme sen juuri masteriin Muistaakseni viikko sitten Olkaa hyvä ja katsokaa, testatkaa sitä Katsokaa myös työkalut. Kaikki työkalut jotka alkavat kirjaimella tpm2_ ovat periaatteessa"esapi" tai "eses" peilejä ja kaikki työkalujen etuliite tss_ ovat yksi yhteen "thappy" -sovituksia ja tässä on vielä yksi pro vinkki kun kehität ja jokin epäonnistuu yhtäkkiä se liittyy yleensä TPM-resurssien loppumiseen ja tämä komento siellä alhaalla jäädyttää TPMn sisäisen RAMin uudelleen jotta voit jatkaa työskentelyä Okei Kiitos "Kysymysten aika" Kiitos Se oli Andreas Ja nyt on kysymysten aika. Meillä on kysymyksiä internetissä ja meillä on kysymyksiä täällä Ja Katsokaa. Teillä kahdella on sama paita Hieno paita research exhaustion Okei, voisimme aloittaa numerosta neljä Henkilö yleisöstä: Okei. Oletetaan että sinulla on salausavaimet TPMssä ja hallituksesi vaikuttaa jollain tavalla TPMn tarjoajaan Henkilö yleisöstä: Joten ehkä voisi olla jokin tapa saada salausavain joten tämä ei ole hyvä lähestymistapa joten olisi mukavampaa antaa sinulle iso lihava mandaatti saadaksesi avaimet Henkilö yleisöstä: ja siellä on joitain muita avaimi jotka ovat TPMssä joten sinulla on oltava molemmat jotta v oit salata tavarasi Henkilö yleisöstä: joten se pitäisi tehdä näin. Jotta ei voida sanoa että henkilöä kidutetaan salauksen avaamiseksi Henkilö yleisöstä: tiedot toisella tietokoneella koska sillä on eri TPM salaisuuteen Henkilö yleisöstä: joten sinulla pitäisi olla todellinen kaksiosainen todennus ilman näitä avaimia TPMssä koska en luottaisi siihen Okei. Riippuu vainoharhaisuudestasi mutta se on varmasti hyvä idea Kiitos Vain kysymyksiä. Ei kommentteja En pahastu Kysymyksiä. Tämä on sääntö. Numero kaksi Henkilö yleisöstä: Minun on käytettävä Windowsia joka on salattu "bitlockerilla" ja toisella sijalla Henkilö yleisöstä: Kuinka todennäköistä on että bitlockerin tunnistetiedot tuhotaan tahattomasti näiden työkalujen kanssa työskennellessäni? Se riippuu paljolti siitä mitä työkaluja käytät ja mihin tarkoitukseen Tässä käyttämäni työkalut ja kaikki mitä näytin eivät asenna estäviä avaimia Luulen että oikeastaan pkcs11  asentaa presistan-avaimia, joten se kuluttaa osan resursseistasi ja myös crypto-jutuistasi ja huippujutut vievät jonkin verran "envy" -tilaa, ja jos uskot kuinka paljon TPM-resursseja Windows haluaa vaatia itselleen saatat törmätä ¨ resurssien loppumiseen. Mutta ei ole muita avaimia joita nämä työkalut tai demot poistavat Eli voit mennä huoletta ja käyttää noita Okei. Kiitos. Ehkäpä meillä on kysymys internetistä Henkilö yleisöstä: Joo muut laitteisto tokenit kuten "ubi-avain" heillä saattaa olla esimerkiksi painike jota sinun täytyy painaa saadaksesi jonkinlaisen todisteen läsnäolosta jotta ohjelmisto ei voi käyttää sitä Henkilö yleisöstä: taustalla ilman että tiedät siitä Henkilö yleisöstä: Kuinka tehdä sama käyttäen TPMää? Tällä hetkellä ei pysty Mutta toivon tai olen toivonut että TPM voisi käyttää lediä kymmenen vuoden päästä Todennäköisemmin näemme jossain vaiheessa tulevaisuudessa joitain gpio-käyttöisiä TPM-laitteita ja riippuen siitä mitä voimme tehdä niillä mahdollisesti pystymme sisällyttämään tämän tai saman tyylisiä ominaisuuksia tulevaisuudessa mutta toistaiseksi uskon että on ollut vain tutkimusprototyyppejä joita olen itse päässyt toteuttamaan TPMlle "cortex-r3" -laitteessa "gpion" hyödyllisyyden osoittamiseksi suoraan tpm:stä. Mutta se on ensin kehitettävä Okei. Kiitos Numero viisi kiitos Henkilö yleisöstä: Kyllä. Moi Henkilö yleisöstä: Voitko toteuttaa tämän universumin jatko-osan syötettynä edelleen TPMlle? Aiotteko tehdä sen? Kyllä ja ei. Voit toteuttaa osia fidosta käyttämällä TPMää joka on salauksen perustoiminto mutta fido sisältää myös mukautettuja tietomuotoja joita yleensä käsitellään myös fido-tunnuksella jossa sinulla on laskureita, jotka lisäävät jotain sellaista jota TPM ei tallenna sisäisesti koska TPM ei tiedä fido-tietorakenteista ja päinvastoin Kuitenkin fido2lle mielestäni oli tämäTPM-metastaattinentila mutta se olisi jonkun toteutettava Haluatko aloittaa työskentelyn sen parissa tule puhumaan minulle ja olen varmasti apunasi Joten tekemistä on paljon ja kyllä Jos joku teistä etsii tekemistä Voit vain mennä eteenpäin ja katsoa tätä github.io-yhteisösivua jos siirryt ohjelmistoon välilehti yläreunassa ja vierität alas on luettelo ohjelmista. Aloitamme siis ohjelmista joilla on jo TPM-tuki ja sitten meillä on vielä pidempi lista ohjelmista joissa oli TPMn suunnitteilla. On myös paljon asioita kuten Weboht ja Cryptoki ja vaikka mitä muita missä toivoisin näkevän TPM tuen Jopa niinkin yksinkertainen kuin "gpt" Mikä. Kyllä. Okei. Numero kaksi kiitos Henkilö yleisöstä: Kuinka monta erilaista avainta tai älykorttia voit tallentaa TPMään? Henkilö yleisöstä: Onko se vain yksi vai voitko tallentaa useampia? On hienoa, että TPMn perusperiaate on että TPM tallentaa vain hyvin vähän avaimia yleensä se on vain yksi tässä tapauksessa ja sitten kaikki muut avaimet salataan tällä avaimella ja tallennetaan kiintolevylle Tällä pkcs11llä joka meillä on täällä sinulla voi olla niin monta avainta kuin sinulla on vapaata kiintolevytilaa tai niin monta avainta "sql-lite" -työkalun avulla voit tallentaa tietokantaan Kiitos. Numero neljä kiitos. Henkilö yleisöstä: Hei. kiitos esityksestä. Minulla on ytimen päivityksiin liittyvä kysymys Jos päivitän ytimeni voinko mitata mikä kernal on seuraavassa käynnistyksessä ja kertoa TPMlleni että tämä uudelleensinetöi tällä hetkellä sinetöidyt avaimet tuleville ptr-arvoille,joita sen pitäisi odottaa seuraavassa käynnistyksessä? Teoriassa ehdottomasti kyllä Se on täysin yksinkertaista joten tutkija kertoo sinulle että se ei ole haaste Insinööri sen sijaan kertoo että tämä on eräänlainen ongelma ja ongelma on että sinun on jotenkin tiedettävä viitearvot etukäteen ja sitten sinun on laskettava uudelleen koko siihen m ennyt mittausketju joten tässä on kyse lähestymistavasta referenssi- ja eheysmittausjakelu että Linux-promot -konferenssissa oli osio jossa tätä ongelmaa käsiteltiin Jotenka tämä on siis Lähinnä infrastruktuuriongelma pikemminkin kuin itse asiassa TPMn ongelma tai TPMn-perusohjelmiston Okei. Kiitos. Joten meillä on vielä yksi minuutti joten olen erittäin pahoillani emme voi ottaa enempää kysymyksiä huoneesta mutta minulla on vielä yksi kysymys internetistä Henkilö yleisöstä: Jos en luota TPMään ja koneeseeni voinko saada toisenlaisen luotettavalta palveluntarjoajalta? Ovatko ne y hteensopivia siinä mielessä? Kyllä. Tietääkseni heillä on yhteensopiva pin-out ja yhteensopiva cpi-protokolla ja se on hieno asia että ne ovat yhteensopivia Varmasti Eteenpäin Paitsi ehkä intel ttp ftp joka toimii hallintamoottorilla Niillä tietysti jos myit ne RITllä ei ole niillä ole enään IOta Okei. Kiitos paljon. Jos haluat ottaa yhteyttä Andreaan mene verkkosivustolle. Olette nähneet sen aikaisemmin ja kiitos ja ehkä vielä yhdet raikuvat aplodit Andreakselle (aplodit) Kiitos Subtitles created by Musa Jallow (ITKST56 course assignment at JYU.fi)