WEBVTT 00:00:00.000 --> 00:00:05.819 Subtitles created by Musa Jallow (ITKST56 course assignment at JYU.fi) NOTE Paragraph 00:00:10.115 --> 00:00:12.674 Resurssien loppuminen NOTE Paragraph 00:00:12.988 --> 00:00:16.988 Hakkerointi TMP:llä NOTE Paragraph 00:00:20.755 --> 00:00:25.688 Seuraava puhe on hakkerointi TMP:llä. Älkää kysykö mitä voitte tehdä 00:00:25.688 --> 00:00:28.161 TMP:llä. Sen sijaan kysykää mitä TMP voi tehdä sinulle NOTE Paragraph 00:00:30.841 --> 00:00:33.552 Ja se toimii tietyllä tavalla johdantona siihen mitä TMP on ja mitä 00:00:33.552 --> 00:00:34.942 sillä voi tehdä NOTE Paragraph 00:00:34.942 --> 00:00:40.922 Ja vieraileva juontaja on Andreas ja tässä hän on. Antakaa suuret aplodit. 00:00:40.952 --> 00:00:42.262 Kiitos NOTE Paragraph 00:00:48.738 --> 00:00:53.888 Tervehdys kaikille. Minun nimeni on Andreas. Aion esitellä joitakin asioita 00:00:53.888 --> 00:00:57.888 TMP:stä. Tässä on minun GitHub-kahva ja nimi josta voit löytää osan asioiasta 00:00:57.888 --> 00:01:01.576 joiden parissa työskentelen NOTE Paragraph 00:01:01.576 --> 00:01:06.346 Ja kaikista tärkeimmät lähteet joista puhun on tämä. Näet sen 00:01:06.346 --> 00:01:10.036 loppuyhteenvedossa uudestaan NOTE Paragraph 00:01:10.036 --> 00:01:15.364 Jotenka, kuka minä olen. Työskentelen TMP:n parissa, jotenka olen 00:01:15.364 --> 00:01:19.570 löytänyt jonkun joka on valmis maksamaan minulle työskennelläkseni tämän asian 00:01:19.570 --> 00:01:20.836 parissa. 00:01:20.836 --> 00:01:23.926 Ja olen jäsenenä luotto tietokoneryhmässä, joka tekee paljon 00:01:23.926 --> 00:01:26.421 näiden asioiden määrittelyä 00:01:28.952 --> 00:01:33.998 Aloitin työskentelyn TMP:n parissa 13 vuotta sitten, jolloin se oli 1.2. 00:01:35.930 --> 00:01:42.220 Yritin saada asiat toimivaan itselleni, mikä ei kuitenkaan onnistunut järjestelmä 00:01:42.220 --> 00:01:49.683 ei ollut hyvin ylläpidetty, API oli ikävä 00:01:49.810 --> 00:01:56.980 Jotenka 5 vuotta sitten, kun osallistujia rekrytoitiin työskentelmään 00:01:56.980 --> 00:02:03.233 TSS 2.0 parissa. Hyppäsin kanin koloon välittömästi 00:02:03.360 --> 00:02:07.710 Määrittelyä, kirjoittamista ja mitä muuta TSS toteuttamiseen ja ylläpitoon 00:02:07.710 --> 00:02:10.040 tarvittiin. 00:02:10.040 --> 00:02:14.863 Github tuli myöhemmin kuvioihin 00:02:14.863 --> 00:02:20.915 Tätä lopputulosta aion esitellä teille. Aion käydä läpi esittely lyhyesti 00:02:20.915 --> 00:02:25.008 mitä TMP:t ovat 00:02:25.337 --> 00:02:30.956 Ja sitten siirrymme kahteen aiheeseen tietojen suojaaminen ja 00:02:30.956 --> 00:02:35.825 käynnistyksen suojaaminen. Ja sitten informaatiota siitä miten voit aloittaa 00:02:35.826 --> 00:02:38.886 työskentelyn itse 00:02:40.171 --> 00:02:44.551 Ja tässä tulee hauska osuus. Jotenka teidän huviksi ja minun 00:02:44.551 --> 00:02:48.126 henkilökohtaisen yöllisen adrenaliinin vuoksi ajattelin sisällyttää joitakin 00:02:48.126 --> 00:02:49.996 demoja 00:02:49.996 --> 00:02:53.996 Se mitä aion nyt tehdä on, että kopion kaiken tämän 00:02:54.185 --> 00:02:57.351 Siirryn omistamaani ja luotettavaan virtuaalikoneeseen 00:02:59.476 --> 00:03:02.496 Ja tietysti se ei toimi heti 00:03:04.939 --> 00:03:07.489 Minun olisi pitänyt avata sudo ensiksi 00:03:07.703 --> 00:03:10.683 Aion tehdä live demoja aina välillä 00:03:11.712 --> 00:03:17.622 Pyydän, älkää DoS täällä olevaa internettiä tai esitys jää hyvin lyhyeksi 00:03:19.530 --> 00:03:24.799 Mitä ovat TMP:t. TMP on turvallisuus-siru joka liitetään emolevyyn 00:03:26.912 --> 00:03:33.902 Ja kiitso Microsoftin, kun antoivat TMP:s kaikille halvalla. Koska kiitos 00:03:33.915 --> 00:03:38.885 Microsoftin logo-ohjelman jokaisessa kuluttajatietokoneessa on nykyään TMP 00:03:41.406 --> 00:03:45.776 Jotenka miksi ei käyttäisi niitä. Ne ovat melko tietoturvallisia. Niissä on 00:03:45.796 --> 00:03:54.631 tiety kriteerisertifikaatit joihin voitte luottaa 00:03:57.733 --> 00:04:06.933 Tottakai on ollut joitain TMP.failed ja Tanja ja David puhuivat 00:04:06.938 --> 00:04:11.498 tästä kaksi, kolmetuntia sitten mikä oli mielenkiintoista 00:04:11.850 --> 00:04:21.410 Ja mihin se pystyy? Se pystyy tekemään Cryptoa, varastointia ja tallentamaan boot has -arvoja 00:04:21.645 --> 00:04:24.856 Ja se on periaattessa kaikki mihin se pystyy. Jotenka se on täysin 00:04:24.856 --> 00:04:26.547 passiivinen laite 00:04:26.591 --> 00:04:31.781 Mikä on kaikista tärkein pointti. Ja oikealla näette vanhoja 1.2 versioita. 00:04:31.781 --> 00:04:35.691 Nykypäivänä se on paljon pienempi 00:04:37.435 --> 00:04:43.675 Ovat TMP:t vaarallisia? Mielestäni olemme kuullet keskusteluja 00:04:43.675 --> 00:04:47.015 menneisyydessä, että kongressissa ollaan väitelty molemmista suunnista 00:04:47.015 --> 00:04:54.405 TMP:llä oli huono maine kun ne tulivat ensimmäistä kertaa myyntiin 00:04:54.418 --> 00:04:57.268 Kuten sanoin ne ovat täysin passiivisia 00:04:57.268 --> 00:05:01.268 Ja mitä TMP:t ovat oikeasti niin ne ovat upotettuja älysiruja 00:05:01.569 --> 00:05:05.569 Jotenka sinulla on tietynlainen tietoturvaelementti tietokoneessa jota 00:05:05.569 --> 00:05:07.739 voit käyttää hyödyksi 00:05:07.804 --> 00:05:11.804 Ja sitten on rehellisyys raportointi ja paikkaominaisuudet 00:05:12.730 --> 00:05:15.909 Joihin menen vähän tarkemmin myöhemmin 00:05:16.655 --> 00:05:21.165 Mutta älä vain ota minun sanaani asiasta vaan ota Richard Stormanin tai 00:05:21.168 --> 00:05:26.998 GNU säätiön, koska he määrittelivät että luottamus-alusta-moduuli, joka on 00:05:27.006 --> 00:05:31.006 saatavilla tietokoneisiin ei ole vaarallinen ja ei ole syytä sisällyttää 00:05:31.028 --> 00:05:34.178 sellaista tietokoneeseen 00:05:34.498 --> 00:05:38.268 Sanoisin, että ne ovat saaneet "Storman hyväksyssän" 00:05:38.268 --> 00:05:42.268 Ja täten miksi ei vain voisi käyttää niitä 00:05:43.456 --> 00:05:46.936 Seuraavaksi siirrytään asian pihviin 00:05:46.936 --> 00:05:50.877 Kirjautumistietojen suojaaminen. Kuka täällä käyttää julkista avain 00:05:50.877 --> 00:05:53.167 suojausta jollakin tavalla? 00:05:53.276 --> 00:05:56.496 Odotan, että kaikki kädet nousevat 00:05:57.938 --> 00:06:01.938 Kuka käyttää älykorttia tai "Yubi"-avainta tai TMP:tä suojaamaan 00:06:01.938 --> 00:06:03.666 tietoja? 00:06:03.666 --> 00:06:05.106 Okei 00:06:05.217 --> 00:06:09.217 Ja kuka on optimoinut tämän prosessin ja vain jättänyt alykortin 00:06:09.236 --> 00:06:15.466 sinne taikatkaissut osan siitä? Tai käyttäny Yubi-avain nanoa? 00:06:16.801 --> 00:06:23.681 Okei. Vain muutama. Teille muutamille tämä on sama suoja minkä 00:06:23.681 --> 00:06:26.041 TMP tarjoaa 00:06:26.041 --> 00:06:32.471 Ja muille älykortit. Voitte käyttää TMP:tä, koska se on kätevämpi. Lisäksi 00:06:32.471 --> 00:06:39.459 teillä on jo se niin miksi ette käyttäisi sitä? 00:06:43.162 --> 00:06:47.996 Okei. Mikä on turvallisuus idea kirjautumistietojen suojaamisessa, 00:06:47.996 --> 00:06:52.956 joka tulee älykorttien ja TMP:n kanssa saman tyylisesti? 00:06:53.939 --> 00:06:59.059 Periaatteessa haluamme jakaa autentikoinnin, todisteen hallussapidosta 00:06:59.059 --> 00:07:03.900 ja todisteen tiedosta 00:07:05.596 --> 00:07:10.845 Jotenka meillä on kaksi tekijää jotka haluamme saavuuttaa autentikoinnissa 00:07:11.656 --> 00:07:15.697 Todiste tiedosta on hyvin suoraviivainen. salasanan tai koodin 00:07:15.697 --> 00:07:17.567 laittaminen älykortin avaamiseksi. 00:07:17.567 --> 00:07:22.407 Ja todiste hallussapidosta on toinen tekijä. Mitä tämä tärkoitta? 00:07:22.514 --> 00:07:28.134 Mitä tarvitset luodaksesi todisteen hallussapidosta tarvitset jotain mikä 00:07:28.216 --> 00:07:30.949 ei ole kopioitavissa tai kloonattavissa 00:07:30.949 --> 00:07:34.449 Eli se on pääominaisuus mitä älykortti sinulle antaa 00:07:34.449 --> 00:07:39.679 Mitä, esimerkiksi pehmeä merkki tai julkinen avain, joka hengailee sinun 00:07:39.679 --> 00:07:41.869 kovalevyllä ei anna sinulle 00:07:42.049 --> 00:07:50.349 Koska voit vain CPttää sen ja tuoda sen eri koneelle 00:07:50.496 --> 00:07:53.762 Ja ajaa sen samaan aikaan monella koneella 00:07:53.926 --> 00:08:00.055 Jotenka jos sinulla on jotain mitä ei voi kopioida, voi olla vain yhdellä 00:08:00.055 --> 00:08:05.265 henkilöllä ja siten saat lisä turvaa. 00:08:05.891 --> 00:08:10.461 Ja tästä tulee erityisen tärkeää kaikissa hakkerointi konferensseissa, 00:08:10.563 --> 00:08:14.664 täällä tai BlackHat tai missä ikinä 00:08:14.664 --> 00:08:18.094 Koska näissä tapahtumissa olevat ihmiset ovat hyvä tallentamaan 00:08:18.094 --> 00:08:21.582 ja selvittämään salasanoja 00:08:21.582 --> 00:08:24.724 Jotenka tämä on hyvä argumentti miksi sinulla tulisi olla toinen 00:08:24.724 --> 00:08:25.794 ominaisuus 00:08:27.983 --> 00:08:33.873 Jotenka todiste hallussapidosta voi olla älykortti tai Yubi-avain nano 00:08:33.873 --> 00:08:38.873 voidaan muuttaa todisteeksi hallusapidosta tietokoneella joka 00:08:38.873 --> 00:08:41.483 sisältää TMP:n 00:08:41.483 --> 00:08:45.483 Jotenka ainoastaan jos jollain on pääsy tähän koneeseen ja tieto koodista. 00:08:45.483 --> 00:08:51.757 Nämä kaksi tekijää mahdollistavat autentikoinnin 00:08:52.370 --> 00:08:55.650 Tyypillisesti jos olet hakkeroinnin uhri. Tämä on ongelma siinä mitä 00:08:55.650 --> 00:08:58.000 todiste hallussapidosta tarkoittaa 00:08:58.037 --> 00:09:04.217 Sama kuin jos sinulla on älykortti älykorttilukijassa siinä ajassa kun joku 00:09:05.547 --> 00:09:09.547 saa järjestelmäsi haltuun he ovat enemmän tai vähemmän kyvykkäitä 00:09:09.547 --> 00:09:14.407 käyttämään sinun kirjautumistietoja 00:09:15.196 --> 00:09:19.196 Mutta on kaksi eroa. Ne ovat väliaikaisesti kiinnitettyjä aikaan 00:09:19.213 --> 00:09:23.213 joka hakkeroinnissa kestää eli jos siivoat järjestelmän voit jatkaa 00:09:23.239 --> 00:09:26.309 työskentelyä normaalisti jälkeenpäin 00:09:26.837 --> 00:09:30.627 Toinen asia on, että ei ole mahdollista että hyökkäys, kuten 00:09:30.627 --> 00:09:32.133 "kova verenvuoto" 00:09:32.272 --> 00:09:36.272 Koska kaikki haavoittuvuudet eivät ole kyvykkäitä saamaan täysiä 00:09:36.371 --> 00:09:40.371 oikeuksia. Joskus hyökkäys kuten "kova verenvuoto" voi saada vain tiettyjä 00:09:40.371 --> 00:09:44.371 osia haltuunsa 00:09:46.538 --> 00:09:51.238 Sinulla ei ole kyseistä ongelmaa jos tietokone ei tiedä avainta ja sitä ei 00:09:51.238 --> 00:09:53.448 ole tallennettu RAM:lle tai levylle 00:09:55.280 --> 00:09:57.170 Demon aika 00:09:57.170 --> 00:10:01.594 Kuinka voit käyttää tätä kirjautumistietojen suojausta? 00:10:01.764 --> 00:10:08.094 Yksinkertaisin tapa tehdä se on  TPM 2 TSS koneen avulla 00:10:09.218 --> 00:10:12.068 TPM ohjelmistoprojektilla 00:10:12.167 --> 00:10:14.732 Minun ei pitäisi kertoa siitä täällä 00:10:14.792 --> 00:10:18.792 Jotenka asensimme yhden näistä ohjelmistoista aikaisemmin ja se ei 00:10:18.792 --> 00:10:22.072 oikeastaan ladannut 00:10:24.167 --> 00:10:29.097 Jotta voitte käyttää sitä tarvitsette vain nämä kolme komentoa 00:10:29.097 --> 00:10:33.097 ja aion näyttää ne teille nopeasti 00:10:33.097 --> 00:10:34.939 Muuten... 00:10:39.440 --> 00:10:43.440 En käytä TPM:tä vaan käytän laitteiston TPM:tä 00:10:45.165 --> 00:10:49.165 Lähetin sen virtuaalikoneelle 00:10:57.931 --> 00:11:00.868 Vaihdetaan virtuaalityöpöydälle 00:11:05.892 --> 00:11:09.892 Jotenka mitä teemme ensimmäiseksi? 00:11:09.942 --> 00:11:12.022 Ymmärrämme.. nyt se toimii 00:11:12.052 --> 00:11:16.472 Luomme avaimen käyttämällä TPM:tä ja seuraava komento luo itse-asetetun 00:11:16.472 --> 00:11:22.392 sertifikaatin, ja kuten näette jotka ovat työskennelleet asian parissa niin 00:11:22.422 --> 00:11:26.322 ensimmäinen komento on mukautettu komento ohjelmistosta 00:11:26.322 --> 00:11:31.727 Toinen on tavallinen OpenSSL luo sertifikaatti komento jossa nimetään 00:11:31.727 --> 00:11:38.267 moottori ja avain joka tulee sen mukana 00:11:38.950 --> 00:11:42.780 Jotenka aiomme ottaa tämän 00:11:42.914 --> 00:11:46.334 Laitetaan se tänne 00:11:46.334 --> 00:11:48.394 Olemme Itävallassa nyt 00:11:48.394 --> 00:11:51.104 Ketä kiinnostaa 00:11:53.599 --> 00:12:00.119 Ja nyt meillä on curl ja curl pystyy yhditämään meidät... toimi nyt. Minun 00:12:03.975 --> 00:12:06.405 olisi pitänyt tuoda hiiri 00:12:07.764 --> 00:12:17.434 Jotenka curl pystyy käyttämään OpenSSL moottoria ja älä ärsyynny 00:12:17.434 --> 00:12:21.434 kautta-kautta epävarmuudesta. Ajan tällä hetkellä EngineX serveriä 00:12:21.434 --> 00:12:24.297 isäntäjärjestelmässä 00:12:24.297 --> 00:12:28.297 Ja virtuaalikoneenssa käytän curlia autentikoimaan ja käytän 00:12:28.297 --> 00:12:32.297 client -autentikointi keskustellakseni EngineX:n kanssa 00:12:38.288 --> 00:12:42.288 Ja kuten huomaatte tämä on nettisivu ja ensimmäistä kertaa 00:12:42.288 --> 00:12:45.808 ajaessani komennon en meinannut uskoa näkemääni koska se oli niin 00:12:45.808 --> 00:12:48.818 nopea ja ajattelin että tein virheen 00:12:48.818 --> 00:12:55.208 Jotenka verifioidakseni kaikille teille teen "trace loginnin" 00:12:55.227 --> 00:12:58.207 Ja sitten näemme että meillä tapahtuu paljon kommunikointia TPM:n 00:12:58.207 --> 00:12:59.597 kanssa 00:12:59.597 --> 00:13:03.187 Jotenka käytämme oikeasti TPM:tä tehdäksemme asiakas puolen 00:13:03.187 --> 00:13:05.397 autentikointia serverillä 00:13:05.397 --> 00:13:09.397 (aploodit) 00:13:10.145 --> 00:13:11.825 Kiitos 00:13:12.197 --> 00:13:19.842 Seuraava asia. Tämä on.. ensiksi tämä on minun tapani tehdä asioita. 00:13:19.842 --> 00:13:23.842 Haluan käyttää TPM:ää kotona ja ehkä tehdä tyypillisiä bash skripti pohjaisia 00:13:23.842 --> 00:13:26.932 asioita 00:13:26.932 --> 00:13:30.451 ja milloin ikinä teetkään bash skriptiä sinä et halua laittaa salasanaasi 00:13:30.451 --> 00:13:33.886 sinne, koska kun pusket skriptit Githubiin muut ihmiset voivat ladata ne 00:13:33.886 --> 00:13:36.816 ja käyttää sinun salasanoja 00:13:36.816 --> 00:13:39.886 Jotenka tämä on toinen etu näissä 00:13:40.003 --> 00:13:43.623 ja toinen asia jota haluan tehdä kotona. Minulla on Internet- 00:13:43.623 --> 00:13:47.751 verkkopalvelin, joka on käytännössä käänteinen välityspalvelin EngineX:llä 00:13:47.751 --> 00:13:50.903 Se välittää tavarat kotiavustajalle ja muihin paikkoihin 00:13:50.903 --> 00:13:54.903 ja haluan pystyä poistamaan tämän jotta pystyn tallentamaan 00:13:54.903 --> 00:13:58.903 kirjautumistietoja turvallisesti, jotta seuraavan kerran kun EngineX "heart bleeds" ei se pilaa kaikkea 00:13:59.043 --> 00:14:03.043 puolestani 00:14:03.195 --> 00:14:07.195 ja EngineX:llä on erittäin helppoa tehdä se 00:14:11.939 --> 00:14:14.849 os katsomme tätä sivustoa joka on merkitty tähän. Se on 00:14:14.849 --> 00:14:16.859 käytännössä vain oletussivusto 00:14:16.859 --> 00:14:20.349 näemme että meidän on lähetettävä sertifikaatti ja 00:14:20.349 --> 00:14:22.029 ssh-sertifikaattiavain 00:14:22.029 --> 00:14:25.689 voit käyttää tätä avainsanakonetta, joten toivottavasti et koskaan tallenna 00:14:25.689 --> 00:14:26.759 avaimesi 00:14:26.759 --> 00:14:29.097 ja jos kutsun moottoria siitä tulee ongelman 00:14:29.137 --> 00:14:33.017 ja me osoitamme tpm2tss -moottoria 00:14:33.017 --> 00:14:37.197 ja koska jonkun ärsyttävän bugin vuoksi EngineX ja ihmiset EngineX 00:14:37.197 --> 00:14:40.217 foorumilla ovat puhuneet siitä 00:14:41.227 --> 00:14:44.567 en löytänyt hyvää ratkaisua asian korjaamiseksi ja tästä syystä 00:14:44.567 --> 00:14:46.957 jouduin määrittelemään moottorin uudestaan täällä 00:14:46.997 --> 00:14:50.997 jotenka nyt kun kaikki tämä on kunnossa voimme vain 00:14:52.566 --> 00:14:56.566 käynnistää uudelleen 00:15:01.246 --> 00:15:04.836 voimme vain käynnistää EngineX:n uudelleen ja tällä kertaa käännämme sen 00:15:04.836 --> 00:15:10.236 ympäri. Joten jatkan vain luotetun verkkopalvelimeni isäntäjärjestelmässä 00:15:10.708 --> 00:15:14.708 yritä kirjautua siihen 00:15:14.968 --> 00:15:18.968 kyllä, koska emme luota sen sertifikaattiin välittömästi yea, 00:15:19.008 --> 00:15:23.008 mutta me voimme käyttää TPM:ää autentikoimiseen 00:15:25.938 --> 00:15:29.078 jotenka molemmat puolet voivat nyt aloittaa skriptaamisen 00:15:29.078 --> 00:15:33.078 Siisitä 00:15:33.078 --> 00:15:35.008 Nyt mennään 00:15:35.008 --> 00:15:39.008 Okei, joten se on helpoin tapa päästä alkuun kun yrität yhdistää 00:15:39.008 --> 00:15:42.171 TPM:n päivittäisiin bash-rutiineihin 00:15:42.938 --> 00:15:46.938 seuraavaksi hieman monimutkaisempi tapa tehdä asioita on pkcs11 00:15:49.037 --> 00:15:55.297 pkcs11on avoimen ryhmän standardisoitu API, jota Firefox käyttää 00:15:55.297 --> 00:15:58.338 esimerkiksi älykorttien kanssa kommunikoimiseen 00:15:58.757 --> 00:16:02.757 ja tietysti me myös työskentelemme... kuten nämä yhteisöt ja 00:16:02.757 --> 00:16:06.127 teemme jotain sen eteen 00:16:06.127 --> 00:16:09.598 meillä on jopa antenneja täällä huoneessa 00:16:09.598 --> 00:16:10.848 paljasin heidät 00:16:10.848 --> 00:16:15.465 Okei, olemme tällä hetkellä "orc0 face" 00:16:16.508 --> 00:16:20.508 Tämä on myös syy siihen miksi on outoa että asennustyökalut eivät 00:16:20.508 --> 00:16:24.508 asennu aina kun kutsut niitä asentaaksesi 00:16:25.895 --> 00:16:29.895 joten jos yrität ajaa näitä juttuja uudelleen kotoa käsin huomioi näiden 00:16:29.895 --> 00:16:36.005 diojen perusteella, että tämä on polku tpmp2-työkalun chekc.git arkistoon 00:16:37.990 --> 00:16:41.990 ja ainoa asia, joka todella saa asennuksen on kirjasto jota pkcs11 00:16:42.077 --> 00:16:43.857 käytämme myöhemmin 00:16:43.857 --> 00:16:45.127 Joka tapauksessa 00:16:45.127 --> 00:16:46.878 Otamme nämä muutamat käskyt täällä 00:16:46.878 --> 00:16:50.618 ja periaatteessa teemme alustuksen. Ensin laitamme pythonpath-juttuja ja 00:16:50.618 --> 00:16:52.008 muuta sellaista 00:16:52.815 --> 00:16:58.355 osoitamme tietokannan tallentamiseen kodin alle 00:16:58.358 --> 00:17:02.358 alustamme ja lisäämme tokenin joka käytännössä luo uuden älykortin 00:17:03.878 --> 00:17:06.141 ja sitten lisäämme avaimen 00:17:08.064 --> 00:17:09.574 Okei 00:17:09.854 --> 00:17:12.341 katsotaan toimiiko se oikein 00:17:15.701 --> 00:17:17.671 Näyttää hyvältä 00:17:19.531 --> 00:17:20.771 Joo 00:17:22.860 --> 00:17:28.801 ja siinä se meillä on. Loimme juuri älykortin tällä satunnaisella 00:17:28.811 --> 00:17:31.438 älykorttitunnuksella, josta sinun ei tarvitse välittää 00:17:31.466 --> 00:17:35.466 mitä hienoa tässä on? Olen menossa tähän ongelmaan koska haluan käyttää 00:17:35.466 --> 00:17:39.466 sitä todentaakseni ssh:n kautta 00:17:39.903 --> 00:17:44.183 koska en tiedä kuinka moni teistä ssh-asiakastodennusta käyttävistä käyttää 00:17:44.625 --> 00:17:47.955 allekirjoittavia julkisia avaimia 00:17:48.532 --> 00:17:50.782 Eli periaatteessa lähes kaikki 00:17:51.032 --> 00:17:52.048 Siistiä 00:17:52.048 --> 00:17:53.167 Hakkerikonferenssi 00:17:53.261 --> 00:17:57.261 Niin, ja kuka teistä ei suojaa avaintansa salasanalla vaan käyttää 00:17:57.261 --> 00:18:01.261 siihen tyhjää salasanaa? 00:18:03.971 --> 00:18:07.971 Okei. Teille kaikille tämä saattaa olla mielenkiintoista 00:18:09.881 --> 00:18:13.881 joten aiomme kutsua ssh-keygenillä ja mitä se tekee on ainoastaan 00:18:15.648 --> 00:18:17.108 Joo 00:18:19.898 --> 00:18:23.898 Generoi ssh-avaimen ja te kaikki luultavasti näette tämän 00:18:25.087 --> 00:18:27.717 Joten kopioin tämän 00:18:27.717 --> 00:18:30.527 ja menee isäntäkoneeseeni 00:18:31.308 --> 00:18:32.388 ja nyt menen 00:18:33.068 --> 00:18:34.858 lisätty valtuutetut avaimet 00:18:34.968 --> 00:18:38.238 ja lisään tämän avaimen 00:18:39.128 --> 00:18:41.598 ja palaan virtuaalikoneeseen 00:18:43.638 --> 00:18:46.638 Virtuaalinen työpöytä virtuaalisen työpöydän sisällä 00:18:47.458 --> 00:18:50.298 Se on kuin "pimp my ride" 00:18:51.178 --> 00:18:53.478 Okei, ja sitten voimme kirjautua sisään ssh:lla 00:18:54.248 --> 00:18:54.998 ja 00:18:57.939 --> 00:18:59.959 tämän pitäisi myös toimia nyt 00:18:59.959 --> 00:19:03.149 ja tässä pyydämme PIN-koodia älykorttiin jota alun perin kutsuin 00:19:03.169 --> 00:19:03.918 merkiksi 00:19:04.958 --> 00:19:06.958 jolle luultavasti löydät paremman nimen 00:19:07.888 --> 00:19:09.708 ja nyt olen sisällä 00:19:10.218 --> 00:19:11.728 eli se toimii myös 00:19:11.988 --> 00:19:15.098 (apploodit) 00:19:17.850 --> 00:19:20.970 mutta jotta asiat olisivat vielä siistimpi, mihin muuhun käytämme ssh:tä 00:19:20.978 --> 00:19:24.978 no me käytämme sitä tai ainakin minä käytän sitä gitiin 00:19:27.849 --> 00:19:31.099 otamme tämän avaimen uudelleen 00:19:31.854 --> 00:19:33.794 ja siirrymme Github:iin 00:19:34.204 --> 00:19:36.664 ja tämä on minun Github-tili 00:19:37.994 --> 00:19:39.894 Nyt menee mielenkiintoiseksi 00:19:41.424 --> 00:19:45.964 Lisään tämän ssh-avaimeksi 00:19:45.964 --> 00:19:46.724 ja 00:19:46.724 --> 00:19:49.004 Kyllä tallennan salasanoja 00:19:51.064 --> 00:19:54.594 millään heistä ei ole asiakkaan todennusta...asiakkaan todennustodistus 00:19:54.594 --> 00:19:57.264 kanssamme mitä muuta minun pitäisi tehdä 00:19:57.913 --> 00:20:01.913 joten asia jota teemme täällä on pohjimmiltaan että periaatteessa luon 00:20:01.943 --> 00:20:05.943 tämän siistin shell skriptin joka sisältää ssh-kutsun pkcss11-kirjastolla 00:20:07.236 --> 00:20:11.236 ja sitten viemme sen git_ssh -ympäristömuuttujan alle, mikä 00:20:11.236 --> 00:20:15.236 tarkoittaa, että ssh:n sijaan 00:20:15.896 --> 00:20:18.726 git kutsuu uutta ssh-juttuamme 00:20:18.726 --> 00:20:22.666 ja tämä käännetään 00:20:23.776 --> 00:20:27.776 kutsumalla pkcss11-palveluntarjoajaa 00:20:29.166 --> 00:20:32.296 seuraavaksi kloonataan 00:20:33.426 --> 00:20:35.686 ja täällä on uudelleen TPM-invokaatio 00:20:36.716 --> 00:20:38.726 Analoginen enemmän TPM kutsu 00:20:38.836 --> 00:20:39.896 ja täällä ollaan 00:20:40.096 --> 00:20:42.996 ja voimme nyt jopa mennä eteenpäin ja kirjautua ulos haarasta 00:20:44.696 --> 00:20:47.316 Luulen, että käytin tätä testeissäni, joten kutsun sitä 00:20:48.806 --> 00:20:49.536 Nyt 00:20:50.286 --> 00:20:51.016 Ei 00:20:52.076 --> 00:20:53.046 Tietysti 00:20:54.326 --> 00:20:56.656 Kirjaudutaan ulos uudesta haarasta 00:20:59.936 --> 00:21:01.516 git push origin 00:21:11.076 --> 00:21:14.856 ja se on puskettu ja voit mennä eteenpäin ja mennä nimiavaruuteeni 00:21:14.856 --> 00:21:18.796 Githubissa ja sinun pitäisi nähdä tämän mahtavan TPM-autentikoidun haaran 00:21:18.796 --> 00:21:19.740 pusku tuolla 00:21:21.897 --> 00:21:24.527 (aplodit) 00:21:27.010 --> 00:21:27.850 Okei 00:21:27.950 --> 00:21:32.640 kuten sanoin tämä on rc0\. Toivottavasti tulee pari bugia ennen 00:21:32.640 --> 00:21:34.490 lopullista julkaisua mutta 00:21:34.740 --> 00:21:37.380 äyttää aika käyttökelpoiselta, sanoisin 00:21:38.670 --> 00:21:41.900 Okei. Tulen seuraavaan asiaan joka on vielä kovasti työn alla 00:21:42.910 --> 00:21:45.360 Tämä on bittilokero Linuxille 00:21:46.770 --> 00:21:48.870 ja olen kirjoittanut tämän yli vuosi sitten 00:21:48.950 --> 00:21:52.140 ja ryhmässä oli yhdistämispyyntö 00:21:54.740 --> 00:21:59.045 ja olemme pohjimmiltaan uudelleen rakentaneet koko asian mutta ajattelin 00:21:59.045 --> 00:22:02.365 että olisi hauskaa tuoda tämä työ, jonka tein kauan sitten 00:22:03.800 --> 00:22:06.190 Mitä tämä tekee niin perustaa lukot ja krypton 00:22:09.190 --> 00:22:15.790 Idea on, että sinulla on äänenvoimakkuusnäppäin, jolla kokonaiset taltiot salataan, ja sitten sinulla on useita avaimia, jotka on tallennettu vetoomuksen lukko-otsikkoon 00:22:15.790 --> 00:22:19.790 jossa tämä äänenvoimakkuusavain salataan yleensä avaimella, joka on 00:22:19.790 --> 00:22:23.790 syöttämäsi salasanan oikealla puolella 00:22:24.027 --> 00:22:27.747 ja tämä sitten näyttää siltä, ​​ mitä näemme täällä keskellä 00:22:27.960 --> 00:22:31.120 jossa meillä on tämän tyyppinen avainpaikka nolla 00:22:31.560 --> 00:22:33.830 ja niinpä tein tuolloin, että jatkoin näitä 00:22:33.830 --> 00:22:37.570 Tämä on json joten jos käytät lukkoa ainakin uusi alimuoto 00:22:37.570 --> 00:22:40.870 Sinulla on json ja vetoomuksen otsikot 00:22:41.240 --> 00:22:43.920 Se on jotenkin mahtavaa 00:22:43.920 --> 00:22:46.960 Helpotti elämääni paljon tuolloin 00:22:46.980 --> 00:22:48.930 Meillä on siellä avainpaikka 00:22:48.990 --> 00:22:52.990 jotain sellaista ja me otamme äänenvoimakkuusnäppäimen 00:22:52.990 --> 00:22:56.990 ja käytämme yhtä TPM:n ei-volutaalista muistitilaa 00:22:57.888 --> 00:23:00.328 ja tallennamme äänenvoimakkuusnäppäimen suoraan 00:23:00.328 --> 00:23:01.838 sinne ja niin on 00:23:02.893 --> 00:23:04.933 ja kyllä vain muuta ei tarvita 00:23:04.993 --> 00:23:08.993 ja sitten mitä teemme alustamattomille Luks-otsikoille, tallennamme vain metadataa 00:23:08.993 --> 00:23:10.323 sinne ja niin on 00:23:10.926 --> 00:23:12.646 Esimerkiksi 00:23:12.853 --> 00:23:16.163 Mikä on se "nvindex" numero jonka alle varastoimme tavaraa? 00:23:16.933 --> 00:23:17.783 Okei 00:23:17.983 --> 00:23:20.123 Demon aika jälleen 00:23:22.593 --> 00:23:23.393 ja 00:23:31.053 --> 00:23:33.733 joten tämä on haaramme ryhmä josta poistun 00:23:33.733 --> 00:23:35.953 ja tulee olemaan 00:23:35.953 --> 00:23:39.143 Kokoamalla tämän livenä 00:23:40.647 --> 00:23:44.647 Samalla vielä yksi huomautus. Käyttöjärjestelmä jota ajetaan 00:23:44.650 --> 00:23:48.650 virtuaalikoneella on vakio Ubuntu-asennus 00:23:48.874 --> 00:23:50.414 ja 00:23:50.793 --> 00:23:54.703 valitsin juuri tämän salauksen LVM Ubuntun ohjatun asennustoiminnon aikana 00:23:58.583 --> 00:24:03.653 ja kuinka koskaan, valitettavasti se käyttää edelleen Luks1:tä tässä 00:24:03.713 --> 00:24:07.713 muodossa joten mitä sinun täytyy tehdä asennusmedialle jos haluat tehdä sen 00:24:07.810 --> 00:24:09.930 sinun on kutsuttava tämä "cryptsetup conver" 00:24:09.996 --> 00:24:13.296 joka muuntaa Luks1-muodon luks2-muotoon 00:24:14.073 --> 00:24:16.453 kaiken pitäisi olla nyt valmista 00:24:16.873 --> 00:24:17.923 Okei 00:24:18.209 --> 00:24:21.799 Kyllä vain. ​​Me kokosimme ja asensimme nyt päivitämme nopeasti 00:24:23.207 --> 00:24:26.737 korvaamme cryptolabin joka ei tee sitä kokoajan 00:24:27.606 --> 00:24:28.346 ja 00:24:29.473 --> 00:24:33.473 seuraava komento jota olemme suorittamassa, ja näette että ainoa ero on komennon "--tpm" lisääminen tähän 00:24:34.523 --> 00:24:36.473 Joka. Kyllä 00:24:37.793 --> 00:24:39.733 kutsuu käyttämään TPMää 00:24:40.723 --> 00:24:41.833 tila sille 00:24:42.673 --> 00:24:45.663 ja syötämme olemassa olevan salasanan 00:24:46.923 --> 00:24:50.923 syötämme uuden salasanan ja tätä uutta salasanaa käytetään TPMn 00:24:51.073 --> 00:24:52.453 todentamiseen 00:24:54.483 --> 00:24:55.253 ja 00:24:56.542 --> 00:24:59.422 meillä on vain 5 minuuttia, joten hyppään suoraan eteenpäin 00:24:59.763 --> 00:25:03.055 Kaiken pitäisi nyt olla kunnossa ja seuraavan uudelleenkäynnistyksen 00:25:03.055 --> 00:25:04.875 yhteydessä järjestelmä kysyy minulta 00:25:05.406 --> 00:25:08.096 TPM pohjaista salasanaa ja sitten 00:25:10.113 --> 00:25:12.823 pääsemme näkemään 00:25:14.503 --> 00:25:17.653 joten näemme tässä, että toinen avainpaikka on nyt TPM2-tyyppinen 00:25:19.373 --> 00:25:20.373 Okei 00:25:29.033 --> 00:25:32.203 Vielä yksi asia jonka haluan esitellä varhaisessa käynnistyksessä 00:25:32.204 --> 00:25:35.784 on eheyden tarkistus joka perustuu siihen mitä Matthew Garret puhui "@32c3" 00:25:37.064 --> 00:25:40.484 ja tämä on linkki hänen puheeseensa 00:25:40.734 --> 00:25:42.834 Kannattaa ehdottomasti käydä katsomassa se 00:25:43.324 --> 00:25:47.324 Joten tässä on kyse varhaisen käynnistyksen eheyden varmistamisesta ja 00:25:47.324 --> 00:25:50.354 jakamalla salaisuu TPMn ja älypuhelimesi välillä 00:25:50.368 --> 00:25:51.458 ja 00:25:51.704 --> 00:25:54.159 Kyllä. Tein juuri uudelleentoteutuksen ja aion 00:25:54.169 --> 00:25:55.859 esitellä myös sen 00:25:55.952 --> 00:26:00.181 Valmistautuessamme siihen on teidän kaikkien aika ottaa älypuhelimet esiin ja 00:26:00.181 --> 00:26:03.231 avata ilmainen TOTP-sovellus tai 00:26:03.302 --> 00:26:08.739 Google autentikaattori jotta voit varmistaa että kaikki toimii tarkoituksen 00:26:08.739 --> 00:26:10.019 mukaisesti 00:26:12.796 --> 00:26:15.806 ja tämän olen itse asiassa koonnut valmiiksi 00:26:16.366 --> 00:26:19.956 Muuten jos yleisössä on jok, joka on hyvä gtk-gui-suunnittelussa tule 00:26:19.966 --> 00:26:21.896 juttelemaan minulle 00:26:22.326 --> 00:26:24.596 Tässä näette minun tuotokseni 00:26:25.016 --> 00:26:25.806 Okei 00:26:25.946 --> 00:26:27.476 Aiomme suojella 00:26:29.046 --> 00:26:34.686 Pyörittämällä komennon pcr027 ja tämä varmistaa jokaisen käynnistyksen 00:26:34.686 --> 00:26:38.686 yhteydessä että tämä PCR-arvo on 00:26:38.892 --> 00:26:42.892 olivat samat kuin nyt kun käännämme tätä järjestelmää joten se tarkoittaa 00:26:43.147 --> 00:26:46.097 että jos sinulla on ydinpäivitys tai 00:26:46.097 --> 00:26:49.170 tai päivitä sisäinen RDM jälkeenpäin PCR-arvot vaihtelevat joten 00:26:49.170 --> 00:26:51.660 sinun täytyy käydä läpi tämä prosessi uudelleen 00:26:51.690 --> 00:26:55.580 Joten kaikki ovat skannatneet tämän toivottavasti omassa ilmaisessa TOTPssaan 00:26:55.930 --> 00:26:57.740 tai Google autentikaattorilla 00:26:57.900 --> 00:27:01.830 sitten voimme jatkaa ja voimme itse asiassa aloittaa järjestelmän 00:27:01.830 --> 00:27:04.100 uudelleenkäynnistyksen 00:27:06.490 --> 00:27:08.530 ja toivottavasti tämä toimii nyt 00:27:09.020 --> 00:27:12.789 koska monimutkaisin osa kaikissa näissä demoissa oli itse asiassa 00:27:12.789 --> 00:27:15.229 etäasetus "crap"n ja "implens"sin välillä. 00:27:16.700 --> 00:27:18.580 uskokaa tai älkää 00:27:20.130 --> 00:27:22.710 Okei ja näytöllä on tämä numer, joka on todella suuri 00:27:23.240 --> 00:27:25.640 828688\. Pitikö tämä paikkansa? 00:27:26.730 --> 00:27:27.740 Yleisö: Kyllä 00:27:28.080 --> 00:27:29.240 Hienoa 00:27:30.310 --> 00:27:31.660 (aplodit) 00:27:32.250 --> 00:27:37.380 ja toinen asia jonka teen nyt erittäin suojatun salasanan sijaan ja 00:27:37.380 --> 00:27:38.970 kirjoitan 1234 00:27:40.100 --> 00:27:43.160 Teidän täytyy uskoa minua ja mikä on TPM-salasana 00:27:44.420 --> 00:27:47.150 ja se itseasiassa käynnistyy käyttäen TPMää 00:27:47.720 --> 00:27:49.530 Mikä on 00:27:49.868 --> 00:27:51.288 Tässähän se on 00:27:51.401 --> 00:27:53.901 joten se toimii myös Luksien kanssa 00:27:54.097 --> 00:27:54.947 Okei 00:27:56.944 --> 00:28:00.314 Toivottavasti tämä antoi teille vaikutelman mitä voitte tehdä TPMllä 00:28:00.334 --> 00:28:02.014 jo tänään 00:28:02.946 --> 00:28:06.476 Jos haluat liittyä kehitykseen mukaan, liittyä hackroom-juttuihin tämä 00:28:06.476 --> 00:28:09.016 sivusto sisältää yhteisösivumme 00:28:10.094 --> 00:28:14.094 Missä meillä on gitter joten voit tulla puhumaan meille, minulle ja 00:28:14.114 --> 00:28:16.044 muille kehittäjille 00:28:16.854 --> 00:28:20.704 Voit katsoa niitä kahta otsikkotiedostoa jotka ovat tärkeimmät 00:28:20.704 --> 00:28:23.224 tällä hetkellä joten se on aivan uutta 00:28:24.424 --> 00:28:27.144 Julkaisimme sen juuri tai yhdistimme sen juuri masteriin 00:28:27.844 --> 00:28:29.884 Muistaakseni viikko sitten 00:28:30.554 --> 00:28:32.994 Olkaa hyvä ja katsokaa, testatkaa sitä 00:28:33.994 --> 00:28:35.454 Katsokaa myös 00:28:37.924 --> 00:28:41.924 työkalut. Kaikki työkalut jotka alkavat kirjaimella tpm2_ ovat 00:28:41.924 --> 00:28:46.824 periaatteessa"esapi" tai "eses" peilejä ja kaikki työkalujen etuliite tss_ ovat 00:28:46.824 --> 00:28:50.824 yksi yhteen "thappy" -sovituksia 00:28:51.681 --> 00:28:57.731 ja tässä on vielä yksi pro vinkki kun kehität ja jokin epäonnistuu yhtäkkiä 00:28:57.731 --> 00:29:01.567 se liittyy yleensä TPM-resurssien loppumiseen 00:29:02.134 --> 00:29:05.604 ja tämä komento siellä alhaalla jäädyttää TPMn sisäisen RAMin uudelleen 00:29:05.604 --> 00:29:07.704 jotta voit jatkaa työskentelyä 00:29:07.934 --> 00:29:08.694 Okei 00:29:08.966 --> 00:29:09.985 Kiitos 00:29:15.034 --> 00:29:16.404 "Kysymysten aika" 00:29:17.444 --> 00:29:18.174 Kiitos 00:29:18.844 --> 00:29:20.124 Se oli Andreas 00:29:20.219 --> 00:29:24.809 Ja nyt on kysymysten aika. Meillä on kysymyksiä internetissä ja meillä on 00:29:24.809 --> 00:29:28.809 kysymyksiä täällä 00:29:28.932 --> 00:29:29.702 Ja 00:29:31.574 --> 00:29:35.574 Katsokaa. Teillä kahdella on sama paita 00:29:36.074 --> 00:29:38.374 Hieno paita research exhaustion 00:29:39.264 --> 00:29:41.174 Okei, voisimme aloittaa numerosta neljä 00:29:42.554 --> 00:29:46.554 Henkilö yleisöstä: Okei. Oletetaan että sinulla on salausavaimet TPMssä ja 00:29:46.554 --> 00:29:50.034 hallituksesi vaikuttaa jollain tavalla TPMn tarjoajaan 00:29:51.024 --> 00:29:57.402 Henkilö yleisöstä: Joten ehkä voisi olla jokin tapa saada salausavain joten 00:29:57.402 --> 00:30:01.342 tämä ei ole hyvä lähestymistapa joten olisi mukavampaa antaa sinulle iso lihava 00:30:01.352 --> 00:30:03.102 mandaatti saadaksesi avaimet 00:30:03.164 --> 00:30:07.164 Henkilö yleisöstä: ja siellä on joitain muita avaimi jotka ovat TPMssä 00:30:07.164 --> 00:30:10.704 joten sinulla on oltava molemmat jotta v oit salata tavarasi 00:30:10.874 --> 00:30:14.874 Henkilö yleisöstä: joten se pitäisi tehdä näin. Jotta ei voida sanoa että 00:30:14.874 --> 00:30:18.814 henkilöä kidutetaan salauksen avaamiseksi 00:30:20.673 --> 00:30:24.533 Henkilö yleisöstä: tiedot toisella tietokoneella koska sillä on eri 00:30:24.533 --> 00:30:26.163 TPM salaisuuteen 00:30:26.163 --> 00:30:29.593 Henkilö yleisöstä: joten sinulla pitäisi olla todellinen kaksiosainen 00:30:29.593 --> 00:30:32.593 todennus ilman näitä avaimia TPMssä koska en luottaisi siihen 00:30:32.834 --> 00:30:36.034 Okei. Riippuu vainoharhaisuudestasi mutta se on varmasti hyvä idea 00:30:36.794 --> 00:30:37.674 Kiitos 00:30:38.484 --> 00:30:40.784 Vain kysymyksiä. Ei kommentteja 00:30:41.704 --> 00:30:42.774 En pahastu 00:30:44.474 --> 00:30:46.534 Kysymyksiä. Tämä on sääntö. 00:30:48.074 --> 00:30:49.554 Numero kaksi 00:30:50.104 --> 00:30:53.124 Henkilö yleisöstä: Minun on käytettävä Windowsia joka on salattu 00:30:53.124 --> 00:30:55.224 "bitlockerilla" ja toisella sijalla 00:30:55.407 --> 00:30:58.247 Henkilö yleisöstä: Kuinka todennäköistä on että bitlockerin 00:30:58.247 --> 00:31:01.167 tunnistetiedot tuhotaan tahattomasti näiden työkalujen kanssa 00:31:01.167 --> 00:31:02.817 työskennellessäni? 00:31:04.036 --> 00:31:07.406 Se riippuu paljolti siitä mitä työkaluja käytät ja mihin tarkoitukseen 00:31:07.966 --> 00:31:13.156 Tässä käyttämäni työkalut ja kaikki mitä näytin eivät asenna 00:31:13.156 --> 00:31:15.726 estäviä avaimia 00:31:15.926 --> 00:31:19.716 Luulen että oikeastaan pkcs11  asentaa presistan-avaimia, joten se 00:31:19.716 --> 00:31:22.786 kuluttaa osan resursseistasi ja myös crypto-jutuistasi 00:31:23.226 --> 00:31:27.376 ja huippujutut vievät jonkin verran "envy" -tilaa, ja jos uskot kuinka 00:31:27.376 --> 00:31:32.996 paljon TPM-resursseja Windows haluaa vaatia itselleen saatat törmätä ¨ 00:31:32.996 --> 00:31:35.006 resurssien loppumiseen. 00:31:35.444 --> 00:31:40.294 Mutta ei ole muita avaimia joita nämä työkalut tai demot poistavat 00:31:42.107 --> 00:31:44.997 Eli voit mennä huoletta ja käyttää noita 00:31:46.837 --> 00:31:48.007 Okei. Kiitos. 00:31:48.857 --> 00:31:51.167 Ehkäpä meillä on kysymys internetistä 00:31:51.867 --> 00:31:55.867 Henkilö yleisöstä: Joo muut laitteisto tokenit kuten "ubi-avain" 00:31:55.867 --> 00:31:59.467 heillä saattaa olla esimerkiksi painike jota sinun täytyy painaa saadaksesi 00:31:59.467 --> 00:32:03.027 jonkinlaisen todisteen läsnäolosta jotta ohjelmisto ei voi käyttää sitä 00:32:03.027 --> 00:32:06.178 Henkilö yleisöstä: taustalla ilman että tiedät siitä 00:32:06.178 --> 00:32:08.612 Henkilö yleisöstä: Kuinka tehdä sama käyttäen TPMää? 00:32:09.188 --> 00:32:10.828 Tällä hetkellä ei pysty 00:32:11.044 --> 00:32:15.044 Mutta toivon tai olen toivonut että TPM voisi käyttää lediä kymmenen 00:32:15.044 --> 00:32:17.768 vuoden päästä 00:32:18.254 --> 00:32:22.254 Todennäköisemmin näemme jossain vaiheessa tulevaisuudessa joitain 00:32:22.278 --> 00:32:26.278 gpio-käyttöisiä TPM-laitteita ja riippuen siitä mitä voimme tehdä niillä 00:32:26.808 --> 00:32:29.218 mahdollisesti pystymme sisällyttämään tämän 00:32:29.218 --> 00:32:32.048 tai saman tyylisiä ominaisuuksia tulevaisuudessa 00:32:32.098 --> 00:32:36.098 mutta toistaiseksi uskon että on ollut vain tutkimusprototyyppejä joita 00:32:36.098 --> 00:32:40.098 olen itse päässyt toteuttamaan TPMlle "cortex-r3" -laitteessa 00:32:41.250 --> 00:32:45.250 "gpion" hyödyllisyyden osoittamiseksi suoraan tpm:stä. 00:32:45.514 --> 00:32:47.814 Mutta se on ensin kehitettävä 00:32:48.780 --> 00:32:50.340 Okei. Kiitos 00:32:51.710 --> 00:32:53.360 Numero viisi kiitos 00:32:54.820 --> 00:32:56.850 Henkilö yleisöstä: Kyllä. Moi 00:32:57.790 --> 00:33:01.430 Henkilö yleisöstä: Voitko toteuttaa tämän universumin jatko-osan syötettynä 00:33:01.470 --> 00:33:04.300 edelleen TPMlle? Aiotteko tehdä sen? 00:33:05.720 --> 00:33:09.720 Kyllä ja ei. Voit toteuttaa osia fidosta käyttämällä TPMää joka on 00:33:09.720 --> 00:33:13.390 salauksen perustoiminto mutta fido sisältää myös mukautettuja tietomuotoja 00:33:14.660 --> 00:33:18.660 joita yleensä käsitellään myös fido-tunnuksella 00:33:19.810 --> 00:33:23.810 jossa sinulla on laskureita, jotka lisäävät jotain sellaista 00:33:24.530 --> 00:33:27.910 jota TPM ei tallenna sisäisesti koska TPM ei tiedä fido-tietorakenteista 00:33:27.920 --> 00:33:30.540 ja päinvastoin 00:33:31.280 --> 00:33:35.280 Kuitenkin fido2lle mielestäni oli tämäTPM-metastaattinentila 00:33:36.260 --> 00:33:40.260 mutta se olisi jonkun toteutettava 00:33:41.000 --> 00:33:45.000 Haluatko aloittaa työskentelyn sen parissa tule puhumaan minulle ja olen 00:33:45.000 --> 00:33:47.620 varmasti apunasi 00:33:48.450 --> 00:33:52.450 Joten tekemistä on paljon ja kyllä 00:33:52.730 --> 00:33:56.730 Jos joku teistä etsii tekemistä 00:33:57.640 --> 00:34:01.440 Voit vain mennä eteenpäin ja katsoa tätä github.io-yhteisösivua jos siirryt 00:34:01.440 --> 00:34:02.850 ohjelmistoon 00:34:03.430 --> 00:34:05.480 välilehti yläreunassa ja vierität alas 00:34:05.480 --> 00:34:09.480 on luettelo ohjelmista. Aloitamme siis ohjelmista joilla on jo TPM-tuki 00:34:09.480 --> 00:34:11.270 ja sitten meillä on 00:34:11.270 --> 00:34:14.690 vielä pidempi lista ohjelmista joissa oli TPMn suunnitteilla. On myös 00:34:14.700 --> 00:34:16.590 paljon asioita kuten 00:34:17.220 --> 00:34:21.220 Weboht ja Cryptoki ja vaikka mitä muita missä toivoisin näkevän TPM tuen 00:34:21.710 --> 00:34:25.710 Jopa niinkin yksinkertainen kuin "gpt" 00:34:26.190 --> 00:34:27.430 Mikä. Kyllä. 00:34:28.530 --> 00:34:30.460 Okei. Numero kaksi kiitos 00:34:31.295 --> 00:34:35.415 Henkilö yleisöstä: Kuinka monta erilaista avainta tai älykorttia voit 00:34:35.415 --> 00:34:37.138 tallentaa TPMään? 00:34:37.138 --> 00:34:40.628 Henkilö yleisöstä: Onko se vain yksi vai voitko tallentaa useampia? 00:34:41.308 --> 00:34:45.308 On hienoa, että TPMn perusperiaate on että TPM tallentaa vain hyvin 00:34:45.308 --> 00:34:46.908 vähän avaimia 00:34:48.170 --> 00:34:50.840 yleensä se on vain yksi tässä tapauksessa 00:34:50.850 --> 00:34:54.180 ja sitten kaikki muut avaimet salataan tällä avaimella ja tallennetaan 00:34:54.180 --> 00:34:55.250 kiintolevylle 00:34:56.000 --> 00:34:59.410 Tällä pkcs11llä joka meillä on täällä sinulla voi olla niin monta 00:34:59.410 --> 00:35:02.730 avainta kuin sinulla on vapaata kiintolevytilaa 00:35:03.690 --> 00:35:07.690 tai niin monta avainta "sql-lite" -työkalun avulla voit 00:35:07.690 --> 00:35:09.990 tallentaa tietokantaan 00:35:10.900 --> 00:35:12.940 Kiitos. Numero neljä kiitos. 00:35:13.440 --> 00:35:16.550 Henkilö yleisöstä: Hei. kiitos esityksestä. Minulla on ytimen 00:35:16.560 --> 00:35:19.170 päivityksiin liittyvä kysymys 00:35:19.720 --> 00:35:26.030 Jos päivitän ytimeni voinko mitata mikä kernal on seuraavassa 00:35:26.040 --> 00:35:27.590 käynnistyksessä 00:35:28.420 --> 00:35:31.970 ja kertoa TPMlleni että tämä uudelleensinetöi tällä hetkellä sinetöidyt 00:35:31.970 --> 00:35:35.320 avaimet tuleville ptr-arvoille,joita sen pitäisi odottaa seuraavassa 00:35:35.330 --> 00:35:37.000 käynnistyksessä? 00:35:37.680 --> 00:35:39.890 Teoriassa ehdottomasti kyllä 00:35:39.890 --> 00:35:43.031 Se on täysin yksinkertaista joten tutkija kertoo sinulle että se 00:35:43.031 --> 00:35:44.171 ei ole haaste 00:35:44.254 --> 00:35:47.654 Insinööri sen sijaan kertoo että tämä on eräänlainen ongelma 00:35:48.202 --> 00:35:49.032 ja 00:35:49.672 --> 00:35:52.752 ongelma on että sinun on jotenkin tiedettävä viitearvot 00:35:52.752 --> 00:35:55.712 etukäteen ja sitten sinun on laskettava uudelleen koko siihen m 00:35:55.722 --> 00:35:57.202 ennyt mittausketju 00:35:57.915 --> 00:36:01.075 joten tässä on kyse lähestymistavasta 00:36:01.512 --> 00:36:04.892 referenssi- ja eheysmittausjakelu että Linux-promot -konferenssissa oli 00:36:04.892 --> 00:36:07.352 osio jossa tätä ongelmaa käsiteltiin 00:36:08.102 --> 00:36:10.572 Jotenka tämä on siis 00:36:11.072 --> 00:36:13.672 Lähinnä infrastruktuuriongelma 00:36:14.262 --> 00:36:17.702 pikemminkin kuin itse asiassa TPMn ongelma 00:36:17.952 --> 00:36:20.112 tai TPMn-perusohjelmiston 00:36:20.882 --> 00:36:22.162 Okei. Kiitos. 00:36:22.192 --> 00:36:25.772 Joten meillä on vielä yksi minuutti joten olen erittäin pahoillani emme voi 00:36:25.772 --> 00:36:27.422 ottaa enempää kysymyksiä huoneesta 00:36:27.422 --> 00:36:29.752 mutta minulla on vielä yksi kysymys internetistä 00:36:30.092 --> 00:36:33.322 Henkilö yleisöstä: Jos en luota TPMään ja koneeseeni voinko saada 00:36:33.322 --> 00:36:36.202 toisenlaisen luotettavalta palveluntarjoajalta? Ovatko ne y 00:36:36.202 --> 00:36:38.642 hteensopivia siinä mielessä? 00:36:38.982 --> 00:36:42.182 Kyllä. Tietääkseni heillä on yhteensopiva pin-out ja yhteensopiva 00:36:42.182 --> 00:36:44.222 cpi-protokolla ja 00:36:44.912 --> 00:36:47.842 se on hieno asia että 00:36:48.162 --> 00:36:50.862 ne ovat yhteensopivia 00:36:51.452 --> 00:36:52.432 Varmasti 00:36:53.222 --> 00:36:54.452 Eteenpäin 00:36:55.582 --> 00:36:58.842 Paitsi ehkä intel ttp ftp joka toimii hallintamoottorilla 00:36:59.872 --> 00:37:03.872 Niillä tietysti jos myit ne RITllä ei ole niillä ole enään IOta 00:37:04.392 --> 00:37:06.522 Okei. Kiitos paljon. 00:37:07.122 --> 00:37:10.912 Jos haluat ottaa yhteyttä Andreaan mene verkkosivustolle. Olette nähneet 00:37:10.912 --> 00:37:12.602 sen aikaisemmin 00:37:13.262 --> 00:37:14.492 ja kiitos 00:37:14.902 --> 00:37:17.638 ja ehkä vielä yhdet raikuvat aplodit Andreakselle 00:37:17.642 --> 00:37:18.902 (aplodit) 00:37:18.902 --> 00:37:19.682 Kiitos 00:37:21.812 --> 00:37:25.812 Subtitles created by Musa Jallow (ITKST56 course assignment at JYU.fi)