36C3 - Hacking (with) a TPM

Edit subtitles

0:00 - 0:06

Subtitles created by Musa Jallow
(ITKST56 course assignment at JYU.fi)
0:10 - 0:13

Resurssien loppuminen
0:13 - 0:17

Hakkerointi TMP:llä
0:21 - 0:26

Seuraava puhe on hakkerointi
TMP:llä. Älkää kysykö mitä voitte tehdä
0:26 - 0:28

TMP:llä. Sen sijaan kysykää mitä TMP voi
tehdä sinulle
0:31 - 0:34

Ja se toimii tietyllä tavalla
johdantona siihen mitä TMP on ja mitä
0:34 - 0:35

sillä voi tehdä
0:35 - 0:41

Ja vieraileva juontaja on Andreas
ja tässä hän on. Antakaa suuret aplodit.
0:41 - 0:42

Kiitos
0:49 - 0:54

Tervehdys kaikille. Minun nimeni on
Andreas. Aion esitellä joitakin asioita
0:54 - 0:58

TMP:stä. Tässä on minun GitHub-kahva ja
nimi josta voit löytää osan asioiasta
0:58 - 1:02

joiden parissa työskentelen
1:02 - 1:06

Ja kaikista tärkeimmät lähteet
joista puhun on tämä. Näet sen
1:06 - 1:10

loppuyhteenvedossa uudestaan
1:10 - 1:15

Jotenka, kuka minä olen.
Työskentelen TMP:n parissa, jotenka olen
1:15 - 1:20

löytänyt jonkun joka on valmis maksamaan
minulle työskennelläkseni tämän asian
1:20 - 1:21

parissa.
1:21 - 1:24

Ja olen jäsenenä luotto
tietokoneryhmässä, joka tekee paljon
1:24 - 1:26

näiden asioiden määrittelyä
1:29 - 1:34

Aloitin työskentelyn TMP:n parissa
13 vuotta sitten, jolloin se oli 1.2.
1:36 - 1:42

Yritin saada asiat toimivaan itselleni,
mikä ei kuitenkaan onnistunut järjestelmä
1:42 - 1:50

ei ollut hyvin ylläpidetty, API oli ikävä
1:50 - 1:57

Jotenka 5 vuotta sitten, kun
osallistujia rekrytoitiin työskentelmään
1:57 - 2:03

TSS 2.0 parissa. Hyppäsin kanin koloon
välittömästi
2:03 - 2:08

Määrittelyä, kirjoittamista ja mitä
muuta TSS toteuttamiseen ja ylläpitoon
2:08 - 2:10

tarvittiin.
2:10 - 2:15

Github tuli myöhemmin kuvioihin
2:15 - 2:21

Tätä lopputulosta aion esitellä
teille. Aion käydä läpi esittely lyhyesti
2:21 - 2:25

mitä TMP:t ovat
2:25 - 2:31

Ja sitten siirrymme kahteen
aiheeseen tietojen suojaaminen ja
2:31 - 2:36

käynnistyksen suojaaminen. Ja sitten
informaatiota siitä miten voit aloittaa
2:36 - 2:39

työskentelyn itse
2:40 - 2:45

Ja tässä tulee hauska osuus.
Jotenka teidän huviksi ja minun
2:45 - 2:48

henkilökohtaisen yöllisen adrenaliinin
vuoksi ajattelin sisällyttää joitakin
2:48 - 2:50

demoja
2:50 - 2:54

Se mitä aion nyt tehdä on, että
kopion kaiken tämän
2:54 - 2:57

Siirryn omistamaani ja luotettavaan
virtuaalikoneeseen
2:59 - 3:02

Ja tietysti se ei toimi heti
3:05 - 3:07

Minun olisi pitänyt avata sudo
ensiksi
3:08 - 3:11

Aion tehdä live demoja aina välillä
3:12 - 3:18

Pyydän, älkää DoS täällä olevaa
internettiä tai esitys jää hyvin lyhyeksi
3:20 - 3:25

Mitä ovat TMP:t. TMP on
turvallisuus-siru joka liitetään emolevyyn
3:27 - 3:34

Ja kiitso Microsoftin, kun antoivat
TMP:s kaikille halvalla. Koska kiitos
3:34 - 3:39

Microsoftin logo-ohjelman jokaisessa
kuluttajatietokoneessa on nykyään TMP
3:41 - 3:46

Jotenka miksi ei käyttäisi niitä.
Ne ovat melko tietoturvallisia. Niissä on
3:46 - 3:55

tiety kriteerisertifikaatit joihin voitte
luottaa
3:58 - 4:07

Tottakai on ollut joitain
TMP.failed ja Tanja ja David puhuivat
4:07 - 4:11

tästä kaksi, kolmetuntia sitten mikä oli
mielenkiintoista
4:12 - 4:21

Ja mihin se pystyy? Se pystyy
tekemään Cryptoa, varastointia ja
tallentamaan boot has -arvoja
4:22 - 4:25

Ja se on periaattessa kaikki mihin
se pystyy. Jotenka se on täysin
4:25 - 4:27

passiivinen laite
4:27 - 4:32

Mikä on kaikista tärkein pointti.
Ja oikealla näette vanhoja 1.2 versioita.
4:32 - 4:36

Nykypäivänä se on paljon pienempi
4:37 - 4:44

Ovat TMP:t vaarallisia?
Mielestäni olemme kuullet keskusteluja
4:44 - 4:47

menneisyydessä, että kongressissa ollaan
väitelty molemmista suunnista
4:47 - 4:54

TMP:llä oli huono maine kun
ne tulivat ensimmäistä kertaa myyntiin
4:54 - 4:57

Kuten sanoin ne ovat täysin
passiivisia
4:57 - 5:01

Ja mitä TMP:t ovat oikeasti niin
ne ovat upotettuja älysiruja
5:02 - 5:06

Jotenka sinulla on tietynlainen
tietoturvaelementti tietokoneessa jota
5:06 - 5:08

voit käyttää hyödyksi
5:08 - 5:12

Ja sitten on rehellisyys
raportointi ja paikkaominaisuudet
5:13 - 5:16

Joihin menen vähän tarkemmin
myöhemmin
5:17 - 5:21

Mutta älä vain ota minun sanaani
asiasta vaan ota Richard Stormanin tai
5:21 - 5:27

GNU säätiön, koska he määrittelivät että
luottamus-alusta-moduuli, joka on
5:27 - 5:31

saatavilla tietokoneisiin ei ole
vaarallinen ja ei ole syytä sisällyttää
5:31 - 5:34

sellaista tietokoneeseen
5:34 - 5:38

Sanoisin, että ne ovat saaneet
"Storman hyväksyssän"
5:38 - 5:42

Ja täten miksi ei vain voisi käyttää
niitä
5:43 - 5:47

Seuraavaksi siirrytään asian pihviin
5:47 - 5:51

Kirjautumistietojen suojaaminen.
Kuka täällä käyttää julkista avain
5:51 - 5:53

suojausta jollakin tavalla?
5:53 - 5:56

Odotan, että kaikki kädet nousevat
5:58 - 6:02

Kuka käyttää älykorttia tai
"Yubi"-avainta tai TMP:tä suojaamaan
6:02 - 6:04

tietoja?
6:04 - 6:05

Okei
6:05 - 6:09

Ja kuka on optimoinut tämän
prosessin ja vain jättänyt alykortin
6:09 - 6:15

sinne taikatkaissut osan siitä?
Tai käyttäny Yubi-avain nanoa?
6:17 - 6:24

Okei. Vain muutama. Teille
muutamille tämä on sama suoja minkä
6:24 - 6:26

TMP tarjoaa
6:26 - 6:32

Ja muille älykortit. Voitte käyttää
TMP:tä, koska se on kätevämpi. Lisäksi
6:32 - 6:39

teillä on jo se niin miksi ette käyttäisi
sitä?
6:43 - 6:48

Okei. Mikä on turvallisuus idea
kirjautumistietojen suojaamisessa,
6:48 - 6:53

joka tulee älykorttien ja TMP:n kanssa
saman tyylisesti?
6:54 - 6:59

Periaatteessa haluamme jakaa
autentikoinnin, todisteen hallussapidosta
6:59 - 7:04

ja todisteen tiedosta
7:06 - 7:11

Jotenka meillä on kaksi tekijää
jotka haluamme saavuuttaa autentikoinnissa
7:12 - 7:16

Todiste tiedosta on hyvin
suoraviivainen. salasanan tai koodin
7:16 - 7:18

laittaminen älykortin avaamiseksi.
7:18 - 7:22

Ja todiste hallussapidosta on
toinen tekijä. Mitä tämä tärkoitta?
7:23 - 7:28

Mitä tarvitset luodaksesi todisteen
hallussapidosta tarvitset jotain mikä
7:28 - 7:31

ei ole kopioitavissa tai kloonattavissa
7:31 - 7:34

Eli se on pääominaisuus
mitä älykortti sinulle antaa
7:34 - 7:40

Mitä, esimerkiksi pehmeä merkki
tai julkinen avain, joka hengailee sinun
7:40 - 7:42

kovalevyllä ei anna sinulle
7:42 - 7:50

Koska voit vain CPttää sen ja
tuoda sen eri koneelle
7:50 - 7:54

Ja ajaa sen samaan aikaan monella
koneella
7:54 - 8:00

Jotenka jos sinulla on jotain mitä
ei voi kopioida, voi olla vain yhdellä
8:00 - 8:05

henkilöllä ja siten saat lisä turvaa.
8:06 - 8:10

Ja tästä tulee erityisen tärkeää
kaikissa hakkerointi konferensseissa,
8:11 - 8:15

täällä tai BlackHat tai missä ikinä
8:15 - 8:18

Koska näissä tapahtumissa
olevat ihmiset ovat hyvä tallentamaan
8:18 - 8:22

ja selvittämään salasanoja
8:22 - 8:25

Jotenka tämä on hyvä argumentti
miksi sinulla tulisi olla toinen
8:25 - 8:26

ominaisuus
8:28 - 8:34

Jotenka todiste hallussapidosta voi
olla älykortti tai Yubi-avain nano
8:34 - 8:39

voidaan muuttaa todisteeksi
hallusapidosta tietokoneella joka
8:39 - 8:41

sisältää TMP:n
8:41 - 8:45

Jotenka ainoastaan jos jollain on
pääsy tähän koneeseen ja tieto koodista.
8:45 - 8:52

Nämä kaksi tekijää mahdollistavat
autentikoinnin
8:52 - 8:56

Tyypillisesti jos olet hakkeroinnin
uhri. Tämä on ongelma siinä mitä
8:56 - 8:58

todiste hallussapidosta tarkoittaa
8:58 - 9:04

Sama kuin jos sinulla on älykortti
älykorttilukijassa siinä ajassa kun joku
9:06 - 9:10

saa järjestelmäsi haltuun he ovat
enemmän tai vähemmän kyvykkäitä
9:10 - 9:14

käyttämään sinun kirjautumistietoja
9:15 - 9:19

Mutta on kaksi eroa. Ne ovat
väliaikaisesti kiinnitettyjä aikaan
9:19 - 9:23

joka hakkeroinnissa kestää eli jos
siivoat järjestelmän voit jatkaa
9:23 - 9:26

työskentelyä normaalisti jälkeenpäin
9:27 - 9:31

Toinen asia on, että ei ole
mahdollista että hyökkäys, kuten
9:31 - 9:32

"kova verenvuoto"
9:32 - 9:36

Koska kaikki haavoittuvuudet
eivät ole kyvykkäitä saamaan täysiä
9:36 - 9:40

oikeuksia. Joskus hyökkäys kuten
"kova verenvuoto" voi saada vain tiettyjä
9:40 - 9:44

osia haltuunsa
9:47 - 9:51

Sinulla ei ole kyseistä ongelmaa
jos tietokone ei tiedä avainta ja sitä ei
9:51 - 9:53

ole tallennettu RAM:lle tai levylle
9:55 - 9:57

Demon aika
9:57 - 10:02

Kuinka voit käyttää tätä
kirjautumistietojen suojausta?
10:02 - 10:08

Yksinkertaisin tapa tehdä se on
TPM 2 TSS koneen avulla
10:09 - 10:12

TPM ohjelmistoprojektilla
10:12 - 10:15

Minun ei pitäisi kertoa siitä täällä
10:15 - 10:19

Jotenka asensimme yhden näistä
ohjelmistoista aikaisemmin ja se ei
10:19 - 10:22

oikeastaan ladannut
10:24 - 10:29

Jotta voitte käyttää sitä
tarvitsette vain nämä kolme komentoa
10:29 - 10:33

ja aion näyttää ne teille nopeasti
10:33 - 10:35

Muuten...
10:39 - 10:43

En käytä TPM:tä vaan käytän
laitteiston TPM:tä
10:45 - 10:49

Lähetin sen virtuaalikoneelle
10:58 - 11:01

Vaihdetaan virtuaalityöpöydälle
11:06 - 11:10

Jotenka mitä teemme ensimmäiseksi?
11:10 - 11:12

Ymmärrämme.. nyt se toimii
11:12 - 11:16

Luomme avaimen käyttämällä TPM:tä
ja seuraava komento luo itse-asetetun
11:16 - 11:22

sertifikaatin, ja kuten näette jotka ovat
työskennelleet asian parissa niin
11:22 - 11:26

ensimmäinen komento on mukautettu
komento ohjelmistosta
11:26 - 11:32

Toinen on tavallinen OpenSSL luo
sertifikaatti komento jossa nimetään
11:32 - 11:38

moottori ja avain joka tulee sen mukana
11:39 - 11:43

Jotenka aiomme ottaa tämän
11:43 - 11:46

Laitetaan se tänne
11:46 - 11:48

Olemme Itävallassa nyt
11:48 - 11:51

Ketä kiinnostaa
11:54 - 12:00

Ja nyt meillä on curl ja curl pystyy
yhditämään meidät... toimi nyt. Minun
12:04 - 12:06

olisi pitänyt tuoda hiiri
12:08 - 12:17

Jotenka curl pystyy käyttämään
OpenSSL moottoria ja älä ärsyynny
12:17 - 12:21

kautta-kautta epävarmuudesta.
Ajan tällä hetkellä EngineX serveriä
12:21 - 12:24

isäntäjärjestelmässä
12:24 - 12:28

Ja virtuaalikoneenssa käytän
curlia autentikoimaan ja käytän
12:28 - 12:32

client -autentikointi keskustellakseni
EngineX:n kanssa
12:38 - 12:42

Ja kuten huomaatte tämä on
nettisivu ja ensimmäistä kertaa
12:42 - 12:46

ajaessani komennon en meinannut
uskoa näkemääni koska se oli niin
12:46 - 12:49

nopea ja ajattelin että tein virheen
12:49 - 12:55

Jotenka verifioidakseni kaikille
teille teen "trace loginnin"
12:55 - 12:58

Ja sitten näemme että meillä
tapahtuu paljon kommunikointia TPM:n
12:58 - 13:00

kanssa
13:00 - 13:03

Jotenka käytämme oikeasti
TPM:tä tehdäksemme asiakas puolen
13:03 - 13:05

autentikointia serverillä
13:05 - 13:09

(aploodit)
13:10 - 13:12

Kiitos
13:12 - 13:20

Seuraava asia. Tämä on.. ensiksi
tämä on minun tapani tehdä asioita.
13:20 - 13:24

Haluan käyttää TPM:ää kotona ja ehkä
tehdä tyypillisiä bash skripti pohjaisia
13:24 - 13:27

asioita
13:27 - 13:30

ja milloin ikinä teetkään bash
skriptiä sinä et halua laittaa salasanaasi
13:30 - 13:34

sinne, koska kun pusket skriptit
Githubiin muut ihmiset voivat ladata ne
13:34 - 13:37

ja käyttää sinun salasanoja
13:37 - 13:40

Jotenka tämä on toinen etu näissä
13:40 - 13:44

ja toinen asia jota haluan tehdä
kotona. Minulla on Internet-
13:44 - 13:48

verkkopalvelin, joka on käytännössä
käänteinen välityspalvelin EngineX:llä
13:48 - 13:51

Se välittää tavarat kotiavustajalle
ja muihin paikkoihin
13:51 - 13:55

ja haluan pystyä poistamaan
tämän jotta pystyn tallentamaan
13:55 - 13:59

kirjautumistietoja turvallisesti, jotta
seuraavan kerran kun EngineX
"heart bleeds" ei se pilaa kaikkea
13:59 - 14:03

puolestani
14:03 - 14:07

ja EngineX:llä on erittäin
helppoa tehdä se
14:12 - 14:15

os katsomme tätä sivustoa
joka on merkitty tähän. Se on
14:15 - 14:17

käytännössä vain oletussivusto
14:17 - 14:20

näemme että meidän on
lähetettävä sertifikaatti ja
14:20 - 14:22

ssh-sertifikaattiavain
14:22 - 14:26

voit käyttää tätä avainsanakonetta,
joten toivottavasti et koskaan tallenna
14:26 - 14:27

avaimesi
14:27 - 14:29

ja jos kutsun moottoria siitä
tulee ongelman
14:29 - 14:33

ja me osoitamme tpm2tss -moottoria
14:33 - 14:37

ja koska jonkun ärsyttävän bugin
vuoksi EngineX ja ihmiset EngineX
14:37 - 14:40

foorumilla ovat puhuneet siitä
14:41 - 14:45

en löytänyt hyvää ratkaisua
asian korjaamiseksi ja tästä syystä
14:45 - 14:47

jouduin määrittelemään moottorin
uudestaan täällä
14:47 - 14:51

jotenka nyt kun kaikki tämä on
kunnossa voimme vain
14:53 - 14:57

käynnistää uudelleen
15:01 - 15:05

voimme vain käynnistää EngineX:n
uudelleen ja tällä kertaa käännämme sen
15:05 - 15:10

ympäri. Joten jatkan vain luotetun
verkkopalvelimeni isäntäjärjestelmässä
15:11 - 15:15

yritä kirjautua siihen
15:15 - 15:19

kyllä, koska emme luota sen
sertifikaattiin välittömästi yea,
15:19 - 15:23

mutta me voimme käyttää
TPM:ää autentikoimiseen
15:26 - 15:29

jotenka molemmat puolet voivat
nyt aloittaa skriptaamisen
15:29 - 15:33

Siisitä
15:33 - 15:35

Nyt mennään
15:35 - 15:39

Okei, joten se on helpoin tapa
päästä alkuun kun yrität yhdistää
15:39 - 15:42

TPM:n päivittäisiin bash-rutiineihin
15:43 - 15:47

seuraavaksi hieman monimutkaisempi
tapa tehdä asioita on pkcs11
15:49 - 15:55

pkcs11on avoimen ryhmän
standardisoitu API, jota Firefox käyttää
15:55 - 15:58

esimerkiksi älykorttien kanssa
kommunikoimiseen
15:59 - 16:03

ja tietysti me myös
työskentelemme... kuten nämä yhteisöt ja
16:03 - 16:06

teemme jotain sen eteen
16:06 - 16:10

meillä on jopa antenneja
täällä huoneessa
16:10 - 16:11

paljasin heidät
16:11 - 16:15

Okei, olemme tällä hetkellä
"orc0 face"
16:17 - 16:21

Tämä on myös syy siihen miksi
on outoa että asennustyökalut eivät
16:21 - 16:25

asennu aina kun kutsut niitä asentaaksesi
16:26 - 16:30

joten jos yrität ajaa näitä juttuja
uudelleen kotoa käsin huomioi näiden
16:30 - 16:36

diojen perusteella, että tämä on polku
tpmp2-työkalun chekc.git arkistoon
16:38 - 16:42

ja ainoa asia, joka todella saa
asennuksen on kirjasto jota pkcs11
16:42 - 16:44

käytämme myöhemmin
16:44 - 16:45

Joka tapauksessa
16:45 - 16:47

Otamme nämä muutamat käskyt täällä
16:47 - 16:51

ja periaatteessa teemme alustuksen.
Ensin laitamme pythonpath-juttuja ja
16:51 - 16:52

muuta sellaista
16:53 - 16:58

osoitamme tietokannan
tallentamiseen kodin alle
16:58 - 17:02

alustamme ja lisäämme tokenin
joka käytännössä luo uuden älykortin
17:04 - 17:06

ja sitten lisäämme avaimen
17:08 - 17:10

Okei
17:10 - 17:12

katsotaan toimiiko se oikein
17:16 - 17:18

Näyttää hyvältä
17:20 - 17:21

Joo
17:23 - 17:29

ja siinä se meillä on. Loimme juuri
älykortin tällä satunnaisella
17:29 - 17:31

älykorttitunnuksella, josta sinun
ei tarvitse välittää
17:31 - 17:35

mitä hienoa tässä on? Olen menossa
tähän ongelmaan koska haluan käyttää
17:35 - 17:39

sitä todentaakseni ssh:n kautta
17:40 - 17:44

koska en tiedä kuinka moni teistä
ssh-asiakastodennusta käyttävistä käyttää
17:45 - 17:48

allekirjoittavia julkisia avaimia
17:49 - 17:51

Eli periaatteessa lähes kaikki
17:51 - 17:52

Siistiä
17:52 - 17:53

Hakkerikonferenssi
17:53 - 17:57

Niin, ja kuka teistä ei suojaa
avaintansa salasanalla vaan käyttää
17:57 - 18:01

siihen tyhjää salasanaa?
18:04 - 18:08

Okei. Teille kaikille tämä saattaa
olla mielenkiintoista
18:10 - 18:14

joten aiomme kutsua ssh-keygenillä
ja mitä se tekee on ainoastaan
18:16 - 18:17

Joo
18:20 - 18:24

Generoi ssh-avaimen ja te kaikki
luultavasti näette tämän
18:25 - 18:28

Joten kopioin tämän
18:28 - 18:31

ja menee isäntäkoneeseeni
18:31 - 18:32

ja nyt menen
18:33 - 18:35

lisätty valtuutetut avaimet
18:35 - 18:38

ja lisään tämän avaimen
18:39 - 18:42

ja palaan virtuaalikoneeseen
18:44 - 18:47

Virtuaalinen työpöytä virtuaalisen
työpöydän sisällä
18:47 - 18:50

Se on kuin "pimp my ride"
18:51 - 18:53

Okei, ja sitten voimme kirjautua
sisään ssh:lla
18:54 - 18:55

ja
18:58 - 19:00

tämän pitäisi myös toimia nyt
19:00 - 19:03

ja tässä pyydämme PIN-koodia
älykorttiin jota alun perin kutsuin
19:03 - 19:04

merkiksi
19:05 - 19:07

jolle luultavasti löydät
paremman nimen
19:08 - 19:10

ja nyt olen sisällä
19:10 - 19:12

eli se toimii myös
19:12 - 19:15

(apploodit)
19:18 - 19:21

mutta jotta asiat olisivat vielä
siistimpi, mihin muuhun käytämme ssh:tä
19:21 - 19:25

no me käytämme sitä tai ainakin minä
käytän sitä gitiin
19:28 - 19:31

otamme tämän avaimen uudelleen
19:32 - 19:34

ja siirrymme Github:iin
19:34 - 19:37

ja tämä on minun Github-tili
19:38 - 19:40

Nyt menee mielenkiintoiseksi
19:41 - 19:46

Lisään tämän ssh-avaimeksi
19:46 - 19:47

ja
19:47 - 19:49

Kyllä tallennan salasanoja
19:51 - 19:55

millään heistä ei ole asiakkaan
todennusta...asiakkaan todennustodistus
19:55 - 19:57

kanssamme mitä muuta minun pitäisi tehdä
19:58 - 20:02

joten asia jota teemme täällä on
pohjimmiltaan että periaatteessa luon
20:02 - 20:06

tämän siistin shell skriptin joka
sisältää ssh-kutsun pkcss11-kirjastolla
20:07 - 20:11

ja sitten viemme sen git_ssh
-ympäristömuuttujan alle, mikä
20:11 - 20:15

tarkoittaa, että ssh:n sijaan
20:16 - 20:19

git kutsuu uutta ssh-juttuamme
20:19 - 20:23

ja tämä käännetään
20:24 - 20:28

kutsumalla pkcss11-palveluntarjoajaa
20:29 - 20:32

seuraavaksi kloonataan
20:33 - 20:36

ja täällä on uudelleen
TPM-invokaatio
20:37 - 20:39

Analoginen enemmän TPM kutsu
20:39 - 20:40

ja täällä ollaan
20:40 - 20:43

ja voimme nyt jopa mennä eteenpäin
ja kirjautua ulos haarasta
20:45 - 20:47

Luulen, että käytin tätä
testeissäni, joten kutsun sitä
20:49 - 20:50

Nyt
20:50 - 20:51

Ei
20:52 - 20:53

Tietysti
20:54 - 20:57

Kirjaudutaan ulos uudesta haarasta
21:00 - 21:02

git push origin
21:11 - 21:15

ja se on puskettu ja voit mennä
eteenpäin ja mennä nimiavaruuteeni
21:15 - 21:19

Githubissa ja sinun pitäisi nähdä tämän
mahtavan TPM-autentikoidun haaran
21:19 - 21:20

pusku tuolla
21:22 - 21:25

(aplodit)
21:27 - 21:28

Okei
21:28 - 21:33

kuten sanoin tämä on rc0\.
Toivottavasti tulee pari bugia ennen
21:33 - 21:34

lopullista julkaisua mutta
21:35 - 21:37

äyttää aika käyttökelpoiselta,
sanoisin
21:39 - 21:42

Okei. Tulen seuraavaan asiaan
joka on vielä kovasti työn alla
21:43 - 21:45

Tämä on bittilokero Linuxille
21:47 - 21:49

ja olen kirjoittanut tämän
yli vuosi sitten
21:49 - 21:52

ja ryhmässä oli yhdistämispyyntö
21:55 - 21:59

ja olemme pohjimmiltaan uudelleen
rakentaneet koko asian mutta ajattelin
21:59 - 22:02

että olisi hauskaa tuoda tämä työ, jonka
tein kauan sitten
22:04 - 22:06

Mitä tämä tekee niin perustaa
lukot ja krypton
22:09 - 22:16

Idea on, että sinulla on
äänenvoimakkuusnäppäin, jolla kokonaiset
taltiot salataan, ja sitten sinulla on useita
avaimia, jotka on tallennettu vetoomuksen
lukko-otsikkoon
22:16 - 22:20

jossa tämä äänenvoimakkuusavain
salataan yleensä avaimella, joka on
22:20 - 22:24

syöttämäsi salasanan oikealla puolella
22:24 - 22:28

ja tämä sitten näyttää siltä,
mitä näemme täällä keskellä
22:28 - 22:31

jossa meillä on tämän tyyppinen
avainpaikka nolla
22:32 - 22:34

ja niinpä tein tuolloin, että
jatkoin näitä
22:34 - 22:38

Tämä on json joten jos käytät
lukkoa ainakin uusi alimuoto
22:38 - 22:41

Sinulla on json ja
vetoomuksen otsikot
22:41 - 22:44

Se on jotenkin mahtavaa
22:44 - 22:47

Helpotti elämääni paljon tuolloin
22:47 - 22:49

Meillä on siellä avainpaikka
22:49 - 22:53

jotain sellaista ja me otamme
äänenvoimakkuusnäppäimen
22:53 - 22:57

ja käytämme yhtä TPM:n ei-volutaalista
muistitilaa
22:58 - 23:00

ja tallennamme
äänenvoimakkuusnäppäimen suoraan
23:00 - 23:02

sinne ja niin on
23:03 - 23:05

ja kyllä vain muuta ei tarvita
23:05 - 23:09

ja sitten mitä teemme
alustamattomille Luks-otsikoille,
tallennamme vain metadataa
23:09 - 23:10

sinne ja niin on
23:11 - 23:13

Esimerkiksi
23:13 - 23:16

Mikä on se "nvindex" numero
jonka alle varastoimme tavaraa?
23:17 - 23:18

Okei
23:18 - 23:20

Demon aika jälleen
23:23 - 23:23

ja
23:31 - 23:34

joten tämä on haaramme
ryhmä josta poistun
23:34 - 23:36

ja tulee olemaan
23:36 - 23:39

Kokoamalla tämän livenä
23:41 - 23:45

Samalla vielä yksi huomautus.
Käyttöjärjestelmä jota ajetaan
23:45 - 23:49

virtuaalikoneella on vakio Ubuntu-asennus
23:49 - 23:50

ja
23:51 - 23:55

valitsin juuri tämän salauksen LVM
Ubuntun ohjatun asennustoiminnon aikana
23:59 - 24:04

ja kuinka koskaan, valitettavasti
se käyttää edelleen Luks1:tä tässä
24:04 - 24:08

muodossa joten mitä sinun täytyy tehdä
asennusmedialle jos haluat tehdä sen
24:08 - 24:10

sinun on kutsuttava tämä
"cryptsetup conver"
24:10 - 24:13

joka muuntaa Luks1-muodon
luks2-muotoon
24:14 - 24:16

kaiken pitäisi olla nyt valmista
24:17 - 24:18

Okei
24:18 - 24:22

Kyllä vain. Me kokosimme ja
asensimme nyt päivitämme nopeasti
24:23 - 24:27

korvaamme cryptolabin
joka ei tee sitä kokoajan
24:28 - 24:28

ja
24:29 - 24:33

seuraava komento jota olemme
suorittamassa, ja näette että ainoa ero on
komennon "--tpm" lisääminen tähän
24:35 - 24:36

Joka. Kyllä
24:38 - 24:40

kutsuu käyttämään TPMää
24:41 - 24:42

tila sille
24:43 - 24:46

ja syötämme olemassa
olevan salasanan
24:47 - 24:51

syötämme uuden salasanan ja tätä
uutta salasanaa käytetään TPMn
24:51 - 24:52

todentamiseen
24:54 - 24:55

ja
24:57 - 24:59

meillä on vain 5 minuuttia, joten
hyppään suoraan eteenpäin
25:00 - 25:03

Kaiken pitäisi nyt olla kunnossa ja
seuraavan uudelleenkäynnistyksen
25:03 - 25:05

yhteydessä järjestelmä kysyy minulta
25:05 - 25:08

TPM pohjaista salasanaa ja sitten
25:10 - 25:13

pääsemme näkemään
25:15 - 25:18

joten näemme tässä, että toinen
avainpaikka on nyt TPM2-tyyppinen
25:19 - 25:20

Okei
25:29 - 25:32

Vielä yksi asia jonka haluan
esitellä varhaisessa käynnistyksessä
25:32 - 25:36

on eheyden tarkistus joka perustuu siihen
mitä Matthew Garret puhui "@32c3"
25:37 - 25:40

ja tämä on linkki hänen puheeseensa
25:41 - 25:43

Kannattaa ehdottomasti
käydä katsomassa se
25:43 - 25:47

Joten tässä on kyse varhaisen
käynnistyksen eheyden varmistamisesta ja
25:47 - 25:50

jakamalla salaisuu TPMn ja älypuhelimesi
välillä
25:50 - 25:51

ja
25:52 - 25:54

Kyllä. Tein juuri
uudelleentoteutuksen ja aion
25:54 - 25:56

esitellä myös sen
25:56 - 26:00

Valmistautuessamme siihen on teidän
kaikkien aika ottaa älypuhelimet esiin ja
26:00 - 26:03

avata ilmainen TOTP-sovellus tai
26:03 - 26:09

Google autentikaattori jotta voit
varmistaa että kaikki toimii tarkoituksen
26:09 - 26:10

mukaisesti
26:13 - 26:16

ja tämän olen itse asiassa
koonnut valmiiksi
26:16 - 26:20

Muuten jos yleisössä on jok, joka on
hyvä gtk-gui-suunnittelussa tule
26:20 - 26:22

juttelemaan minulle
26:22 - 26:25

Tässä näette minun tuotokseni
26:25 - 26:26

Okei
26:26 - 26:27

Aiomme suojella
26:29 - 26:35

Pyörittämällä komennon pcr027 ja
tämä varmistaa jokaisen käynnistyksen
26:35 - 26:39

yhteydessä että tämä PCR-arvo on
26:39 - 26:43

olivat samat kuin nyt kun käännämme
tätä järjestelmää joten se tarkoittaa
26:43 - 26:46

että jos sinulla on ydinpäivitys tai
26:46 - 26:49

tai päivitä sisäinen RDM
jälkeenpäin PCR-arvot vaihtelevat joten
26:49 - 26:52

sinun täytyy käydä läpi tämä prosessi
uudelleen
26:52 - 26:56

Joten kaikki ovat skannatneet tämän
toivottavasti omassa ilmaisessa TOTPssaan
26:56 - 26:58

tai Google autentikaattorilla
26:58 - 27:02

sitten voimme jatkaa ja voimme itse
asiassa aloittaa järjestelmän
27:02 - 27:04

uudelleenkäynnistyksen
27:06 - 27:09

ja toivottavasti tämä toimii nyt
27:09 - 27:13

koska monimutkaisin osa kaikissa
näissä demoissa oli itse asiassa
27:13 - 27:15

etäasetus "crap"n ja "implens"sin välillä.
27:17 - 27:19

uskokaa tai älkää
27:20 - 27:23

Okei ja näytöllä on tämä numer,
joka on todella suuri
27:23 - 27:26

828688\. Pitikö tämä paikkansa?
27:27 - 27:28

Yleisö: Kyllä
27:28 - 27:29

Hienoa
27:30 - 27:32

(aplodit)
27:32 - 27:37

ja toinen asia jonka teen nyt
erittäin suojatun salasanan sijaan ja
27:37 - 27:39

kirjoitan 1234
27:40 - 27:43

Teidän täytyy uskoa minua ja
mikä on TPM-salasana
27:44 - 27:47

ja se itseasiassa käynnistyy
käyttäen TPMää
27:48 - 27:50

Mikä on
27:50 - 27:51

Tässähän se on
27:51 - 27:54

joten se toimii myös Luksien kanssa
27:54 - 27:55

Okei
27:57 - 28:00

Toivottavasti tämä antoi teille
vaikutelman mitä voitte tehdä TPMllä
28:00 - 28:02

jo tänään
28:03 - 28:06

Jos haluat liittyä kehitykseen
mukaan, liittyä hackroom-juttuihin tämä
28:06 - 28:09

sivusto sisältää yhteisösivumme
28:10 - 28:14

Missä meillä on gitter joten voit
tulla puhumaan meille, minulle ja
28:14 - 28:16

muille kehittäjille
28:17 - 28:21

Voit katsoa niitä kahta
otsikkotiedostoa jotka ovat tärkeimmät
28:21 - 28:23

tällä hetkellä joten se on aivan uutta
28:24 - 28:27

Julkaisimme sen juuri tai
yhdistimme sen juuri masteriin
28:28 - 28:30

Muistaakseni viikko sitten
28:31 - 28:33

Olkaa hyvä ja katsokaa,
testatkaa sitä
28:34 - 28:35

Katsokaa myös
28:38 - 28:42

työkalut. Kaikki työkalut jotka
alkavat kirjaimella tpm2_ ovat
28:42 - 28:47

periaatteessa"esapi" tai "eses" peilejä
ja kaikki työkalujen etuliite tss_ ovat
28:47 - 28:51

yksi yhteen "thappy" -sovituksia
28:52 - 28:58

ja tässä on vielä yksi pro vinkki
kun kehität ja jokin epäonnistuu yhtäkkiä
28:58 - 29:02

se liittyy yleensä TPM-resurssien
loppumiseen
29:02 - 29:06

ja tämä komento siellä alhaalla
jäädyttää TPMn sisäisen RAMin uudelleen
29:06 - 29:08

jotta voit jatkaa työskentelyä
29:08 - 29:09

Okei
29:09 - 29:10

Kiitos
29:15 - 29:16

"Kysymysten aika"
29:17 - 29:18

Kiitos
29:19 - 29:20

Se oli Andreas
29:20 - 29:25

Ja nyt on kysymysten aika. Meillä
on kysymyksiä internetissä ja meillä on
29:25 - 29:29

kysymyksiä täällä
29:29 - 29:30

Ja
29:32 - 29:36

Katsokaa. Teillä kahdella on
sama paita
29:36 - 29:38

Hieno paita research exhaustion
29:39 - 29:41

Okei, voisimme aloittaa
numerosta neljä
29:43 - 29:47

Henkilö yleisöstä: Okei. Oletetaan
että sinulla on salausavaimet TPMssä ja
29:47 - 29:50

hallituksesi vaikuttaa jollain tavalla
TPMn tarjoajaan
29:51 - 29:57

Henkilö yleisöstä: Joten ehkä voisi
olla jokin tapa saada salausavain joten
29:57 - 30:01

tämä ei ole hyvä lähestymistapa joten
olisi mukavampaa antaa sinulle iso lihava
30:01 - 30:03

mandaatti saadaksesi avaimet
30:03 - 30:07

Henkilö yleisöstä: ja siellä on
joitain muita avaimi jotka ovat TPMssä
30:07 - 30:11

joten sinulla on oltava molemmat jotta v
oit salata tavarasi
30:11 - 30:15

Henkilö yleisöstä: joten se pitäisi
tehdä näin. Jotta ei voida sanoa että
30:15 - 30:19

henkilöä kidutetaan salauksen avaamiseksi
30:21 - 30:25

Henkilö yleisöstä: tiedot toisella
tietokoneella koska sillä on eri
30:25 - 30:26

TPM salaisuuteen
30:26 - 30:30

Henkilö yleisöstä: joten sinulla
pitäisi olla todellinen kaksiosainen
30:30 - 30:33

todennus ilman näitä avaimia TPMssä
koska en luottaisi siihen
30:33 - 30:36

Okei. Riippuu vainoharhaisuudestasi
mutta se on varmasti hyvä idea
30:37 - 30:38

Kiitos
30:38 - 30:41

Vain kysymyksiä. Ei kommentteja
30:42 - 30:43

En pahastu
30:44 - 30:47

Kysymyksiä. Tämä on sääntö.
30:48 - 30:50

Numero kaksi
30:50 - 30:53

Henkilö yleisöstä: Minun on
käytettävä Windowsia joka on salattu
30:53 - 30:55

"bitlockerilla" ja toisella sijalla
30:55 - 30:58

Henkilö yleisöstä: Kuinka
todennäköistä on että bitlockerin
30:58 - 31:01

tunnistetiedot tuhotaan tahattomasti
näiden työkalujen kanssa
31:01 - 31:03

työskennellessäni?
31:04 - 31:07

Se riippuu paljolti siitä mitä
työkaluja käytät ja mihin tarkoitukseen
31:08 - 31:13

Tässä käyttämäni työkalut ja
kaikki mitä näytin eivät asenna
31:13 - 31:16

estäviä avaimia
31:16 - 31:20

Luulen että oikeastaan pkcs11
asentaa presistan-avaimia, joten se
31:20 - 31:23

kuluttaa osan resursseistasi ja myös
crypto-jutuistasi
31:23 - 31:27

ja huippujutut vievät jonkin verran
"envy" -tilaa, ja jos uskot kuinka
31:27 - 31:33

paljon TPM-resursseja Windows haluaa
vaatia itselleen saatat törmätä ¨
31:33 - 31:35

resurssien loppumiseen.
31:35 - 31:40

Mutta ei ole muita avaimia joita
nämä työkalut tai demot poistavat
31:42 - 31:45

Eli voit mennä huoletta ja
käyttää noita
31:47 - 31:48

Okei. Kiitos.
31:49 - 31:51

Ehkäpä meillä on
kysymys internetistä
31:52 - 31:56

Henkilö yleisöstä: Joo muut
laitteisto tokenit kuten "ubi-avain"
31:56 - 31:59

heillä saattaa olla esimerkiksi painike
jota sinun täytyy painaa saadaksesi
31:59 - 32:03

jonkinlaisen todisteen läsnäolosta
jotta ohjelmisto ei voi käyttää sitä
32:03 - 32:06

Henkilö yleisöstä: taustalla
ilman että tiedät siitä
32:06 - 32:09

Henkilö yleisöstä: Kuinka tehdä
sama käyttäen TPMää?
32:09 - 32:11

Tällä hetkellä ei pysty
32:11 - 32:15

Mutta toivon tai olen toivonut että
TPM voisi käyttää lediä kymmenen
32:15 - 32:18

vuoden päästä
32:18 - 32:22

Todennäköisemmin näemme
jossain vaiheessa tulevaisuudessa joitain
32:22 - 32:26

gpio-käyttöisiä TPM-laitteita ja riippuen
siitä mitä voimme tehdä niillä
32:27 - 32:29

mahdollisesti pystymme
sisällyttämään tämän
32:29 - 32:32

tai saman tyylisiä
ominaisuuksia tulevaisuudessa
32:32 - 32:36

mutta toistaiseksi uskon että on
ollut vain tutkimusprototyyppejä joita
32:36 - 32:40

olen itse päässyt toteuttamaan TPMlle
"cortex-r3" -laitteessa
32:41 - 32:45

"gpion" hyödyllisyyden
osoittamiseksi suoraan tpm:stä.
32:46 - 32:48

Mutta se on ensin kehitettävä
32:49 - 32:50

Okei. Kiitos
32:52 - 32:53

Numero viisi kiitos
32:55 - 32:57

Henkilö yleisöstä: Kyllä. Moi
32:58 - 33:01

Henkilö yleisöstä: Voitko toteuttaa
tämän universumin jatko-osan syötettynä
33:01 - 33:04

edelleen TPMlle? Aiotteko tehdä sen?
33:06 - 33:10

Kyllä ja ei. Voit toteuttaa osia
fidosta käyttämällä TPMää joka on
33:10 - 33:13

salauksen perustoiminto mutta fido
sisältää myös mukautettuja tietomuotoja
33:15 - 33:19

joita yleensä käsitellään myös
fido-tunnuksella
33:20 - 33:24

jossa sinulla on laskureita, jotka
lisäävät jotain sellaista
33:25 - 33:28

jota TPM ei tallenna sisäisesti
koska TPM ei tiedä fido-tietorakenteista
33:28 - 33:31

ja päinvastoin
33:31 - 33:35

Kuitenkin fido2lle mielestäni oli
tämäTPM-metastaattinentila
33:36 - 33:40

mutta se olisi jonkun toteutettava
33:41 - 33:45

Haluatko aloittaa työskentelyn sen
parissa tule puhumaan minulle ja olen
33:45 - 33:48

varmasti apunasi
33:48 - 33:52

Joten tekemistä on paljon ja kyllä
33:53 - 33:57

Jos joku teistä etsii tekemistä
33:58 - 34:01

Voit vain mennä eteenpäin ja katsoa
tätä github.io-yhteisösivua jos siirryt
34:01 - 34:03

ohjelmistoon
34:03 - 34:05

välilehti yläreunassa ja
vierität alas
34:05 - 34:09

on luettelo ohjelmista. Aloitamme
siis ohjelmista joilla on jo TPM-tuki
34:09 - 34:11

ja sitten meillä on
34:11 - 34:15

vielä pidempi lista ohjelmista
joissa oli TPMn suunnitteilla. On myös
34:15 - 34:17

paljon asioita kuten
34:17 - 34:21

Weboht ja Cryptoki ja vaikka mitä
muita missä toivoisin näkevän TPM tuen
34:22 - 34:26

Jopa niinkin yksinkertainen
kuin "gpt"
34:26 - 34:27

Mikä. Kyllä.
34:29 - 34:30

Okei. Numero kaksi kiitos
34:31 - 34:35

Henkilö yleisöstä: Kuinka monta
erilaista avainta tai älykorttia voit
34:35 - 34:37

tallentaa TPMään?
34:37 - 34:41

Henkilö yleisöstä: Onko se vain
yksi vai voitko tallentaa useampia?
34:41 - 34:45

On hienoa, että TPMn perusperiaate
on että TPM tallentaa vain hyvin
34:45 - 34:47

vähän avaimia
34:48 - 34:51

yleensä se on vain yksi
tässä tapauksessa
34:51 - 34:54

ja sitten kaikki muut avaimet
salataan tällä avaimella ja tallennetaan
34:54 - 34:55

kiintolevylle
34:56 - 34:59

Tällä pkcs11llä joka meillä on
täällä sinulla voi olla niin monta
34:59 - 35:03

avainta kuin sinulla on vapaata
kiintolevytilaa
35:04 - 35:08

tai niin monta avainta "sql-lite"
-työkalun avulla voit
35:08 - 35:10

tallentaa tietokantaan
35:11 - 35:13

Kiitos. Numero neljä kiitos.
35:13 - 35:17

Henkilö yleisöstä: Hei. kiitos
esityksestä. Minulla on ytimen
35:17 - 35:19

päivityksiin liittyvä kysymys
35:20 - 35:26

Jos päivitän ytimeni voinko mitata
mikä kernal on seuraavassa
35:26 - 35:28

käynnistyksessä
35:28 - 35:32

ja kertoa TPMlleni että tämä
uudelleensinetöi tällä hetkellä sinetöidyt
35:32 - 35:35

avaimet tuleville ptr-arvoille,joita sen
pitäisi odottaa seuraavassa
35:35 - 35:37

käynnistyksessä?
35:38 - 35:40

Teoriassa ehdottomasti kyllä
35:40 - 35:43

Se on täysin yksinkertaista joten
tutkija kertoo sinulle että se
35:43 - 35:44

ei ole haaste
35:44 - 35:48

Insinööri sen sijaan kertoo että
tämä on eräänlainen ongelma
35:48 - 35:49

ja
35:50 - 35:53

ongelma on että sinun on jotenkin
tiedettävä viitearvot
35:53 - 35:56

etukäteen ja sitten sinun on
laskettava uudelleen koko siihen m
35:56 - 35:57

ennyt mittausketju
35:58 - 36:01

joten tässä on kyse
lähestymistavasta
36:02 - 36:05

referenssi- ja eheysmittausjakelu
että Linux-promot -konferenssissa oli
36:05 - 36:07

osio jossa tätä ongelmaa käsiteltiin
36:08 - 36:11

Jotenka tämä on siis
36:11 - 36:14

Lähinnä infrastruktuuriongelma
36:14 - 36:18

pikemminkin kuin itse
asiassa TPMn ongelma
36:18 - 36:20

tai TPMn-perusohjelmiston
36:21 - 36:22

Okei. Kiitos.
36:22 - 36:26

Joten meillä on vielä yksi minuutti
joten olen erittäin pahoillani emme voi
36:26 - 36:27

ottaa enempää kysymyksiä huoneesta
36:27 - 36:30

mutta minulla on vielä yksi
kysymys internetistä
36:30 - 36:33

Henkilö yleisöstä: Jos en luota
TPMään ja koneeseeni voinko saada
36:33 - 36:36

toisenlaisen luotettavalta
palveluntarjoajalta? Ovatko ne y
36:36 - 36:39

hteensopivia siinä mielessä?
36:39 - 36:42

Kyllä. Tietääkseni heillä on
yhteensopiva pin-out ja yhteensopiva
36:42 - 36:44

cpi-protokolla ja
36:45 - 36:48

se on hieno asia että
36:48 - 36:51

ne ovat yhteensopivia
36:51 - 36:52

Varmasti
36:53 - 36:54

Eteenpäin
36:56 - 36:59

Paitsi ehkä intel ttp ftp joka
toimii hallintamoottorilla
37:00 - 37:04

Niillä tietysti jos myit ne RITllä
ei ole niillä ole enään IOta
37:04 - 37:07

Okei. Kiitos paljon.
37:07 - 37:11

Jos haluat ottaa yhteyttä Andreaan
mene verkkosivustolle. Olette nähneet
37:11 - 37:13

sen aikaisemmin
37:13 - 37:14

ja kiitos
37:15 - 37:18

ja ehkä vielä yhdet raikuvat
aplodit Andreakselle
37:18 - 37:19

(aplodit)
37:19 - 37:20

Kiitos
37:22 - 37:26

Subtitles created by Musa Jallow
(ITKST56 course assignment at JYU.fi)

Title:: 36C3 - Hacking (with) a TPM
Description:: more » « less
Video Language:: English
Duration:: 37:48

	Musa Jallow edited Finnish subtitles for 36C3 - Hacking (with) a TPM
	Musa Jallow edited Finnish subtitles for 36C3 - Hacking (with) a TPM
	Musa Jallow edited Finnish subtitles for 36C3 - Hacking (with) a TPM

Finnish subtitles

Revisions

Revision 3 Edited

Musa Jallow

36C3 - Hacking (with) a TPM

Revisions

Our website uses cookies

Operating cookies (Required)