Re: [閒聊] 一般人真的有需要用到TPM功能嗎?
看板PC_Shopping (個人電腦購買)作者HamalAri (哈馬‧阿里)時間2年前 (2021/07/10 01:01)推噓16(16推 0噓 83→)留言99則, 19人參與討論串3/5 (看更多)
其實 TPM 只是一個功能簡單的小元件而已
沒有那麼多強大的功能
: TPM 是整個信賴運算的核心。TPM 幾個我認為幾個跟 DRM 有關的核心功能:
: 1. 信賴鏈:TPM 驗證 bootloader、bootloader 驗證作業系統,作業系統驗證應用程式
: 。所以除非破解 TPM 晶片 本身,任何作業系統或應用程式的竄改(例如破解檔)都
: 會被 TPM 直接或間接抓到,驗數位簽章就可以了。
TPM 本身不會去抓 "竄改" 這件事
它的功能很簡單,單純的算出 bootloader 或作業系統核心的 hash 值
就只有這樣而已
至於要怎麼抓 "竄改" 呢?
比如,如果我們把 bootloader 和 核心的 hash 值,拿來當作加解密用的 key
可不可以?
這樣一來,只要 bootloader 或作業系統被竄改過
hash 就會變,就無法解密 軟體或硬體加密的系統碟
( 但是 TPM 本身並不參與系統碟資料加解密的過程 )
可是這種作法有個問題,就是我只要知道系統的 hash 值
也就知道了加密用的 key,這樣顯然是很不安全的
那怎麼辦,只好用下面的 sealed storage
: 2. Sealed Storage:只有正確的軟體、硬體組合可以請求 TPM 解密。
只有在 bootloader 和作業系統的 hash 值是對的時候
才可以 unseal,拿到解密用的 key
不過只要有 root 權限,開機後 (解密後)
不管有沒有 TPM 都可以直接拿到 master key
TPM 本身不是用來加解密資料的
TPM + 軟體加密 是可行的
TPM + 支援 SED (TCG Opal) 的硬碟,也是可行的
TPM 本身沒不意味者就是使用硬體加密
它單純的是用來確認開機過程中的每一環節都沒被竄改
但是如果真的被竄改了,TPM 也不會阻止系統開機
會讓系統開不起來的是其它機制,例如無法 unseal key 所以無法解密
如果僅僅是單純在 bios 啟用 TPM,是無法享受到 TPM 的功能的
要搭配加密才會有使用 TPM 的意義
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 122.117.176.16 (臺灣)
※ 文章網址: https://www.ptt.cc/bbs/PC_Shopping/M.1625850077.A.DBE.html
※ 編輯: HamalAri (122.117.176.16 臺灣), 07/10/2021 01:03:40
→
07/10 02:58,
2年前
, 1F
07/10 02:58, 1F
→
07/10 03:25,
2年前
, 2F
07/10 03:25, 2F
→
07/10 03:25,
2年前
, 3F
07/10 03:25, 3F
→
07/10 03:25,
2年前
, 4F
07/10 03:25, 4F
對,沒錯,就是這樣
但是如果 bootloader 或 系統核心 被病毒改過
在 bios 時就會被 secureboot 擋下來了,開不了機了
TPM 是第二道防線
不管是 secureboot 或 TPM 的功能都是讓你發現開不了機的時候
就要提高警覺,先用別的方法解毒 (比如拆硬碟用別的系統讀之類)
推
07/10 03:59,
2年前
, 5F
07/10 03:59, 5F
→
07/10 03:59,
2年前
, 6F
07/10 03:59, 6F
→
07/10 03:59,
2年前
, 7F
07/10 03:59, 7F
→
07/10 03:59,
2年前
, 8F
07/10 03:59, 8F
→
07/10 03:59,
2年前
, 9F
07/10 03:59, 9F
→
07/10 03:59,
2年前
, 10F
07/10 03:59, 10F
→
07/10 04:04,
2年前
, 11F
07/10 04:04, 11F
→
07/10 04:04,
2年前
, 12F
07/10 04:04, 12F
推
07/10 04:27,
2年前
, 13F
07/10 04:27, 13F
→
07/10 04:40,
2年前
, 14F
07/10 04:40, 14F
→
07/10 04:40,
2年前
, 15F
07/10 04:40, 15F
→
07/10 04:40,
2年前
, 16F
07/10 04:40, 16F
推
07/10 07:29,
2年前
, 17F
07/10 07:29, 17F
對,TPM 有可能像 windows 8 時的 secureboot 一樣
微軟只要求你的硬體有支援這個能力,並沒有強迫你一定要使用
要是 windows 11 也只是這樣要求
那麼不開 secureboot / 開了 TPM 但不使用加密 可能也可以跑 windows 11
補充說明一下,通常加密的時候,不會直接使用 TPM 中的 key 或 密碼當做 key
例如 luks 在加密的時候,會選用一個亂數,當做 master key
然後再用你的密碼,或 tpm 中的 key,去加密這個 master key
也就是你可以設定多個 key 都可以去解密,拿到這個 master key
比如儲存在 TPM 中的 key 可以直接解密 master key,再用 master key 解密系統碟
或者如果 TPM 中的 key 失效時,可以使用密碼解密 master key
而若是使用 bitlocker 的情況,則可以使用當初備份的 recovery key 解密
然後如果有登入 windows 帳號, bitlocker 會上傳一份 key 給微軟
你也可以從微軟帳號刪除這個 key ,或用別的方法讓它不要備份到微軟雲端
Apple 的 FileVault 這方面就比較好,可以一開始就選擇要不要備份 key 到 iCloud
而不是先上傳再刪除
※ 編輯: HamalAri (122.117.176.16 臺灣), 07/10/2021 08:57:39
推
07/10 09:11,
2年前
, 18F
07/10 09:11, 18F
→
07/10 09:11,
2年前
, 19F
07/10 09:11, 19F
→
07/10 09:11,
2年前
, 20F
07/10 09:11, 20F
→
07/10 09:11,
2年前
, 21F
07/10 09:11, 21F
→
07/10 09:11,
2年前
, 22F
07/10 09:11, 22F
→
07/10 09:11,
2年前
, 23F
07/10 09:11, 23F
→
07/10 09:11,
2年前
, 24F
07/10 09:11, 24F
→
07/10 09:11,
2年前
, 25F
07/10 09:11, 25F
→
07/10 09:11,
2年前
, 26F
07/10 09:11, 26F
→
07/10 09:25,
2年前
, 27F
07/10 09:25, 27F
→
07/10 09:25,
2年前
, 28F
07/10 09:25, 28F
→
07/10 09:25,
2年前
, 29F
07/10 09:25, 29F
就算沒有 TPM, 光是 secureboot 也會讓你的電腦在被竄改的情況下不能開機
這些機制用來防毒的思維是,要讓系統有 tamper evident 的能力
而不是 tamper proof
TPM 要防的毒,是那種電腦關機後,有心人士把你的硬碟拆下來
拿去加料,放毒放木馬,等你開機解密系統碟時,偷你的資料的毒
不是經由網路或隨身碟等途徑感染電腦的毒
※ 編輯: HamalAri (122.117.176.16 臺灣), 07/10/2021 09:37:48
→
07/10 09:39,
2年前
, 30F
07/10 09:39, 30F
→
07/10 09:39,
2年前
, 31F
07/10 09:39, 31F
推
07/10 11:03,
2年前
, 32F
07/10 11:03, 32F
推
07/10 11:29,
2年前
, 33F
07/10 11:29, 33F
推
07/10 12:09,
2年前
, 34F
07/10 12:09, 34F
→
07/10 12:09,
2年前
, 35F
07/10 12:09, 35F
→
07/10 12:19,
2年前
, 36F
07/10 12:19, 36F
還有 24 則推文
還有 1 段內文
推
07/10 13:51,
2年前
, 61F
07/10 13:51, 61F
→
07/10 13:52,
2年前
, 62F
07/10 13:52, 62F
→
07/10 13:52,
2年前
, 63F
07/10 13:52, 63F
→
07/10 13:52,
2年前
, 64F
07/10 13:52, 64F
→
07/10 13:53,
2年前
, 65F
07/10 13:53, 65F
推
07/10 13:55,
2年前
, 66F
07/10 13:55, 66F
→
07/10 13:55,
2年前
, 67F
07/10 13:55, 67F
→
07/10 13:55,
2年前
, 68F
07/10 13:55, 68F
→
07/10 13:55,
2年前
, 69F
07/10 13:55, 69F
→
07/10 13:55,
2年前
, 70F
07/10 13:55, 70F
→
07/10 13:56,
2年前
, 71F
07/10 13:56, 71F
→
07/10 13:56,
2年前
, 72F
07/10 13:56, 72F
→
07/10 13:57,
2年前
, 73F
07/10 13:57, 73F
→
07/10 13:57,
2年前
, 74F
07/10 13:57, 74F
→
07/10 13:57,
2年前
, 75F
07/10 13:57, 75F
→
07/10 13:57,
2年前
, 76F
07/10 13:57, 76F
→
07/10 13:58,
2年前
, 77F
07/10 13:58, 77F
→
07/10 13:58,
2年前
, 78F
07/10 13:58, 78F
→
07/10 13:58,
2年前
, 79F
07/10 13:58, 79F
→
07/10 13:58,
2年前
, 80F
07/10 13:58, 80F
推
07/10 13:59,
2年前
, 81F
07/10 13:59, 81F
→
07/10 13:59,
2年前
, 82F
07/10 13:59, 82F
→
07/10 13:59,
2年前
, 83F
07/10 13:59, 83F
→
07/10 14:00,
2年前
, 84F
07/10 14:00, 84F
→
07/10 14:00,
2年前
, 85F
07/10 14:00, 85F
→
07/10 14:01,
2年前
, 86F
07/10 14:01, 86F
→
07/10 14:01,
2年前
, 87F
07/10 14:01, 87F
推
07/10 14:07,
2年前
, 88F
07/10 14:07, 88F
→
07/10 14:07,
2年前
, 89F
07/10 14:07, 89F
→
07/10 14:07,
2年前
, 90F
07/10 14:07, 90F
→
07/10 14:07,
2年前
, 91F
07/10 14:07, 91F
→
07/10 14:08,
2年前
, 92F
07/10 14:08, 92F
→
07/10 14:08,
2年前
, 93F
07/10 14:08, 93F
→
07/10 14:08,
2年前
, 94F
07/10 14:08, 94F
→
07/10 14:08,
2年前
, 95F
07/10 14:08, 95F
※ 編輯: HamalAri (122.117.176.16 臺灣), 07/10/2021 14:20:27
推
07/10 23:55,
2年前
, 96F
07/10 23:55, 96F
→
07/11 02:17,
2年前
, 97F
07/11 02:17, 97F
→
07/11 03:35,
2年前
, 98F
07/11 03:35, 98F
→
07/11 03:35,
2年前
, 99F
07/11 03:35, 99F
討論串 (同標題文章)
PC_Shopping 近期熱門文章
PTT數位生活區 即時熱門文章