Re: [閒聊] 一般人真的有需要用到TPM功能嗎?

看板PC_Shopping (個人電腦購買)作者 (哈馬‧阿里)時間2月前 (), 2月前編輯推噓16(16083)
留言99則, 19人參與, 2月前最新討論串3/5 (看更多)
其實 TPM 只是一個功能簡單的小元件而已 沒有那麼多強大的功能 : TPM 是整個信賴運算的核心。TPM 幾個我認為幾個跟 DRM 有關的核心功能: : 1. 信賴鏈:TPM 驗證 bootloader、bootloader 驗證作業系統,作業系統驗證應用程式 : 。所以除非破解 TPM 晶片 本身,任何作業系統或應用程式的竄改(例如破解檔)都 : 會被 TPM 直接或間接抓到,驗數位簽章就可以了。 TPM 本身不會去抓 "竄改" 這件事 它的功能很簡單,單純的算出 bootloader 或作業系統核心的 hash 值 就只有這樣而已 至於要怎麼抓 "竄改" 呢? 比如,如果我們把 bootloader 和 核心的 hash 值,拿來當作加解密用的 key 可不可以? 這樣一來,只要 bootloader 或作業系統被竄改過 hash 就會變,就無法解密 軟體或硬體加密的系統碟 ( 但是 TPM 本身並不參與系統碟資料加解密的過程 ) 可是這種作法有個問題,就是我只要知道系統的 hash 值 也就知道了加密用的 key,這樣顯然是很不安全的 那怎麼辦,只好用下面的 sealed storage : 2. Sealed Storage:只有正確的軟體、硬體組合可以請求 TPM 解密。 只有在 bootloader 和作業系統的 hash 值是對的時候 才可以 unseal,拿到解密用的 key 不過只要有 root 權限,開機後 (解密後) 不管有沒有 TPM 都可以直接拿到 master key TPM 本身不是用來加解密資料的 TPM + 軟體加密 是可行的 TPM + 支援 SED (TCG Opal) 的硬碟,也是可行的 TPM 本身沒不意味者就是使用硬體加密 它單純的是用來確認開機過程中的每一環節都沒被竄改 但是如果真的被竄改了,TPM 也不會阻止系統開機 會讓系統開不起來的是其它機制,例如無法 unseal key 所以無法解密 如果僅僅是單純在 bios 啟用 TPM,是無法享受到 TPM 的功能的 要搭配加密才會有使用 TPM 的意義 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 122.117.176.16 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/PC_Shopping/M.1625850077.A.DBE.html ※ 編輯: HamalAri (122.117.176.16 臺灣), 07/10/2021 01:03:40

07/10 02:58, 2月前 , 1F
個人覺得 TPM最有用的其實是TRNG...
07/10 02:58, 1F

07/10 03:25, 2月前 , 2F
反過來說病毒讓hash值發生改變是不
07/10 03:25, 2F

07/10 03:25, 2月前 , 3F
是就能讓這些保護機制被觸發導致系
07/10 03:25, 3F

07/10 03:25, 2月前 , 4F
統無法使用?
07/10 03:25, 4F
對,沒錯,就是這樣 但是如果 bootloader 或 系統核心 被病毒改過 在 bios 時就會被 secureboot 擋下來了,開不了機了 TPM 是第二道防線 不管是 secureboot 或 TPM 的功能都是讓你發現開不了機的時候 就要提高警覺,先用別的方法解毒 (比如拆硬碟用別的系統讀之類)

07/10 03:59, 2月前 , 5F
跟蹤?誰想吃飽太閒跟蹤你。不過
07/10 03:59, 5F

07/10 03:59, 2月前 , 6F
就是在上一篇和你自己發的文章推
07/10 03:59, 6F

07/10 03:59, 2月前 , 7F
文在那邊你一言我一句就說我跟蹤
07/10 03:59, 7F

07/10 03:59, 2月前 , 8F
。你去找別篇文章我有跟蹤你喔。
07/10 03:59, 8F

07/10 03:59, 2月前 , 9F
你怎麼不說你在上面哀怨完後又來
07/10 03:59, 9F

07/10 03:59, 2月前 , 10F
這邊哀怨
07/10 03:59, 10F

07/10 04:04, 2月前 , 11F
喔,我是指上面那一串系列文的推
07/10 04:04, 11F

07/10 04:04, 2月前 , 12F
07/10 04:04, 12F

07/10 04:27, 2月前 , 13F
那我選擇不加密就不受影響,放心了
07/10 04:27, 13F

07/10 04:40, 2月前 , 14F
登入使用者帳戶,帳戶有綁定線上帳
07/10 04:40, 14F

07/10 04:40, 2月前 , 15F
號,或者僅限本地,其中有經過加密
07/10 04:40, 15F

07/10 04:40, 2月前 , 16F
嗎?是否無法unseal key就無法登入?
07/10 04:40, 16F

07/10 07:29, 2月前 , 17F
07/10 07:29, 17F
對,TPM 有可能像 windows 8 時的 secureboot 一樣 微軟只要求你的硬體有支援這個能力,並沒有強迫你一定要使用 要是 windows 11 也只是這樣要求 那麼不開 secureboot / 開了 TPM 但不使用加密 可能也可以跑 windows 11 補充說明一下,通常加密的時候,不會直接使用 TPM 中的 key 或 密碼當做 key 例如 luks 在加密的時候,會選用一個亂數,當做 master key 然後再用你的密碼,或 tpm 中的 key,去加密這個 master key 也就是你可以設定多個 key 都可以去解密,拿到這個 master key 比如儲存在 TPM 中的 key 可以直接解密 master key,再用 master key 解密系統碟 或者如果 TPM 中的 key 失效時,可以使用密碼解密 master key 而若是使用 bitlocker 的情況,則可以使用當初備份的 recovery key 解密 然後如果有登入 windows 帳號, bitlocker 會上傳一份 key 給微軟 你也可以從微軟帳號刪除這個 key ,或用別的方法讓它不要備份到微軟雲端 Apple 的 FileVault 這方面就比較好,可以一開始就選擇要不要備份 key 到 iCloud 而不是先上傳再刪除 ※ 編輯: HamalAri (122.117.176.16 臺灣), 07/10/2021 08:57:39

07/10 09:11, 2月前 , 18F
TPM一種目的是保護平台 常見做法就
07/10 09:11, 18F

07/10 09:11, 2月前 , 19F
是利用PCR的數值 整體目標就是讓第
07/10 09:11, 19F

07/10 09:11, 2月前 , 20F
三方軟體可以做一致性檢查 其中包含
07/10 09:11, 20F

07/10 09:11, 2月前 , 21F
BIOS配置設定與外接卡韌體(以整機為
07/10 09:11, 21F

07/10 09:11, 2月前 , 22F
單位) 其他應用還有像是憑證簽章,
07/10 09:11, 22F

07/10 09:11, 2月前 , 23F
儲存空間,加解密等 如果系統被置換
07/10 09:11, 23F

07/10 09:11, 2月前 , 24F
另一組合法bootloader跟kernel,那麼
07/10 09:11, 24F

07/10 09:11, 2月前 , 25F
還是可進到OS,只是PCR的值會跟紀錄
07/10 09:11, 25F

07/10 09:11, 2月前 , 26F
的不同,此時就要小心啦
07/10 09:11, 26F

07/10 09:25, 2月前 , 27F
怎麼聽起還不僅不能防病毒,還可以
07/10 09:25, 27F

07/10 09:25, 2月前 , 28F
拿來做TPM攻擊啊?隨便竄改你一個地
07/10 09:25, 28F

07/10 09:25, 2月前 , 29F
方,你的電腦就不能開機了
07/10 09:25, 29F
就算沒有 TPM, 光是 secureboot 也會讓你的電腦在被竄改的情況下不能開機 這些機制用來防毒的思維是,要讓系統有 tamper evident 的能力 而不是 tamper proof TPM 要防的毒,是那種電腦關機後,有心人士把你的硬碟拆下來 拿去加料,放毒放木馬,等你開機解密系統碟時,偷你的資料的毒 不是經由網路或隨身碟等途徑感染電腦的毒 ※ 編輯: HamalAri (122.117.176.16 臺灣), 07/10/2021 09:37:48

07/10 09:39, 2月前 , 30F
感覺聽起來 一般使用者 好像比較難
07/10 09:39, 30F

07/10 09:39, 2月前 , 31F
受惠於TPM反而容易變成正版的受害者
07/10 09:39, 31F

07/10 11:03, 2月前 , 32F
同意這篇的說法,TPM 沒有那麼神奇
07/10 11:03, 32F

07/10 11:29, 2月前 , 33F
目的是保護企業遠端操作,海削一筆
07/10 11:29, 33F

07/10 12:09, 2月前 , 34F
這樣微軟蘋果就不邪惡沒人想知道原
07/10 12:09, 34F

07/10 12:09, 2月前 , 35F
因了
07/10 12:09, 35F

07/10 12:19, 2月前 , 36F
跟海削一點關係都沒有 這叫怕死
07/10 12:19, 36F
還有 24 則推文
還有 1 段內文
07/10 13:51, 2月前 , 61F
拿熱武器比喻,要讓廠商手上沒槍
07/10 13:51, 61F

07/10 13:52, 2月前 , 62F
而不是讓廠商手上有槍祈禱他們不用
07/10 13:52, 62F

07/10 13:52, 2月前 , 63F
DRM幾十年前就能輕易做到了,不是以
07/10 13:52, 63F

07/10 13:52, 2月前 , 64F
後才會成熟的東西好嗎...
07/10 13:52, 64F

07/10 13:53, 2月前 , 65F
槍他們已經握在手上多少年誰等TPM
07/10 13:53, 65F

07/10 13:55, 2月前 , 66F
以前的 DRM 是軟體方案好嗎?
07/10 13:55, 66F

07/10 13:55, 2月前 , 67F
只要 key 在RAM/硬碟/CPU裡就能撈
07/10 13:55, 67F

07/10 13:55, 2月前 , 68F
所有的防拷程式都是軟體,而軟體可
07/10 13:55, 68F

07/10 13:55, 2月前 , 69F
以 patch
07/10 13:55, 69F

07/10 13:55, 2月前 , 70F
東西做在「純軟體」和「CPU 都不能
07/10 13:55, 70F

07/10 13:56, 2月前 , 71F
直接讀取內容的硬體」
07/10 13:56, 71F

07/10 13:56, 2月前 , 72F
完全是兩樣概念
07/10 13:56, 72F

07/10 13:57, 2月前 , 73F
DRM 也不是所有人都不用
07/10 13:57, 73F

07/10 13:57, 2月前 , 74F
我前陣子youtube premium下載的影片
07/10 13:57, 74F

07/10 13:57, 2月前 , 75F
概念是一樣的:DRM商品能不能賣
07/10 13:57, 75F

07/10 13:57, 2月前 , 76F
還是強制加密啊
07/10 13:57, 76F

07/10 13:58, 2月前 , 77F
技術好不好做都是其次
07/10 13:58, 77F

07/10 13:58, 2月前 , 78F
"youtube premium下載的影片"是數位
07/10 13:58, 78F

07/10 13:58, 2月前 , 79F
音樂商品嗎XDD
07/10 13:58, 79F

07/10 13:58, 2月前 , 80F
講音樂跳影片是在幹嘛...
07/10 13:58, 80F

07/10 13:59, 2月前 , 81F
Youtube music premium 是訂閱制的
07/10 13:59, 81F

07/10 13:59, 2月前 , 82F
數位音樂商品沒錯
07/10 13:59, 82F

07/10 13:59, 2月前 , 83F
上面有免費版沒有的音樂喔
07/10 13:59, 83F

07/10 14:00, 2月前 , 84F
訂閱制你還想不綁DRM可以下載自用也
07/10 14:00, 84F

07/10 14:00, 2月前 , 85F
太......我以為我們是在談買斷的東
07/10 14:00, 85F

07/10 14:01, 2月前 , 86F
西,是我跟不上你的思路......
07/10 14:01, 86F

07/10 14:01, 2月前 , 87F
失陪了XD
07/10 14:01, 87F

07/10 14:07, 2月前 , 88F
你可以說訂閱制推 DRM 有他的道理,
07/10 14:07, 88F

07/10 14:07, 2月前 , 89F
我不否認
07/10 14:07, 89F

07/10 14:07, 2月前 , 90F
我要論證的只是廠商有能力推 TPM+
07/10 14:07, 90F

07/10 14:07, 2月前 , 91F
DRM 而使用者無法繞過
07/10 14:07, 91F

07/10 14:08, 2月前 , 92F
至於廠商這樣做合不合理,那是另一
07/10 14:08, 92F

07/10 14:08, 2月前 , 93F
個問題
07/10 14:08, 93F

07/10 14:08, 2月前 , 94F
還是很感謝你與我一起討論問題
07/10 14:08, 94F

07/10 14:08, 2月前 , 95F
我思考迴路比較清奇請見諒了
07/10 14:08, 95F
※ 編輯: HamalAri (122.117.176.16 臺灣), 07/10/2021 14:20:27

07/10 23:55, 2月前 , 96F
別跳來跳去討論好嗎?
07/10 23:55, 96F

07/11 02:17, 2月前 , 97F
一般人其實用不到win11
07/11 02:17, 97F

07/11 03:35, 2月前 , 98F
現在真要綁硬體加密就賣USB驗證裝置
07/11 03:35, 98F

07/11 03:35, 2月前 , 99F
/硬體鎖,早就能做到了
07/11 03:35, 99F
文章代碼(AID): #1Ww83Ts- (PC_Shopping)
討論串 (同標題文章)
文章代碼(AID): #1Ww83Ts- (PC_Shopping)