Die ständig wachsende Zahl von Würmern, Viren und elementaren Lücken in modernen Betriebssystemen und Netzwerkdiensten zwingt IT-Spezialisten dazu, immer neue Tools zu entwickeln Informationssicherheit. Bisher wurden hauptsächlich Softwarelösungen eingesetzt – Hardware und Software waren nicht für jedermann verfügbar. Dank der TPM-Technologie (Trusted Platform Module) haben diese Lösungen nun die breite Masse erreicht und sind für jedermann verfügbar. In dieser App sprechen wir darüber, was TPM ist und warum es sinnvoll ist, diese Technologie in Ihrem Unternehmen einzusetzen.

Das TPM ist ein Mikrocontroller, der mithilfe von Verschlüsselungsschlüsseln grundlegende Sicherheitsfunktionen implementiert. Der TPM-Chip ist auf der Hauptplatine des Computers installiert und interagiert über den Systembus mit anderen Systemkomponenten.

Das Konzept der „Trusted Platform Modules“ (so wird die Abkürzung TPM ins Russische übersetzt) ​​gehört zum seit 2004 bestehenden Konsortium Trusted Computing Group (TCG).
Die TPM-Technologie selbst erschien nicht im Jahr 2004, sondern schon früher. Im Jahr 1999 wurde die Trusted Computing Platform Alliance (TCPA) gegründet. Diese Allianz umfasste die wichtigsten Hardware- und Software– IBM, HP, Microsoft usw. Trotz der Bedeutung der Teilnehmer ähnelten die Aktivitäten der Allianz der bekannten Fabel vom Schwan, dem Krebs und dem Hecht: Jeder „zog die Last“ auf sich (jedes Mitglied der (Die Allianz hatte das Recht, die von anderen Mitgliedern getroffene Entscheidung aufzuheben), daher entwickelte sich TPM recht gemächlich.

(adsbygoogle = window.adsbygoogle || ).push());

Im Jahr 2004 wurde die TCPA-Allianz in das Trusted Computing Group-Konsortium umgewandelt. Die Struktur dieser Organisation war anders. Nur ausgewählte Unternehmen (sie werden Promotoren genannt) können wichtige Entscheidungen treffen. Zu diesen Unternehmen zählen mittlerweile Intel, HP, IBM, AMD, Seagate, Sony, Sun, Microsoft und Verisign. Die verbleibenden Unternehmen (es gibt mehr als tausend) haben nur das Recht, sich an der Entwicklung von Spezifikationsentwürfen zu beteiligen oder einfach einen früheren Zugang zu neuen Entwicklungen zu erhalten.
Die Hauptausgabe von TCPA/TCG ist das „Trusted Platform Module“, das früher „Fritz Chip“ genannt wurde. Es wurde nach dem US-Senator Fritz Hollings benannt, der für seine Unterstützung des Urheberrechtsschutzes bekannt ist. digitale Informationen(Digital Rights Management, DRM).

Die Hauptaufgabe von TPM ist das Erstellen sicherer Computer, in dem alle Kommunikationsprozesse, Hard- und Software überprüft und geschützt werden. Unter Kommunikationssicherheit versteht man nicht den Prozess des Schutzes einer Netzwerkverbindung, sondern den Schutz des Prozesses der Interaktion zwischen einzelnen Teilen des Systems (z. B. dem Betriebssystem).
Das TPM-Modul kann auch zur Überprüfung der Integrität und Urheberschaft von Daten verwendet werden. Nur autorisierte Benutzer sollten Zugriff auf die Daten haben und die Sicherheit der Übertragung der Informationen selbst muss gewährleistet sein. Die Integritätsprüfung schützt das System vor Viren, Würmern und anderen Programmen, die Daten ändern, ohne den Benutzer zu benachrichtigen.
Bei der Entwicklung von TPM bestand das Ziel nicht darin, ein Modul nur zum Schutz zu erstellen Personalcomputer oder Laptops vor Viren - diese Technologie kann zur Sicherheit genutzt werden Mobiltelefone, PDAs, Eingabegeräte, Festplatten. Zusammen damit können Sie biometrische Identifikationsgeräte verwenden. Schutz Netzwerkverbindungen wird von einer separaten Abteilung der TCG – Trusted Network Connect (TNC) – abgewickelt. Wir werden die Früchte der TNC-Aktivitäten nicht berücksichtigen, sondern uns nur auf TPM beschränken.

Beispielsweise können Sie festlegen Festplatte mit TPM-Unterstützung (Abb. P37). Solch Festplatten Seagate veröffentlicht es schon seit längerem (Momentus 5400 FDE.2).

Doch Seagate ist bei weitem nicht der einzige Hersteller von Festplatten mit Verschlüsselungsfunktion. Auch andere Hersteller, etwa Hitachi, stellen „kryptografische Laufwerke“ her. Sie haben also die Wahl bei der Hardware (über andere Hardware- und Softwarehersteller mit TPM-Unterstützung können Sie sich auf der Website www.tonymcfadden.net informieren).

So funktioniert TPM Wie bereits erwähnt, ist das TPM-Modul als Chip auf dem Motherboard implementiert. Der TPM-Chip ist in den Bootvorgang des Computers integriert und überprüft den System-Hash mithilfe des SHA1-Algorithmus (Secure Hash Algorithm). Er wird auf der Grundlage von Informationen über alle Computerkomponenten wie Hardware (Prozessor, Festplatte
, Grafikkarten) und Software (Betriebssystem).

Während des Bootvorgangs des Computers überprüft der Chip den Zustand des Systems, das nur in einem autorisierten Zustand gestartet werden kann, was nur möglich ist, wenn der korrekte Hashwert erkannt wird.

TPM unter Windows einrichten Die folgende Anleitung beschreibt die Verwendung von TPM-Diensten in:
Windows Vista
http://www.oszone.net/display.php?id=4903.
Windows Vista und Windows Server 2008 verwenden die BitLocker-Festplattenverschlüsselungstechnologie, die eng mit vertrauenswürdigen Modulen verwandt ist (Abbildung A38). Informationen zum Einrichten von BitLocker in Windows Server 2008 und Vista (Abb. P39, P40) können Sie hier lesen:

http://www.securitylab.ru/contest/300318.php; http://www.oszone.net/4934/VistaBitLocker.

Bereite Systeme mit TPM-Unterstützung
Fertige TPM-Computer gibt es schon seit langem auf dem Markt: sowohl Laptops als auch Desktop-Computer. In der Regel werden solche Systeme von namhaften Herstellern wie HP hergestellt, daher kann der Preis leicht überhöht sein (Aufpreis „für die Marke“).

Wer Geld sparen möchte, dem sei empfohlen, Hardware mit TPM-Unterstützung zu kaufen und alles selbst zusammenzubauen. Die notwendigen Mainboards werden von vielen Herstellern hergestellt, zum Beispiel ASUS (M2N32-SLI Premium), MSI (Q35MDO) usw. (Abb. A41).

Warum wird TPM benötigt?
Erstens ist TPM eine Erhöhung der Gesamtsicherheit des Systems und ein zusätzlicher, auf Hardwareebene implementierter Schutz vor Viren, Trojanern und anderen bösen Computergeistern. Und wie wir wissen, sollten Sie insbesondere in einem Unternehmen nicht an der Sicherheit sparen.
Zweitens ist TPM die Verschlüsselung von Daten auf einer Festplatte. TPM ermöglicht einen Kompromiss zwischen Sicherheit und Leistung.
Drittens können Sie mithilfe von TPM ganz auf ein Passwort verzichten und stattdessen den Fingerabdruck des Benutzers verwenden. Stimmen Sie zu, eine ziemlich effektive Lösung. Gestern haben wir solche Systeme noch in Halbspielfilmen gesehen, heute sind sie bereits Realität.

Es ist wichtig zu bedenken, dass TPM keine universelle Lösung oder ein Allheilmittel für alle Computerprobleme ist. Gutes Antivirenprogramm und niemand hat die Firewall aufgehoben. TPM wurde eher entwickelt, um die Interessen von Software-Giganten zu schützen: um zu verhindern, dass der Benutzer nicht lizenzierte Software ausführt. Unter diesem Gesichtspunkt ist angesichts der Anzahl nicht lizenzierter Programme in unseren Freiflächen noch nicht klar, ob TPM gut oder schlecht ist. Seien wir ehrlich – es gibt jede Menge Raubkopien.
Vergessen Sie auch nicht den menschlichen Faktor. Eine Person kann das Passwort bewusst an ihr System weitergeben, es irgendwo auf ein gelbes Blatt Papier schreiben, das sie an den Monitor klebt, oder einfach ein ganz einfaches Passwort festlegen, das nicht schwer zu erraten ist. In dieser Situation wird TPM definitiv nicht helfen. Hier kommt Software zum Einsatz, nämlich Zutrittskontrollsysteme, aber das ist eine andere Geschichte.

Ein Trusted Platform Module oder TPM (Trusted Platform Module) ist ein separater Mikrochip Systemplatine ein Computer, der eine Reihe spezifischer Aufgaben im Zusammenhang mit Kryptographie und Computersicherheit ausführt.

Mit dem TPM-Kryptoprozessor können Sie beispielsweise eine Computerfestplatte verschlüsseln. Natürlich kann dies der zentrale Prozessor tun, aber dann muss er mehr Aufgaben erledigen und die Ver- und Entschlüsselungsgeschwindigkeit wird viel geringer sein. Die hardwarebasierte Verschlüsselung im TPM erfolgt nahezu ohne Leistungsverlust.

Die Entschlüsselung wird manchmal fälschlicherweise als Entschlüsselung bezeichnet. Der Unterschied zwischen ihnen besteht darin, dass Sie beim Entschlüsseln den Algorithmus kennen und geheimer Schlüssel, mit dem die Daten verschlüsselt, aber nicht entschlüsselt werden.

TPM kann auch Anmeldeinformationen schützen und auf dem System ausgeführte Programme überprüfen. Verhindert Infektionen durch Rootkits und Bootkits (Varianten). Schadsoftware, die vor dem Booten in den Computer eindringen Betriebssystem oder ihre Anwesenheit im System verbergen und daher vom System nicht erkannt werden können), um sicherzustellen, dass die Computerkonfiguration nicht ohne Wissen des Benutzers geändert wird.

Darüber hinaus verfügt jedes TPM-Kryptografiemodul über eine eindeutige Kennung, die direkt in den Chip geschrieben wird und nicht geändert werden kann. Daher kann der Kryptochip zur Authentifizierung beim Zugriff auf ein Netzwerk oder eine beliebige Anwendung verwendet werden.

TPM kann starke Verschlüsselungsschlüssel generieren, wenn dies vom Betriebssystem (OS) erforderlich ist.

Doch bevor Sie das TPM verwenden können, muss es konfiguriert werden. Die Einrichtung des Moduls erfolgt in wenigen einfachen Schritten.

• Zunächst muss der Chip aktiviert werden Computer-BIOS(sofern nicht aktiviert).
• Zweitens müssen Sie dessen Besitzer auf Betriebssystemebene werden.

Schauen wir uns diese Schritte genauer an.

1 Aktivieren des TPM im Computer-BIOS

Um das Modul zu aktivieren, gehen Sie zum BIOS und gehen Sie zum Abschnitt Sicherheit. Obwohl sich das BIOS je nach Modell erheblich unterscheiden kann verschiedene Computer, in der Regel heißt der Abschnitt mit Sicherheitseinstellungen „Sicherheit“. In diesem Abschnitt sollte es eine Option namens „Sicherheitschip“ geben.

Das Modul kann drei Zustände haben:

• Deaktiviert.
• Aktiviert und nicht aktiviert (Inaktiv).
• Aktiviert und aktiviert (Aktiv).

Im ersten Fall ist er im Betriebssystem nicht sichtbar, im zweiten Fall ist er zwar sichtbar, wird aber vom System nicht genutzt und im dritten Fall ist der Chip sichtbar und wird vom System genutzt. Setzen Sie den Status auf „aktiv“.

Sie können in den Einstellungen auch alte, vom Chip generierte Schlüssel löschen.

Das Löschen des TPM kann beispielsweise nützlich sein, wenn Sie Ihren Computer verkaufen möchten. Bitte beachten Sie, dass Sie die mit diesen Schlüsseln verschlüsselten Daten nicht wiederherstellen können, wenn Sie die Schlüssel löschen (es sei denn, Sie verschlüsseln natürlich Ihre Festplatte).

Speichern Sie nun die Änderungen („Speichern und Beenden“ oder F10-Taste) und starten Sie den Computer neu.

Öffnen Sie nach dem Hochfahren Ihres Computers den Geräte-Manager und stellen Sie sicher, dass das vertrauenswürdige Modul in der Geräteliste angezeigt wird. Es sollte sich im Abschnitt „Sicherheitsgeräte“ befinden.

2 Initialisieren des TPM unter Windows

Es bleibt nur noch die Initialisierung des Chips im Betriebssystem. Dazu müssen Sie das TPM-Modulverwaltungs-Snap-In öffnen. Klicken Sie auf die Schaltflächen Windows+R(Das Fenster „Ausführen“ öffnet sich), geben Sie tpm.msc in das Eingabefeld ein und drücken Sie „Enter“. Das Snap-In wird gestartet „Verwalten des Trusted Platform Module (TPM) auf dem lokalen Computer“.

Nachlesen könnt ihr übrigens hier Weitere Informationen- Was ist TPM, wann muss es ein- und ausgeschaltet, das Passwort geändert usw. werden? Eine gute Artikelserie zum Thema TPM finden Sie auf der Microsoft-Website.

Auf der rechten Seite des Snap-Ins befindet sich ein Aktionsmenü. Klicken Sie auf „TPM initialisieren…“. Wenn diese Option nicht aktiv ist, wurde Ihr Chip bereits initialisiert. Wenn es nicht von Ihnen initialisiert wurde und Sie das Passwort des Besitzers nicht kennen, ist es ratsam, den Speicher des Moduls zurückzusetzen und zu löschen, wie im vorherigen Absatz beschrieben.

Wenn der TPM-Initialisierungsassistent startet, werden Sie aufgefordert, ein Passwort zu erstellen. Wählen Sie die Option Passwort automatisch generieren.

Das TPM-Initialisierungsprogramm generiert ein Passwort. Speichern Sie es als Datei oder drucken Sie es aus. Klicken Sie nun auf die Schaltfläche „Initialisieren“ und warten Sie etwas.

Nach Abschluss meldet das Programm eine erfolgreiche Modulinitialisierung. Nach Abschluss der Initialisierung sind alle weiteren Aktionen mit dem Modul – Deaktivierung, Reinigung, Datenwiederherstellung im Fehlerfall, Zurücksetzen der Sperre – nur noch mit dem Passwort möglich, das Sie gerade erhalten haben.

Jetzt ist die Initialisierungsaktion inaktiv, aber es ist möglich, das TPM zu deaktivieren, das Besitzerkennwort zu ändern und in diesem Fall die Modulsperre zurückzusetzen (das Modul sperrt sich selbst, um Betrug oder Angriffe zu verhindern).

Tatsächlich enden hier die Verwaltungsfunktionen des TPM-Moduls. Alle weiteren Vorgänge, die die Fähigkeiten des Chips erfordern, erfolgen automatisch – transparent für das Betriebssystem und unsichtbar für Sie. All dies muss in Software umgesetzt werden. Neuere Betriebssysteme wie Windows 8 und Windows 10 nutzen TPM-Funktionen häufiger als ältere Betriebssysteme.

Philosophen der Vergangenheit sprachen gern über Freiheit. „Wer bereit ist, seine Freiheit aufzugeben, um kurzzeitigen Schutz vor Gefahren zu erlangen, verdient weder Freiheit noch Sicherheit“, argumentierte Benjamin Franklin. „Ein Mensch kann weder Sklave noch frei sein. Entweder ist er frei – oder er ist es überhaupt nicht“, erklärte Jean-Paul Sartre kategorisch. „Freiheit ist eine bewusste Notwendigkeit“, zitierten Marxisten Benedict Spinoza.

Was ist Freiheit? Ist es für einen Menschen wichtig, frei zu sein, und ist er bereit, Freiheit gegen Sicherheit einzutauschen? Ein Grund, der von der breiten Öffentlichkeit nicht wahrgenommen wurde, veranlasste mich, über dieses Thema nachzudenken. In diesem Sommer stimmte das Technische Komitee des JTC1 über die Genehmigung ab, und zwar auf die vereinfachte Weise, die das PAS-Verfahren vorsieht. neue Version ISO/IEC 11889:2015-Standard, der vom Konsortium Trusted Computing Group (TCG) vorgestellt wurde, das von den amerikanischen Unternehmen AMD, Cisco, HP, IBM, Intel, Microsoft und Wave Systems gegründet wurde. Und am 29. Juni gab TCG in Portland, Oregon, bekannt, dass sein Trusted Platform Module (TPM) 2.0-Standard endlich als international anerkannt wurde.

Vorteile von TPM

TPM ist der Name einer Spezifikation, die ein Kryptomodul beschreibt, das kryptografische Schlüssel zum Schutz von Informationen speichert. Einfacher ausgedrückt: Dies ist ein Informationssicherheitsmodul, das auf Servern, PCs, Netzwerken usw. installiert werden kann mobile Geräte. Es unterstützt die Remote-Bescheinigung und ermöglicht so die Kommunikation zwischen Hardware und Software Computer.

Das Modul ist praktisch für Urheberrechtsinhaber, da es Ihnen ermöglicht, die Lizenzierung von Software zu überprüfen und illegales Kopieren von Musik, Filmen usw. zu kontrollieren Computerspiele. Es identifiziert den Computer eindeutig und ermöglicht die Benutzerauthentifizierung. Gleichzeitig ermöglicht TPM die Generierung von Schlüsseln, verfügt über Hashing-Funktionen und generiert Zufallszahlen.

Die Leistung der TPM-Hardware ist sehr begrenzt und ermöglicht keine direkte Verschlüsselung großer Datenmengen mit hoher Geschwindigkeit. Es kann eine Massenverschlüsselung von Dateien auf Festplatten durchgeführt werden Windows-Programm Bitlocker. Gleichzeitig sind die verwendeten Kryptoschlüssel selbst mit TPM verschlüsselt, was die Möglichkeit eines Diebstahls ausschließt.

So kann TPM in Verbindung mit Windows Bitlocker eine Festplatte verschlüsseln, Daten bei Verlust oder Diebstahl eines Computers, Software vor Veränderung und Infektion durch Viren sowie Bank- und E-Mail-Programme schützen.

Das Modul ist in der Lage, die Authentizität des Computers und sogar seine Funktionalität zu bestätigen, noch bevor er Zugriff auf das Netzwerk erhält. Insgesamt erhöht es die Sicherheit der Benutzer erheblich, insbesondere derjenigen, die über geringe Kenntnisse zu Fragen der Informationssicherheit verfügen und diese nicht selbst lösen können.

Tatsächlich ist TPM eine wichtige und nützliche Sache. Erhöht die Benutzersicherheit erheblich. Es stellt sich jedoch die Frage nach dem Preis der Sicherheit. Wenn jemand in seinem Zuhause eine Webcam installiert, erhöht er die Sicherheit seines Zuhauses. Er kann die Wohnung jederzeit aus der Ferne überwachen und die Polizei rufen, wenn Diebe auftauchen. Wenn jedoch die Möglichkeit zur Steuerung der Webcam unterbrochen wird, kann sie sich von einem Sicherheitsgerät in ein Überwachungsgerät verwandeln. Die gesammelten Informationen über eine Person werden dementsprechend als Mittel zur Kontrolle und Verwaltung verwendet. Und seine Wohnung selbst verwandelt sich in eine Zelle, wenn auch eher wie eine Gefängniszelle.

Deutschlands Position

Das Ergebnis der Abstimmung im ISO/IEC JTC1 Technical Committee war vorhersehbar. Nur Deutschland stimmte dagegen. Russland enthielt sich allerdings der Stimme, sein „Nein“-Votum hätte ohnehin nichts entschieden. Die Mehrheit unterstützte die amerikanische Position. Auch eine beispiellose Aktion half nichts – die Versendung eines geschlossenen Briefes offizieller Vertreter des Bundesinnenministeriums und des Bundesministeriums für Wirtschaft und Energie der Bundesrepublik Deutschland an die Ausschussmitglieder mit der Bitte, das Projekt zu „begraben“. Informationen zu diesem Dokument gelangten an die deutsche Presse und sorgten für großen Aufruhr.

Auf Landesebene wurde die Existenz eines solchen Schreibens von den deutschen Behörden bestritten, was aber in diesem Fall von den offiziellen Stellen anderes zu erwarten ist. Im Text des deutschen Schreibens, der den Herausgebern vorliegt und an dessen Echtheit wir keinen Grund haben, zu zweifeln, heißt es: „... die im Normentwurf dargelegten Spezifikationen sind nicht ausreichend entwickelt, um eine Entscheidung zu treffen; Insbesondere haben wir aufgrund einer sorgfältigen Prüfung des Problems Grund zu der Annahme, dass ihre Umsetzung die Fähigkeit zur Verwaltung des geschützten IKT-Systems erheblich beeinträchtigen und möglicherweise auch zu Situationen führen kann, in denen das System vollständig blockiert wird Interessen einiger Hersteller Computertechnologie. Darüber hinaus sind wir der Ansicht, dass die möglichen Auswirkungen der vorgeschlagenen Festlegungen auf Datenschutz und IT-Sicherheit höchst problematisch sein könnten und befürchten, dass dies im Widerspruch zu einschlägigem deutschen Recht stehen könnte.“

Gleichzeitig lehnten deutsche InfTPM nicht grundsätzlich ab. Sie waren mit dem bisherigen Standard TPM 1.2 zufrieden, bei dem der Nutzer die volle Kontrolle über seine Plattform behielt. Das TPM-Modul könnte einfach deaktiviert werden. Im TPM 2.0-Standard wird dies nicht mehr funktionieren.

Darüber hinaus waren sie besorgt über den Ansatz zur Entwicklung des Standards, an dem nur amerikanische Unternehmen beteiligt waren. Zeit-Journalisten berichteten, die Bundesregierung habe versucht, sich an der Entwicklung von TPM 2.0 zu beteiligen, sei jedoch abgelehnt worden. Sie verwiesen außerdem auf die aktive Zusammenarbeit der Standardentwickler mit der US-amerikanischen NSA und lieferten Einschätzungen unabhängiger Experten zur Sicherheit von TPM 2.0. In der Veröffentlichung wurde gewarnt, dass TPM als Hintertür angesehen werden kann und die NSA mit hoher Wahrscheinlichkeit Zugriff auf kryptografische Schlüssel hat.

Lüftungsschlitze und Fenster

Experten des Bundesamtes für Sicherheit in Informationstechnologie(BSI) war alarmiert darüber, dass dieser Standard mit dem Übergang zur TPM 2.0-Spezifikation für alle Geräte mit Windows 8.1 und höher verbindlich wird diese Funktion kann nicht dekontaminiert werden.

Tatsächlich kann ein Computer mit TPM 2.0 nicht als Gerät betrachtet werden, das vollständig vom Benutzer kontrolliert wird. Es wurden Bedenken geäußert, dass Windows 8 mit TPM 2.0 es Microsoft ermöglichen könnte, den Computer über eine integrierte Hintertür fernzusteuern.

Auch chinesische Experten lesen von der deutschen Warnung. Sie untersuchten das Problem, fanden die Details heraus und trafen eine Entscheidung. Im Mai 2014 berichtete die staatliche chinesische Nachrichtenagentur Xinhua über das Verbot Windows-Installationen 8 zu Regierungscomputern. Und dabei handelt es sich höchstwahrscheinlich um Computer, die nicht nur dem Staat gehören, sondern auch den vom Staat kontrollierten Strukturen – den größten Banken, Informationssicherheitsunternehmen, Telekommunikationsunternehmen sowie anderen Unternehmen, die den Empfehlungen ihrer Regierung folgen wollen .

In einem weiteren internen BSI-Dokument, das der deutschen Veröffentlichung vorliegt, heißt es: „Windows 7 kann bis 2020 sicher verwaltet werden. Danach müssen andere Lösungen für die Verwaltung von IT-Systemen gefunden werden.“ Und auf der BSI-Website steht direkt geschrieben, dass der Mechanismus Windows-Bedienung 8 mit TPM 2.0 „für Sabotage durch Dritte genutzt werden kann“ und dass Experten es für inakzeptabel halten, dass Regierungsorganisationen und kritische Infrastrukturen die neue Version von TPM nutzen. Es scheint also, dass die Deutschen und Chinesen sich nicht beeilen werden, Windows 7 im öffentlichen Sektor auch nur auf Windows 8 zu aktualisieren.

Russlands Position

Um die Position Russlands herauszufinden, wandten wir uns an Experten – Mitglieder des ISO/IEC JTC1 Technical Committee, der russischen Unternehmen Aquarius und Craftway sowie Microsoft mit der Bitte, sich zur Ernsthaftigkeit der Bedenken Deutschlands und Chinas hinsichtlich des neuen Standards zu äußern.

Leider haben die Experten unsere Fragen entweder ignoriert oder erklärt, dass sie sich weigerten, sie zu beantworten. Der einzige Spezialist, der einem Interview zustimmte, war ein unabhängiger Cybersicherheitsexperte in automatisierte Systeme Management Vadim Podolny.

Was ist gut und was gefährlich an TPM?

TPM, sei es das derzeit am weitesten verbreitete TPM 1.2 oder das zunehmend implementierte TPM 2.0, ist ein Technologiestandard, der von großen amerikanischen Unternehmen vorangetrieben wird. Im Wesentlichen handelt es sich bei TPM um ein separates Modul, das in Computer integriert wird.

Mittlerweile sind neben PCs, Servern, Terminals und Netzwerkroutern auch viele neue Komponenten an das Netzwerk angeschlossen. Dies sind Steuerungen für die industrielle Automatisierung, Geräte für das Internet der Dinge, Geräte, die für die menschliche Gesundheit verantwortlich sind – Herzschrittmacher, in Uhren eingebaute Blutzuckermessgeräte … Durch den Eingriff eines Hackers können sie falsch auslösen oder umgekehrt nicht falsch auslösen. TPM-Vertrauensmodule lösen ein wichtiges Problem: Vertrauen in Daten, Vertrauen in das System und die Bestätigung, dass es ordnungsgemäß funktioniert.

Die TPM-Idee ist richtig. Es sollten Standardmodule vorhanden sein, die die rechtliche Bedeutung der Informationen sicherstellen. Das Konzept selbst besteht darin, ein Modul zu erstellen, das für Hacker schwer herzustellen ist und das nur ein großer Staat herstellen kann. Es ist wie eine Banknote, eine Methode, Geld zu schützen. Daran ist nichts auszusetzen.

Die Frage ist anders. Windows 7 hatte ein Arbeitsplatzsymbol. In Windows 10 heißt es „Dieser PC“. Dies ist nicht mehr Ihr Computer. Uns werden Technologien aufgezwungen, die unsere Sicherheit gewährleisten, ob wir es wollen oder nicht. Es scheint, als würde der Staat ein Verbot einführen und sagen, dass man jetzt keinen Alkohol mehr trinken wird, da die Gesellschaft gesunde Soldaten braucht. So ist es hier.

Wenn Ihr Computer erfasst wird, bedeutet das, dass jemand ihn für etwas benötigt. Vielleicht um ein Auge auf dich zu haben. Wenn Sie diese Funktion nicht deaktivieren können, handelt es sich nicht um eine Sicherheitsfunktion. Es handelt sich um ein passives Angriffsmittel. Das Sammeln von Informationen bedeutet, einen Angriffspunkt zu finden. Microsoft nimmt Ihnen Ihren Computer für Ihr Geld weg. Es verkauft Ihnen sein Betriebssystem und entzieht Ihnen die Kontrolle.

Kann man überprüfen, ob ein TPM-Modul eine Hintertür hat oder nicht?

Sie können den Standard analysieren. Aber wenn ein Computer mit einem in die Hauptplatine eingelöteten TPM-Modul zu Ihnen kommt, das nicht von einem von Ihnen kontrollierten Unternehmen hergestellt wurde, wissen Sie nicht, was sich darin befindet. Sie können dort alles hinzufügen.

Aber können Sie jedem Prozessor oder Controller ein Lesezeichen hinzufügen?

Ja, sicher. Und der Ansatz sollte derselbe sein. In militärischen Systemen erlauben die Aufsichtsbehörden niemals die Verwendung eines Chips, der von einer unbekannten Person hergestellt wurde, auch nicht nach einem offenen Standard. Deshalb haben wir „Baikal“- und „Elbrus“-Prozessoren. Russlands technische Kräfte reichen aus, um ein eigenes TPM zu entwickeln. Wir können es in unseren Fabriken noch nicht herstellen. Ebenso der Prozessor. Aber wir können entwerfen und dann prüfen, ob sie es so gemacht haben, wie wir es brauchten, oder ob dort etwas hinzugefügt wurde. Ein solcher Mechanismus ermöglicht bereits den Einsatz von TPM.

Was sollen wir jetzt tun, da wir kein eigenes TPM haben?

Die häufig verwendeten Analoga von TPM, die ihre Aufgabe weitgehend erfüllen, sind Hardware-vertrauenswürdige Bootmodule. Sie werden auch jetzt noch verwendet, nachdem TPMs auf Motherboards aufgetaucht sind.

Es ist auch möglich geworden, das BIOS zu ändern, und es ist die UEFI-Technologie erschienen, ein Standard, der es Ihnen ermöglicht, vertrauenswürdige Bootmodule programmgesteuert zu erstellen. Tatsächlich können sie Programme hosten, die den Betrieb von TPM emulieren, was in vielen Entwicklungen der Fall ist. Zum Beispiel im Betriebssystem seOS, zertifiziert vom FSB.

Was ist mit dem russischen TPM-Modul?

Wir haben immer noch Unternehmen in Russland, die Motherboards für ihre Projekte bestellen. Zum Beispiel Aquarius, Craftway, T-Platforms, MCST und andere. Jeder von ihnen ist durchaus in der Lage, sein eigenes TPM-Modul zu entwerfen. Und es wird wahrscheinlich in naher Zukunft mit Unterstützung der inländischen kryptografischen GOST-Algorithmen erstellt. Und das ist nicht nur für Verteidigungsunternehmen wichtig, sondern auch für eine Vielzahl von Verbrauchern, die zur Einhaltung der Bestimmungen des Gesetzes 152-FZ „Über personenbezogene Daten“ verpflichtet sind.

Warum lehnten die Deutschen den TPM 2.0-Standard so vehement ab?

Ganz einfach. Sie wollen ihre Daten und Technologie vor den USA schützen. Erinnern Sie sich, als SUSE Linux ins Leben gerufen wurde? Dies geschah, nachdem klar wurde, dass bei der Weitergabe von Dokumenten von einer Bundeswehrabteilung an eine andere die Informationen zunächst bei der NSA landeten. Dann wurde SUSE Linux in Deutschland erstellt und die Abteilung auf die Arbeit mit diesem Betriebssystem übertragen.

Unter Linux wurde ab Kernel 3.2 auch die Unterstützung von TPM 2.0 angekündigt. Aber es kann ausgeschaltet werden. Aber im Windows-Betriebssystem können Sie nicht höher als acht gehen. Windows ist ein sehr benutzerfreundliches Betriebssystem. Es ist wunderbar durchdacht. Zehntausende Programmierer arbeiten daran, es für Benutzer bequem und komfortabel zu machen. Aber jede Änderung, die Ihnen aufgezwungen wird, weil sie Ihrer Sicherheit dient, ist ärgerlich. Und Spezialisten und Beamte und Regierungen.

Um keine Angst vor TPM zu haben, müssen Sie spezielle Recherchen durchführen, eine Überprüfung durchführen und herausfinden, ob dort etwas Gefährliches ist oder nicht. Dies ist ein völlig standardmäßiges Verfahren. Manchmal wird es vor Ort am Produktionsstandort durchgeführt. Dies ist eine übliche Praxis, wenn Vertreter eines Landes in das Land des Herstellers kommen und einige Zeit in der Produktion sitzen und die Prozesse verstehen.

Und wer wird das tun?

Dies könnte für große Handelsunternehmen von Interesse sein. Ich denke, dass einige Forschungsarbeiten in diesem Format bereits im Gange sind. Daran ist der Staat jedoch nicht sofort interessiert, da unsere Kryptographie nicht vorhanden ist und die vorhandenen Module daher nicht für die Verteidigungsindustrie geeignet sind.

Ist der Einsatz von Computern mit TPM in Behörden möglich?

Die Frage des Einsatzes von TPM in Behörden ist recht komplex. Ich denke, dass es in den nächsten Ausgaben von TPM möglich sein wird, Kryptoalgorithmen zu ersetzen. Sie können nun das BIOS erneut flashen und Ihre eigenen Komponenten hinzufügen. Dies wird bei TPM der Fall sein. Hinsichtlich aktuelle Nutzung im öffentlichen Sektor – es ist noch zu früh, darüber zu sprechen. Sie müssen jedoch die Möglichkeit einer eigenen Implementierung des Standards untersuchen. Es ist auch notwendig, an der Entwicklung der nächsten Version teilzunehmen. Um unsere Kryptographie in das TPM einer anderen Person einbetten zu können.

... Im Großen und Ganzen ist die Lage klar. TPM ist eine neue Ebene der Sicherheit. Der Staat wird das Problem in der Verteidigungsindustrie irgendwie lösen, und der Rest wird das nutzen, was er hat. In den meisten Fällen schützt Sie TPM vor wilden Hackern (in Bezug auf den Schutz, den TPM bietet), aber vor Aufmerksamkeit Großer Bruder Du gehst immer noch nirgendwo hin.

Das Konsortium selbst, das als rein amerikanisches Projekt begann, expandiert. IN gegenwärtiger Moment TCG hat 11 Mitglieder mit Promoter-Status (AMD, Cisco, Fujitsu, HP, IBM, Infenion, Intel, Juniper, Lenovo, Microsoft und Wave Systems) und 74 Mitglieder mit Contributor-Status. Auf diesen Listen tauchten japanische und chinesische Unternehmen auf. Aber es gibt dort noch immer keine russischen Vertreter.

Freiheit oder Sicherheit? Die Zeiten der Existentialisten Sartre und Camus, die den „Weg der Freiheit“ wählten und einen freien Menschen am Rande des „Nichts“ studierten, gehören ebenso wie das vergangene Jahrhundert der Vergangenheit an. Die meisten Menschen entschieden sich für Sicherheit. Und jetzt streitet er nur noch über die Länge der Leine. Für den Massenanwender besteht das TPM-Problem also nicht. Doch dem Staat sollte die Frage nicht gleichgültig sein, an wessen Leine seine staatlichen Stellen hängen. Und seine Bürger auch.

Trusted Platform Modules sind kleine Chips, die Daten schützen und seit mehreren Jahren in Computern, Konsolen, Smartphones, Tablets und Receivern eingesetzt werden. Derzeit sind rund eine Milliarde Geräte mit TPM-Chips ausgestattet, 600 Millionen davon sind Büro-PCs.

Seit 2001 betrachten Anhänger der „Verschwörungstheorie“ Chips als Kontrollinstrument, das angeblich die Einschränkung von Nutzerrechten ermöglicht: Theoretisch können TPM-Chips beispielsweise verwendet werden, um das illegale Kopieren von Filmen und Musik einzuschränken In den letzten 12 Jahren gab es keinen einzigen solchen Fall. Darüber hinaus verwendet Windows ein ähnliches Modul Sicherer Start und Verschlüsselung harte Daten Laufwerk mit BitLocker. Somit bietet TPM einen Vorteil im Kampf gegen Malware und Datendiebstahl.

Trotz alledem hat die Spezifikation Version 2.0 große Aufmerksamkeit erregt, da TPM-Chips nun „standardmäßig“ aktiviert sind (zuvor musste der Benutzer sie selbst aktivieren). Offenbar wird es bald schwer werden, Geräte ohne TPM 2.0 im Handel zu finden, da Microsoft die Zertifizierungskriterien für Windows entsprechend geändert hat. Seit 2015 ist der TPM 2.0-Standard für alle verbindlich, ansonsten für den Hersteller Hardware erhalten keine Bestätigung über die abgeschlossene Zertifizierung.

TPM-Manager im Panel-Fenster Windows-Verwaltung Zeigt den Status und die Version des TPM-Chips an

Der TPM-Chip garantiert die Sicherheit des Betriebssystems

Am meisten auf effiziente Weise Der Systemschutz, der das Eindringen von Hackern verhindert, ist die Verwendung eines TPM-Hardwarechips. Es handelt sich um einen kleinen „Computer im Computer“: ein vertrauenswürdiges Modul mit eigenem Prozessor, RAM, Laufwerk und I/O-Schnittstelle.

Das Hauptziel von TPM besteht darin, dem Betriebssystem garantiert sichere Dienste bereitzustellen. TPM-Chips speichern beispielsweise Kryptoschlüssel, die zum Verschlüsseln von Daten auf einer Festplatte verwendet werden. Darüber hinaus bestätigt das Modul die Identität der gesamten Plattform und überprüft das System auf mögliche Eingriffe von Hackern in den Betrieb der Hardware. In der Praxis TPM im Tandem mit UEFI Sicherer Start bietet dem Benutzer einen vollständig geschützten und sicheren Prozess zum Starten des Betriebssystems.

Die Phase, in der Software von Drittanbietern geladen wird ( Antivirenscanner), Microsoft bezeichnet es als Measured Boot. Microsoft stellt seine Signatur für den ELAM-Treiber (Early Launch Anti-Malware) von Antivirensoftware-Entwicklern zur Verfügung. Fehlt es, unterbricht UEFI den Bootvorgang. Der Kernel prüft beim Start den Virenschutz. Wenn der ELAM-Treiber den Test besteht, erkennt der Kernel die anderen Treiber als gültig an. Dadurch wird die Möglichkeit ausgeschlossen, dass Rootkits den Prozess beeinträchtigen Windows-Boot und „die Situation ausnutzen“, wenn der Virenscanner noch nicht aktiv ist.

Die vorherige TPM 1.2-Spezifikation verwendete veraltete Technologie mit in Hardware implementierten RSA-2048- und SHA-1-Verschlüsselungsalgorithmen (letzterer gilt als unsicher). Anstatt streng definierte Algorithmen in TPM-Chips zu verwenden, kann Version 2.0 symmetrische und asymmetrische Verschlüsselungsverfahren bereitstellen. Derzeit sind beispielsweise SHA-2, HMAC, ECC und AES verfügbar. Darüber hinaus kann TPM 2.0 aktualisiert werden, um neue kryptografische Algorithmen zu unterstützen.

Auch die Herangehensweise an die Verwendung von Schlüsseln hat sich geändert. Während bisher zwei feste kryptografische Schlüssel als Grundlage für alle angebotenen Dienste verwendet wurden, arbeitet TPM 2.0 mit sehr großen Zufallszahlen – den sogenannten Seeds. In diesem Fall werden die notwendigen Schlüssel durch mathematische Funktionen generiert, wobei die Anfangszahlen als Eingabedaten verwendet werden. TPM 2.0 bietet außerdem die Möglichkeit, Schlüssel nur zur einmaligen Verwendung zu generieren.

Die stetig wachsende Zahl von Würmern, Viren und elementaren Lücken in modernen Betriebssystemen und Netzwerkdiensten zwingt IT-Spezialisten dazu, immer neue Informationssicherheitstools zu entwickeln. Bisher wurden hauptsächlich Softwarelösungen eingesetzt – Hardware und Software waren nicht für jedermann verfügbar. Dank der TPM-Technologie (Trusted Platform Module) haben diese Lösungen nun die breite Masse erreicht und sind für jedermann verfügbar. In dieser App sprechen wir darüber, was TPM ist und warum es sinnvoll ist, diese Technologie in Ihrem Unternehmen einzusetzen.

Das TPM ist ein Mikrocontroller, der mithilfe von Verschlüsselungsschlüsseln grundlegende Sicherheitsfunktionen implementiert. Der TPM-Chip ist auf der Hauptplatine des Computers installiert und interagiert über den Systembus mit anderen Systemkomponenten.

Das Konzept der „Trusted Platform Modules“ (so wird die Abkürzung TPM ins Russische übersetzt) ​​gehört zum seit 2004 bestehenden Konsortium Trusted Computing Group (TCG).

Die TPM-Technologie selbst erschien nicht im Jahr 2004, sondern schon früher. Im Jahr 1999 wurde die Trusted Computing Platform Alliance (TCPA) gegründet. Dieser Allianz gehörten die wichtigsten Hardware- und Softwareentwickler an – IBM, HP, Microsoft usw. Trotz der Bedeutung der Teilnehmer erinnerten die Aktivitäten der Allianz an die bekannte Fabel vom Schwan, dem Krebs und dem Hecht: alle „zogen die Last“ auf sich selbst (jedes Mitglied der Allianz hatte das Recht, die von anderen Mitgliedern getroffenen Entscheidungen aufzuheben), sodass sich TPM eher langsam entwickelte.

Im Jahr 2004 wurde die TCPA-Allianz in ein Konsortium umgewandelt TrustedComputingGroup. Die Struktur dieser Organisation war anders. Nur ausgewählte Unternehmen (sie werden Promotoren genannt) können wichtige Entscheidungen treffen. Solche Unternehmen gibt es jetzt Intel, HP, IBM, AMD, Seagate, Sony, Sun, Microsoft Und Verisign. Die verbleibenden Unternehmen (es gibt mehr als tausend) haben nur das Recht, sich an der Entwicklung von Spezifikationsentwürfen zu beteiligen oder einfach einen früheren Zugang zu neuen Entwicklungen zu erhalten.

Die Hauptausgabe von TCPA/TCG ist das „Trusted Platform Module“, das früher „Fritz Chip“ genannt wurde. Es wurde nach dem US-Senator Fritz Hollings benannt, der für seine Unterstützung des Digital Rights Management (DRM) bekannt ist.

Die Hauptaufgabe von TPM besteht darin, einen sicheren Computer zu schaffen, in dem alle Kommunikationsprozesse sowie Hard- und Software überprüft und geschützt werden. Unter Kommunikationssicherheit versteht man nicht den Prozess des Schutzes einer Netzwerkverbindung, sondern den Schutz des Prozesses der Interaktion zwischen einzelnen Teilen des Systems (z. B. dem Betriebssystem).

Das TPM-Modul kann auch zur Überprüfung der Integrität und Urheberschaft von Daten verwendet werden. Nur autorisierte Benutzer sollten Zugriff auf die Daten haben und die Sicherheit der Übertragung der Informationen selbst muss gewährleistet sein. Die Integritätsprüfung schützt das System vor Viren, Würmern und anderen Programmen, die Daten ändern, ohne den Benutzer zu benachrichtigen.

Bei der Entwicklung von TPM bestand das Ziel nicht darin, ein Modul nur zum Schutz von Personalcomputern oder Laptops vor Viren zu schaffen – mit dieser Technologie kann die Sicherheit von Mobiltelefonen, PDAs, Eingabegeräten und Festplatten gewährleistet werden. Zusammen damit können Sie biometrische Identifikationsgeräte verwenden.

Der Schutz von Netzwerkverbindungen wird von einer eigenen Abteilung der TCG übernommen – Trusted Network Connect (TNC). Wir werden die Früchte der TNC-Aktivitäten nicht berücksichtigen, sondern uns nur auf TPM beschränken.

Es ist logisch anzunehmen, dass der TPM-Chip selbst auf dem Motherboard nichts löst. Wir brauchen Unterstützung von der restlichen Hardware und Mathematik-Software.

Sie können beispielsweise eine Festplatte mit TPM-Unterstützung einbauen (Abb. A37). Solche Festplatten werden schon seit langem hergestellt Seagate(Momentus 5400 FDE.2). Aber Seagate ist bei weitem nicht der einzige Hersteller von Festplatten mit Verschlüsselungsfunktion. Auch andere Hersteller, etwa Hitachi, stellen „kryptografische Laufwerke“ her. Sie haben also die Wahl bei der Hardware (über andere Hardware- und Softwarehersteller mit TPM-Unterstützung können Sie sich auf der Website www.tonymcfadden.net informieren).

Was das Betriebssystem betrifft, wird die TPM-Technologie von den meisten modernen Betriebssystemen unterstützt – Windows Vista, Microsoft Windows Server 2003 SP1, Microsoft Windows XP SP2, Windows XP Professional x64, SUSE Linux (ab Version 9.2) und Unternehmens-Linux(ab Version 3 Update 3).

Wie bereits erwähnt, ist das TPM-Modul als Chip auf dem Motherboard implementiert. Der TPM-Chip ist in den Startvorgang des Computers integriert und überprüft den System-Hash mithilfe des SHA1-Algorithmus (Secure Hash Algorithm). Er wird auf der Grundlage von Informationen über alle Computerkomponenten berechnet, sowohl über Hardware (Prozessor, Festplatte, Grafikkarte) als auch über Software ( Betriebssystem).

Während des Bootvorgangs des Computers überprüft der Chip den Zustand des Systems, das nur in einem autorisierten Zustand gestartet werden kann, was nur möglich ist, wenn der korrekte Hashwert erkannt wird.

Die folgende Anleitung beschreibt die Verwendung von TPM-Diensten in Windows Vista:

Windows Vista und Windows Server 2008 verwenden die BitLocker-Festplattenverschlüsselungstechnologie, die eng mit vertrauenswürdigen Modulen verwandt ist (Abbildung A38). Informationen zum Einrichten von BitLocker in Windows Server 2008 und Vista (Abb. P39, P40) können Sie hier lesen:

Bereite Systeme mit TPM-Unterstützung

Wer Geld sparen möchte, dem sei empfohlen, Hardware mit TPM-Unterstützung zu kaufen und alles selbst zusammenzubauen. Die notwendigen Mainboards werden von vielen Herstellern hergestellt, zum Beispiel ASUS (M2N32-SLI Premium), MSI (Q35MDO) usw. (Abb. A41).

Reis. P41. Mütterlich ASUS-Board M2N32-SLI Premium (mit TPM-Unterstützung)

Warum wird TPM benötigt?

Zweitens ist TPM die Verschlüsselung von Daten auf einer Festplatte. TPM ermöglicht einen Kompromiss zwischen Sicherheit und Leistung.

Da die Verschlüsselung in Hardware erfolgt, gibt es praktisch keine Auswirkungen auf die Leistung.

Drittens können Sie mithilfe von TPM ganz auf ein Passwort verzichten und stattdessen den Fingerabdruck des Benutzers verwenden. Stimmen Sie zu, eine ziemlich effektive Lösung. Gestern haben wir solche Systeme noch in Halbspielfilmen gesehen, heute sind sie bereits Realität.

Es ist wichtig zu bedenken, dass TPM keine universelle Lösung oder ein Allheilmittel für alle Computerprobleme ist. Niemand hat ein gutes Antivirenprogramm und eine gute Firewall abgesagt. TPM wurde eher entwickelt, um die Interessen von Software-Giganten zu schützen: um zu verhindern, dass der Benutzer nicht lizenzierte Software ausführt. Unter diesem Gesichtspunkt ist angesichts der Anzahl nicht lizenzierter Programme in unseren Freiflächen noch nicht klar, ob TPM gut oder schlecht ist. Seien wir ehrlich – es gibt jede Menge Raubkopien.

Vergessen Sie auch nicht den menschlichen Faktor. Eine Person kann das Passwort bewusst an ihr System weitergeben, es irgendwo auf ein gelbes Blatt Papier schreiben, das sie an den Monitor klebt, oder einfach ein ganz einfaches Passwort festlegen, das nicht schwer zu erraten ist. In dieser Situation wird TPM definitiv nicht helfen. Hier kommt Software zum Einsatz, nämlich Zutrittskontrollsysteme, aber das ist eine andere Geschichte.

Hinweise:

Bevor Sie mit der Lektüre dieses Buches beginnen, sollten Sie sich mit den Maßeinheiten für Informationen befassen. Die grundlegende Informationseinheit ist ein Bit. Ein Bit kann einen von zwei Werten enthalten – entweder 0 oder 1. Acht Bits bilden ein Byte. Diese Anzahl an Bits reicht aus, um 1 Zeichen mit Nullen und Einsen zu kodieren. Das heißt, ein Byte enthält 1 Informationszeichen – einen Buchstaben, eine Zahl usw. 1024 Bytes sind ein Kilobyte (KB) und 1024 Kilobytes sind 1 Megabyte (MB). 1024 Megabyte sind 1 Gigabyte (GB) und 1024 Gigabyte sind 1 Terabyte (TB).

Bitte beachten Sie: Es ist 1024, nicht 1000. Warum wurde 1024 gewählt? Weil der Computer verwendet binäres System Notation (es gibt nur 2 Werte – 0 und 1), 2 hoch 10 ist 1024.

Nicht immer, aber oft bedeutet der Großbuchstabe „B“ bei der Angabe der Maßeinheit von Informationen „Byte“ und der Kleinbuchstabe „Bit“. Beispielsweise sind 528 MB 528 Megabit. Wenn Sie diesen Wert in Megabyte umrechnen (einfach durch 8 dividieren), erhalten Sie 66 Megabyte (66 MB).

2,5-Zoll-Festplatte Momentus 5400 FDE.2 (vollständige Festplattenverschlüsselung) von Seagate ist Teil der ASI C8015+-Laptops (der Laptop kostet etwa 2.100 US-Dollar). Die Festplatte verfügt über ein integriertes dynamisches Verschlüsselungssystem mit Hardwarebeschleunigung und TPM-Unterstützung. Darüber hinaus ist der Laptop mit einem Fingerabdruckleser ausgestattet, wodurch er etwa 20 % teurer ist als ein normaler Laptop mit der gleichen Konfiguration. Momentus-Festplattengrößen sind in den Größen 80, 100, 120 und 160 GB erhältlich. Gebraucht SATA-Schnittstelle 3 Gbit/s.

Das Hauptmerkmal von Momentus FDE.2 ist die Verschlüsselung/Entschlüsselung geschriebener und gelesener Informationen mithilfe des AES-Algorithmus mit einem 128-Bit-Schlüssel auf der DriveTrust-Firmware-Ebene. Die Datenverschlüsselung erfolgt absolut transparent, also unbemerkt für den Nutzer. Informationen werden nur in Anwendungen in offener (unverschlüsselter) Form dargestellt. Die Daten werden ausschließlich verschlüsselt auf der Festplatte gespeichert.

Typischerweise verringert der Prozess der Softwareverschlüsselung die Systemleistung erheblich (wer mit PGPDisk gearbeitet hat, versteht, wovon wir sprechen). Da im Fall von Momentus FDE.2 die Verschlüsselung jedoch auf Hardwareebene erfolgt, erhöht sich die Belastung zentraler Prozessor nur um ein paar Prozent.

Beim Booten des TPM-Systems muss der Benutzer sein Passwort eingeben. Das Passwort wird nicht nur zum Fortsetzen des Downloads benötigt, sondern auch zum Entschlüsseln der Daten. Bisher war es auch möglich, im SETUP ein Passwort festzulegen, ohne das ein Booten des Betriebssystems nicht möglich war. Sie können die Festplatte jedoch entfernen und an einen anderen Computer anschließen. Wenn keine kryptografischen Mittel verwendet wurden, war das Auslesen von Informationen von der Festplatte kein Problem. Im Fall von TPM können Sie die Informationen nicht lesen, selbst wenn Sie die Festplatte entfernen und an einen anderen Computer anschließen, da sie verschlüsselt sind und Sie das Kennwort zum Entschlüsseln nicht kennen.

Was tun, wenn der Benutzer das Passwort vergessen hat? Anschließend können Sie das Master-Passwort anwenden. Und wenn Sie das Hauptpasswort vergessen haben (oder es einfach nicht kennen), dann...

Darüber hinaus gibt es eine Crypto-Erase-Funktion, die alle Daten von der Festplatte vernichten soll. Dieser Vorgang ist erforderlich, wenn Sie eine Festplatte außer Betrieb nehmen oder an einen anderen Benutzer übertragen.