تعداد روزافزون کرم‌ها، ویروس‌ها و حفره‌های اولیه در سیستم‌عامل‌های مدرن و خدمات شبکه، متخصصان فناوری اطلاعات را مجبور می‌کند تا ابزارهای جدیدتری را توسعه دهند. امنیت اطلاعات. قبلاً عمدتاً از راه حل های نرم افزاری استفاده می شد - سخت افزار و نرم افزار برای همه در دسترس نبود. اکنون به لطف فناوری TPM (Trusted Platform Module)، این راه حل ها به توده ها رسیده و در دسترس همگان قرار گرفته اند. در این برنامه، در مورد اینکه TPM چیست و چرا استفاده از این فناوری در شرکت شما منطقی است، صحبت خواهیم کرد.

TPM یک میکروکنترلر است که برای اجرای عملکردهای امنیتی اولیه با استفاده از کلیدهای رمزگذاری طراحی شده است. تراشه TPM بر روی مادربرد کامپیوتر نصب شده و از طریق گذرگاه سیستم با سایر اجزای سیستم تعامل دارد.

مفهوم "ماژول های پلت فرم قابل اعتماد" (به این ترتیب مخفف TPM به روسی ترجمه می شود) متعلق به کنسرسیوم Trusted Computing Group (TCG) است که از سال 2004 وجود دارد.
خود فناوری TPM در سال 2004 ظاهر نشد، بلکه زودتر ظاهر شد. در سال 1999، Trusted Computing Platform Alliance (TCPA) ایجاد شد. این اتحاد شامل مهمترین سخت افزار و نرم افزار– IBM، HP، مایکروسافت و غیره. علیرغم برجستگی شرکت کنندگان، فعالیت های اتحاد شبیه به افسانه معروف در مورد قو، خرچنگ و پیک بود: همه "بار را روی خود کشیدند" (هر یک از اعضای اتحادیه اتحاد این حق را داشت که تصمیم سایر اعضا را لغو کند)، بنابراین TPM کاملاً آرام توسعه یافت.

(adsbygoogle = window.adsbygoogle || ).push());

در سال 2004، اتحاد TCPA به کنسرسیوم Trusted Computing Group تبدیل شد. ساختار این سازمان متفاوت بود. فقط شرکت های منتخب (که به آنها مروج گفته می شود) می توانند تصمیمات مهمی بگیرند. این شرکت ها اکنون شامل اینتل، اچ پی، آی بی ام، AMD، سیگیت، سونی، سان، مایکروسافت و وریساین هستند. شرکت های باقی مانده (بیش از هزار نفر از آنها وجود دارد) فقط حق دارند در توسعه مشخصات پیش نویس شرکت کنند یا به سادگی دسترسی زودتر به پیشرفت های جدید را دریافت کنند.
خروجی اصلی TCPA/TCG "ماژول پلتفرم قابل اعتماد" است که قبلا "تراشه فریتز" نامیده می شد. این نام به افتخار سناتور آمریکایی فریتز هولینگز گرفته شد که به دلیل حمایتش از حمایت از حق چاپ و نشر شهرت داشت. اطلاعات دیجیتال(مدیریت حقوق دیجیتال، DRM).

وظیفه اصلی TPM ایجاد است کامپیوتر امن، که در آن کلیه فرآیندهای ارتباطی، سخت افزار و نرم افزار بررسی و محافظت می شود. امنیت ارتباطات به معنای فرآیند محافظت از اتصال شبکه نیست، بلکه به معنای محافظت از فرآیند تعامل بین بخش‌های جداگانه سیستم (به عنوان مثال، سیستم عامل) است.
ماژول TPM همچنین می تواند برای تأیید صحت و اعتبار داده ها استفاده شود. فقط کاربران مجاز باید به داده ها دسترسی داشته باشند و امنیت انتقال خود اطلاعات باید تضمین شود. بررسی یکپارچگی سیستم را در برابر ویروس‌ها، کرم‌ها و سایر برنامه‌هایی که داده‌ها را بدون اطلاع کاربر تغییر می‌دهند، محافظت می‌کند.
هنگام توسعه TPM، هدف ایجاد یک ماژول فقط برای محافظت نبود کامپیوترهای شخصییا لپ تاپ های ویروسی - این تکنولوژیمی تواند برای امنیت استفاده شود تلفن های همراه، رایانه های شخصی، دستگاه های ورودی، درایوهای دیسک. همراه با آن، می توانید از دستگاه های شناسایی بیومتریک استفاده کنید. حفاظت اتصالات شبکهتوسط یک بخش جداگانه از TCG - Trusted Network Connect (TNC) اداره می شود. ما ثمرات فعالیت های TNC را در نظر نخواهیم گرفت، بلکه خود را فقط به TPM محدود می کنیم.

برای مثال می توانید تنظیم کنید HDDبا پشتیبانی TPM (شکل P37). چنین هارد دیسک هاسیگیت مدت زیادی است که آن را منتشر کرده است (Momentus 5400 FDE.2). اما سیگیت از تنها سازنده دیسک های سخت با قابلیت رمزگذاری فاصله دارد. تولیدکنندگان دیگر مانند هیتاچی نیز «درایوهای رمزنگاری» تولید می کنند. بنابراین شما یک انتخاب سخت افزار دارید (می توانید در وب سایت www.tonymcfadden.net در مورد سایر تولید کنندگان سخت افزار و نرم افزار با پشتیبانی TPM مطالعه کنید).

نحوه کار TPM

همانطور که قبلا ذکر شد، ماژول TPM به عنوان یک تراشه بر روی مادربرد پیاده سازی شده است. تراشه TPM در فرآیند بوت کامپیوتر ادغام می شود و هش سیستم را با استفاده از الگوریتم SHA1 (الگوریتم هش ایمن) بررسی می کند، این تراشه بر اساس اطلاعات مربوط به تمام اجزای کامپیوتر مانند سخت افزار (پردازنده، هارد دیسک، کارت های ویدئویی) و نرم افزار (OS).
در طول فرآیند راه‌اندازی رایانه، تراشه وضعیت سیستم را بررسی می‌کند که فقط در شرایط مجاز راه‌اندازی می‌شود، که تنها در صورت تشخیص مقدار هش صحیح امکان‌پذیر است.

راه اندازی TPM در ویندوز

راهنمای زیر نحوه استفاده از خدمات TPM را توضیح می دهد ویندوز ویستا:
http://www.oszone.net/display.php?id=4903.
ویندوز ویستا و ویندوز سرور 2008 از فناوری رمزگذاری دیسک BitLocker استفاده می کنند که ارتباط نزدیکی با ماژول های قابل اعتماد دارد (شکل A38). می‌توانید درباره راه‌اندازی BitLocker در Windows Server 2008 و Vista (شکل P39، P40) در اینجا بخوانید:
http://www.securitylab.ru/contest/300318.php; http://www.oszone.net/4934/VistaBitLocker.

سیستم های آماده با پشتیبانی TPM

کامپیوترهای آماده TPM برای مدت طولانی در بازار بوده اند: هم لپ تاپ و هم کامپیوترهای رومیزی. به طور معمول، چنین سیستم هایی توسط تولید کنندگان معروف مانند HP تولید می شوند، بنابراین قیمت آنها ممکن است کمی متورم شود (هزینه اضافی "برای نام تجاری").
به کسانی که می خواهند در هزینه خود صرفه جویی کنند می توان توصیه کرد که سخت افزار با پشتیبانی TPM خریداری کنند و همه چیز را خودشان مونتاژ کنند. مادربردهای لازم توسط بسیاری از سازندگان تولید می شوند، به عنوان مثال ASUS (M2N32-SLI Premium)، MSI (Q35MDO) و غیره (شکل A41).

چرا به TPM نیاز دارید؟

اولاً، TPM افزایش امنیت کلی سیستم و اجرای اضافی در سطح سخت افزار، محافظت در برابر ویروس ها، تروجان ها و دیگر ارواح شیطانی رایانه است. و همانطور که می دانیم، نباید از امنیت، به خصوص در یک شرکت صرفه جویی کنید.
در مرحله دوم، TPM رمزگذاری داده ها بر روی هارد دیسک است. TPM امکان داد و ستد بین امنیت و عملکرد را فراهم می کند.
از آنجایی که رمزگذاری در سخت افزار انجام می شود، عملاً هیچ تأثیری بر عملکرد وجود ندارد.
ثالثاً، با کمک TPM می‌توانید بدون رمز عبور به‌جای آن از اثر انگشت کاربر استفاده کنید. موافقم، یک راه حل کاملا موثر. دیروز چنین سیستم هایی را در فیلم های نیمه داستانی دیدیم، اما امروز آنها در حال حاضر یک واقعیت هستند.

مهم است که به یاد داشته باشید که TPM یک راه حل جهانی یا نوشدارویی برای همه مشکلات رایانه نیست. آنتی ویروس خوبو هیچ کس فایروال را لغو نکرد. TPM بیشتر برای محافظت از منافع غول های نرم افزاری توسعه یافته است: به منظور جلوگیری از اجرای نرم افزارهای بدون مجوز توسط کاربر. از این منظر، با توجه به تعداد برنامه های بدون مجوز در فضاهای باز ما، هنوز خوب یا بد بودن TPM مشخص نیست. بیایید با آن روبرو شویم - نرم افزارهای غیرقانونی زیادی وجود دارد.
همچنین عامل انسانی را فراموش نکنید. یک فرد می تواند عمدا رمز عبور را به سیستم خود بدهد یا آن را در جایی روی کاغذ زرد رنگی که به مانیتور می چسباند بنویسد یا به سادگی رمز عبور بسیار ساده ای را تعیین کند که حدس زدن آن کار دشواری نیست. در این شرایط، TPM قطعا کمکی نخواهد کرد. اینجا جایی است که نرم افزار، یعنی سیستم های کنترل دسترسی، کمک می کند، اما این داستان دیگری است.

یک ماژول پلت فرم قابل اعتماد یا TPM (ماژول پلت فرم مورد اعتماد) یک ریزتراشه جداگانه است برد سیستمرایانه ای که طیف خاصی از وظایف مربوط به رمزنگاری و امنیت رایانه را انجام می دهد.

به عنوان مثال، با استفاده از پردازشگر رمزنگاری TPM می توانید هارد دیسک کامپیوتر را رمزگذاری کنید. البته پردازنده مرکزی می تواند این کار را انجام دهد، اما پس از آن باید وظایف بیشتری را انجام دهد و سرعت رمزگذاری و رمزگشایی بسیار کمتر خواهد بود. رمزگذاری مبتنی بر سخت افزار در TPM عملاً بدون از دست دادن عملکرد اتفاق می افتد.

رمزگشایی گاهی اوقات به اشتباه رمزگشایی نامیده می شود. تفاوت بین آنها این است که هنگام رمزگشایی الگوریتم و کلید مخفی، که داده ها با آن رمزگذاری می شوند، اما نه در هنگام رمزگشایی.

TPM همچنین می تواند از اعتبارنامه ها محافظت کند و برنامه های در حال اجرا در سیستم را تأیید کند. از عفونت توسط روت کیت ها و بوت کیت ها (واریته ها) جلوگیری می کند بد افزار، که قبل از بوت شدن به کامپیوتر نفوذ می کنند سیستم عاملیا حضور خود را در سیستم مخفی می کنند و بنابراین سیستم نمی تواند آنها را شناسایی کند)، اطمینان حاصل شود که پیکربندی رایانه بدون اطلاع کاربر تغییر نمی کند.

علاوه بر این، هر ماژول رمزنگاری TPM یک شناسه منحصر به فرد دارد که مستقیماً در تراشه نوشته شده و قابل تغییر نیست. بنابراین، رمزارز را می توان برای احراز هویت در هنگام دسترسی به یک شبکه یا هر برنامه کاربردی استفاده کرد.

TPM می تواند کلیدهای رمزگذاری قوی را در صورت نیاز سیستم عامل (OS) ایجاد کند.

اما قبل از اینکه بتوانید از TPM استفاده کنید، باید آن را پیکربندی کنید. راه اندازی ماژول به چند مرحله ساده ختم می شود.

• ابتدا تراشه باید در آن فعال شود بایوس کامپیوتر(اگر فعال نشده باشد).
• در مرحله دوم، شما باید در سطح سیستم عامل مالک آن شوید.

بیایید این مراحل را با جزئیات بیشتری بررسی کنیم.

1 فعال کردن TPMدر بایوس کامپیوتر

برای فعال کردن ماژول، به بایوس بروید و به بخش امنیت بروید. اگر چه BIOS ممکن است به طور قابل توجهی متفاوت باشد بسته به کامپیوترهای مختلف، به عنوان یک قاعده، بخش دارای تنظیمات امنیتی "امنیت" نامیده می شود. در این قسمت باید گزینه ای به نام «تراشه امنیتی» وجود داشته باشد.

ماژول می تواند در سه حالت باشد:

• معلول.
• فعال و فعال نشده (غیر فعال).
• فعال و فعال (فعال).

در حالت اول در سیستم عامل قابل مشاهده نخواهد بود، در حالت دوم قابل مشاهده خواهد بود اما سیستم از آن استفاده نمی کند و در حالت سوم تراشه قابل مشاهده است و توسط سیستم استفاده خواهد شد. وضعیت را روی "فعال" تنظیم کنید.

همچنین می توانید کلیدهای قدیمی تولید شده توسط تراشه را در تنظیمات پاک کنید.

برای مثال، اگر می‌خواهید رایانه خود را بفروشید، پاک کردن TPM می‌تواند مفید باشد. لطفاً توجه داشته باشید که اگر کلیدها را پاک کنید، نمی توانید اطلاعات رمزگذاری شده توسط این کلیدها را بازیابی کنید (مگر اینکه هارد دیسک خود را رمزگذاری کنید).

اکنون تغییرات را ذخیره کنید ("ذخیره و خروج" یا کلید F10) و کامپیوتر را مجددا راه اندازی کنید.

پس از بوت شدن رایانه، Device Manager را باز کنید و مطمئن شوید که ماژول مورد اعتماد در لیست دستگاه ها ظاهر می شود. باید در بخش "دستگاه های امنیتی" باشد.

2 راه اندازی TPMروی ویندوز

تنها چیزی که باقی می ماند این است که تراشه را در سیستم عامل مقداردهی کنید. برای انجام این کار، باید Snap-in مدیریت ماژول TPM را باز کنید. روی دکمه ها کلیک کنید ویندوز + R(پنجره "Run" باز می شود)، tpm.msc را در قسمت ورودی وارد کرده و "Enter" را فشار دهید. Snap-in شروع خواهد شد "مدیریت ماژول پلتفرم مورد اعتماد (TPM) در رایانه محلی".

به هر حال، می توانید اینجا بخوانید اطلاعات تکمیلی- TPM چیست، زمانی که باید روشن و خاموش شود، رمز عبور تغییر داده شود و .... یک سری مقالات خوب به TPM در سایت مایکروسافت وجود دارد.

در سمت راست snap-in یک منوی اکشن وجود دارد. روی "Initialize TPM..." کلیک کنید. اگر این گزینه فعال نیست، تراشه شما قبلاً مقداردهی اولیه شده است. اگر توسط شما مقداردهی اولیه نشده است و رمز عبور مالک را نمی دانید، توصیه می شود حافظه ماژول را بازنشانی و پاک کنید، همانطور که در پاراگراف قبلی توضیح داده شد.

هنگامی که TPM Initialization Wizard شروع می شود، از شما می خواهد که یک رمز عبور ایجاد کنید. گزینه Automatically generate password را انتخاب کنید.

برنامه اولیه سازی TPM یک رمز عبور ایجاد می کند. آن را به عنوان یک فایل ذخیره کنید یا آن را چاپ کنید. حالا روی دکمه “Initialize” کلیک کنید و کمی صبر کنید.

پس از تکمیل، برنامه مقداردهی اولیه موفقیت آمیز ماژول را گزارش خواهد کرد. پس از تکمیل اولیه، تمام اقدامات بعدی با ماژول - غیرفعال کردن، تمیز کردن، بازیابی اطلاعات در صورت خرابی، تنظیم مجدد قفل - فقط با استفاده از رمز عبوری که به تازگی دریافت کرده اید امکان پذیر خواهد بود.

اکنون عملیات اولیه غیرفعال شده است، اما اکنون می توان TPM را غیرفعال کرد، رمز عبور مالک را تغییر داد و در صورت وقوع این اتفاق، قفل ماژول را بازنشانی کرد (ماژول خود را قفل می کند تا از تقلب یا حمله جلوگیری شود).

در واقع، اینجا جایی است که قابلیت های مدیریتی ماژول TPM به پایان می رسد. تمام عملیات های بعدی که به قابلیت های تراشه نیاز دارند به طور خودکار انجام می شوند - برای سیستم عامل شفاف و برای شما نامرئی. همه اینها باید در نرم افزار پیاده سازی شود. سیستم عامل های جدیدتر، مانند ویندوز 8 و ویندوز 10، از قابلیت های TPM بیشتر از سیستم عامل های قدیمی استفاده می کنند.

فیلسوفان گذشته دوست داشتند در مورد آزادی صحبت کنند. بنجامین فرانکلین استدلال کرد: «کسانی که حاضرند آزادی خود را برای به دست آوردن حفاظت کوتاه مدت در برابر خطر رها کنند، نه سزاوار آزادی هستند و نه امنیت». «کسی نمی تواند نه برده باشد و نه آزاد. ژان پل سارتر قاطعانه گفت: او یا آزاد است - یا اصلاً نیست. مارکسیست ها به نقل از بندیکت اسپینوزا می گویند: «آزادی یک ضرورت آگاهانه است».

آزادی چیست؟ آیا برای انسان مهم است که آزاد باشد و آیا حاضر است آزادی را با امنیت معاوضه کند؟ دلیلی که مورد توجه عموم قرار نگرفت مرا به فکر کردن در مورد این موضوع واداشت. تابستان امسال، کمیته فنی JTC1 به روش ساده شده ای که توسط رویه PAS پیش بینی شده بود، رای به تصویب داد. نسخه جدیداستاندارد ISO/IEC 11889:2015 که توسط کنسرسیوم Trusted Computing Group (TCG) که توسط شرکت های آمریکایی AMD، Cisco، HP، IBM، Intel، Microsoft و Wave Systems تأسیس شده است، ارائه شده است. و در 29 ژوئن در پورتلند، اورگان، TCG اعلام کرد که استاندارد ماژول پلتفرم مورد اعتماد (TPM) 2.0 نهایی آن به عنوان بین المللی تایید شده است.

مزایای TPM

TPM نام مشخصاتی است که یک ماژول رمزنگاری را توصیف می کند که کلیدهای رمزنگاری را برای محافظت از اطلاعات ذخیره می کند. به طور ساده تر می توان گفت: این یک ماژول امنیت اطلاعات است که قابل نصب بر روی سرورها، رایانه های شخصی، شبکه و دستگاه های تلفن همراه. از تأیید از راه دور پشتیبانی می کند و ارتباط بین سخت افزار و نرم افزارکامپیوتر.

این ماژول برای دارندگان حق چاپ مناسب است، زیرا به شما امکان می دهد مجوز نرم افزار را بررسی کنید، کپی غیرقانونی موسیقی، فیلم یا بازی های کامپیوتری. این به طور منحصر به فرد رایانه را شناسایی می کند و امکان احراز هویت کاربر را فراهم می کند. در عین حال، TPM امکان تولید کلیدها، عملکردهای هش و تولید اعداد تصادفی را فراهم می کند.

قابلیت‌های سخت‌افزار TPM از نظر قدرت بسیار محدود است و به شما اجازه نمی‌دهد مستقیماً مقادیر زیادی از داده‌ها را با سرعت بالا رمزگذاری کنید. رمزگذاری انبوه فایل ها روی دیسک ها قابل انجام است برنامه ویندوزبیت لاکر. در عین حال، کلیدهای رمزنگاری مورد استفاده خود با استفاده از TPM رمزگذاری می شوند که امکان سرقت آنها را از بین می برد.

بنابراین، TPM، در ارتباط با Windows Bitlocker، می‌تواند یک دیسک را رمزگذاری کند، از داده‌ها در صورت گم شدن یا سرقت رایانه، نرم‌افزار در برابر تغییر و آلودگی توسط ویروس‌ها و همچنین برنامه‌های بانکی و ایمیل محافظت کند.

این ماژول قادر است صحت رایانه و حتی عملکرد آن را حتی قبل از دسترسی به شبکه تأیید کند. به طور کلی، امنیت کاربران را به طور قابل توجهی افزایش می دهد، به ویژه آنهایی که دانش کمی از مسائل امنیت اطلاعات دارند و نمی توانند آنها را به تنهایی حل کنند.

در واقع، TPM یک چیز مهم و مفید است. ایمنی کاربر را به طور قابل توجهی افزایش می دهد. اما سوال قیمت امنیت مطرح می شود. اگر شخصی در خانه خود وب کم نصب کند، امنیت خانه خود را افزایش می دهد. او می تواند تمام مدت آپارتمان را از راه دور کنترل کند و در صورت ظاهر شدن دزدها با پلیس تماس بگیرد. اما اگر توانایی کنترل وب کم متوقف شود، می تواند از یک دستگاه امنیتی به یک دستگاه نظارت تبدیل شود. اطلاعات جمع آوری شده در مورد یک شخص، بر این اساس، به عنوان ابزاری برای کنترل و مدیریت استفاده می شود. و خود آپارتمان او به یک سلول تبدیل می شود، هرچند بیشتر شبیه یک سلول زندان است.

موضع آلمان

نتیجه رای کمیته فنی ISO/IEC JTC1 قابل پیش بینی بود. فقط آلمان رای مخالف داد. روسیه رای ممتنع داد، با این حال، رای "مخالف" آن هیچ تصمیمی نمی گرفت. اکثریت از موضع آمریکا حمایت کردند. یک اقدام بی سابقه نیز کمکی نکرد - ارسال نامه ای بسته به اعضای کمیته از نمایندگان رسمی وزارت کشور فدرال و وزارت فدرال اقتصاد و انرژی جمهوری فدرال آلمان با درخواست "دفن" پروژه. اطلاعات مربوط به این سند به مطبوعات آلمان درز کرد و سر و صدای زیادی به پا کرد.

در سطح ایالتی وجود چنین نامه ای از سوی مقامات آلمانی تکذیب شد، اما در این مورد چه انتظار دیگری از مقامات رسمی می توان داشت. در متن نامه آلمانی که در اختیار ویراستاران قرار دارد و در صحت آن هیچ دلیلی برای تردید نداریم، نوشته شده است که «... مشخصات ارائه شده در پیش نویس استاندارد به اندازه کافی برای تصمیم گیری توسعه نیافته است. به طور خاص، در نتیجه بررسی دقیق موضوع، دلایلی داریم که باور کنیم اجرای آنها ممکن است به طور قابل توجهی توانایی مدیریت سیستم ICT محافظت شده را کاهش دهد و همچنین به طور بالقوه منجر به شرایط مسدود شدن کامل سیستم شود که در منافع برخی از تولید کنندگان فناوری رایانه. علاوه بر این، ما معتقدیم که تأثیر بالقوه مشخصات پیشنهادی بر حریم خصوصی و امنیت فناوری اطلاعات ممکن است بسیار مشکل ساز باشد و نگران هستیم که این امر با قوانین مربوطه آلمان در تضاد باشد.

در همان زمان، متخصصان امنیت اطلاعات آلمان اصولاً با TPM مخالفت نکردند. آنها از استاندارد قبلی TPM 1.2 راضی بودند که در آن کاربر کنترل کامل بر پلتفرم خود را حفظ می کرد. ماژول TPM به سادگی می تواند غیرفعال شود. در استاندارد TPM 2.0 این دیگر کار نخواهد کرد.

علاوه بر این، آنها نگران رویکرد توسعه استاندارد بودند که فقط شرکت های آمریکایی در آن شرکت داشتند. روزنامه‌نگاران Zeit گزارش دادند که دولت آلمان تلاش کرد در توسعه TPM 2.0 شرکت کند، اما با آن مخالفت شد. آنها همچنین به همکاری فعال توسعه دهندگان استاندارد با NSA ایالات متحده اشاره کردند و ارزیابی هایی از امنیت TPM 2.0 توسط کارشناسان مستقل ارائه کردند. این نشریه هشدار داد که TPM را می توان یک درب پشتی در نظر گرفت و احتمال زیادی وجود دارد که NSA به کلیدهای رمزنگاری دسترسی داشته باشد.

دریچه ها و پنجره ها

کارشناسان اداره فدرال آلمان برای ایمنی در فناوری اطلاعات(BSI) هشدار داد که با انتقال به مشخصات TPM 2.0، این استاندارد برای همه دستگاه‌های دارای ویندوز 8.1 و بالاتر اجباری می‌شود و این تابعنمی توان آلودگی زدایی کرد

در واقع نمی توان رایانه ای با TPM 2.0 را دستگاهی تحت کنترل کامل کاربر در نظر گرفت. نگرانی هایی مطرح شده است که ویندوز 8 با TPM 2.0 می تواند به مایکروسافت اجازه دهد کامپیوتر را از راه دور از طریق یک درب پشتی داخلی کنترل کند.

کارشناسان چینی نیز در مورد هشدار آلمان مطالعه کردند. آنها مشکل را بررسی کردند، جزئیات را کشف کردند و تصمیم گرفتند. در می 2014، خبرگزاری دولتی چین، شین هوا، این ممنوعیت را گزارش کرد نصب ویندوز 8 به کامپیوترهای دولتی. و اینها به احتمال زیاد رایانه هایی هستند که نه تنها به دولت تعلق دارند، بلکه متعلق به ساختارهایی هستند که توسط دولت کنترل می شوند - بزرگترین بانک ها، شرکت های امنیت اطلاعات، مخابرات و همچنین شرکت های دیگری که می خواهند توصیه های دولت خود را دنبال کنند. .

یکی دیگر از اسناد داخلی BSI که توسط این نشریه آلمانی به دست آمده است می گوید: "ویندوز 7 را می توان تا سال 2020 به طور ایمن مدیریت کرد. پس از آن باید راه حل های دیگری برای مدیریت سیستم های فناوری اطلاعات یافت." و در سایت BSI مستقیماً نوشته شده که مکانیزم عملکرد ویندوز 8 با TPM 2.0 "می تواند برای خرابکاری توسط اشخاص ثالث استفاده شود" و کارشناسان استفاده از نسخه جدید TPM را برای سازمان های دولتی و زیرساخت های حیاتی غیرقابل قبول می دانند. بنابراین، به نظر می رسد آلمانی ها و چینی ها برای ارتقای ویندوز 7 در بخش عمومی حتی به ویندوز 8 عجله نخواهند کرد.

موضع روسیه

برای اطلاع از موضع روسیه، ما به کارشناسان - اعضای کمیته فنی ISO/IEC JTC1، شرکت‌های روسی Aquarius و Craftway و مایکروسافت برای اظهار نظر در مورد جدیت نگرانی‌های آلمان و چین در مورد استاندارد جدید مراجعه کردیم.

متأسفانه کارشناسان یا به سؤالات ما توجهی نکردند یا اعلام کردند که از پاسخگویی خودداری می کنند. تنها متخصصی که با مصاحبه موافقت کرد، یک کارشناس مستقل امنیت سایبری بود سیستم های خودکارمدیریت وادیم پودلنی.

چه چیزی در مورد TPM خوب است و چه چیزی خطرناک است؟

TPM، خواه رایج‌ترین TPM 1.2 در حال حاضر باشد یا TPM 2.0 که به طور فزاینده‌ای اجرا می‌شود، یک استاندارد فناوری است که توسط شرکت‌های بزرگ آمریکایی ترویج می‌شود. در اصل، TPM یک ماژول جداگانه است که در رایانه ها یکپارچه شده است.

در حال حاضر، علاوه بر رایانه‌های شخصی، سرورها، پایانه‌ها و روترهای شبکه، قطعات جدید زیادی به شبکه متصل شده‌ایم. اینها کنترل‌کننده‌هایی برای اتوماسیون صنعتی، دستگاه‌های اینترنت اشیا، دستگاه‌هایی هستند که مسئول سلامت انسان هستند - ضربان‌سنج‌ها، گلوکومترهایی که در ساعت‌ها تعبیه شده‌اند... به دلیل مداخله یک هکر، می‌توانند به‌طور نادرست راه‌اندازی کنند یا برعکس، به‌طور کاذب فعال شوند. ماژول های اعتماد TPM یک مشکل مهم را حل می کنند - اعتماد به داده ها، اعتماد به سیستم، تأیید درست کار کردن آن.

ایده TPM درست است. باید ماژول های استانداردی وجود داشته باشد که اهمیت حقوقی اطلاعات را تضمین کند. مفهوم خود این است: ساخت ماژولی که ساخت آن برای هکرها دشوار است و فقط یک ایالت بزرگ می تواند آن را بسازد. این مانند اسکناس است، روشی برای محافظت از پول. عیبی ندارد.

سوال متفاوت است. ویندوز 7 دارای نماد My Computer بود. در ویندوز 10 این رایانه شخصی نامیده می شود. این دیگر رایانه شما نیست. فناوری هایی بر ما تحمیل می شود که خواه ناخواه امنیت ما را تضمین می کند. به نظر می رسد که دولت ممنوعیتی را معرفی می کند و می گوید که اکنون شما مشروب نخورید، زیرا جامعه به سربازان سالم نیاز دارد. پس اینجاست.

اگر رایانه شما ضبط شده است، به این معنی است که شخصی برای چیزی به آن نیاز دارد. شاید برای اینکه مراقب شما باشم اگر نمی توانید این عملکرد را غیرفعال کنید، پس یک ویژگی امنیتی نیست. وسیله ای غیرفعال برای حمله است. جمع آوری اطلاعات یافتن نقطه ای برای حمله است. مایکروسافت کامپیوتر شما را به خاطر پول شما می برد. سیستم عامل خود را به شما می فروشد و کنترل را از شما می گیرد.

آیا می توان بررسی کرد که آیا یک ماژول TPM دارای درب پشتی است یا خیر؟

شما می توانید استاندارد را تجزیه و تحلیل کنید. اما وقتی کامپیوتری با ماژول TPM لحیم شده به مادربردش که در شرکتی که شما کنترل می‌کنید ساخته نشده است، به سراغ شما می‌آید، نمی‌دانید داخل آن چیست. آنها می توانند هر چیزی را در آنجا اضافه کنند.

اما آیا می توانید به هر پردازنده یا کنترل کننده ای یک نشانک اضافه کنید؟

بله حتما. و رویکرد باید یکسان باشد. در سیستم‌های نظامی، تنظیم‌کننده‌ها هرگز اجازه استفاده از تراشه‌های ساخته‌شده توسط افراد ناشناس را حتی بر اساس یک استاندارد باز نمی‌دهند. به همین دلیل است که ما پردازنده‌های «بایکال» و «البروس» را داریم. نیروهای مهندسی روسیه برای طراحی TPM خود کافی است. ما هنوز نمی توانیم آن را در کارخانه هایمان بسازیم. پردازنده هم همینطور. اما ما می‌توانیم طراحی کنیم، و سپس بررسی کنیم که آیا آن‌ها این کار را به روشی که ما نیاز داشتیم انجام داده‌اند یا چیزی در آنجا اضافه شده است. چنین مکانیزمی قبلاً اجازه استفاده از TPM را می دهد.

حالا که TPM خودمان را نداریم چه کنیم؟

آنالوگ های رایج TPM که تا حد زیادی نقش آن را ایفا می کنند، ماژول های راه اندازی قابل اعتماد سخت افزاری هستند. آنها حتی اکنون که TPM ها روی مادربردها ظاهر شده اند استفاده می شوند.

همچنین امکان تغییر BIOS وجود دارد و فناوری UEFI ظاهر شده است، استانداردی که به شما امکان می دهد ماژول های قابل اعتماد بوت را به صورت برنامه ریزی شده ایجاد کنید. در واقع، آنها می توانند میزبان برنامه هایی باشند که عملکرد TPM را تقلید می کنند، کاری که در بسیاری از پیشرفت ها انجام می شود. به عنوان مثال، در سیستم عامل seOS، تایید شده توسط FSB.

در مورد ماژول TPM روسیه چطور؟

ما هنوز در روسیه شرکت هایی داریم که برای پروژه های خود مادربرد سفارش می دهند. به عنوان مثال، Aquarius، Craftway، T-Platforms، MCST و دیگران. هر کدام از آنها کاملاً قادر به طراحی ماژول TPM خود هستند. و احتمالاً در آینده نزدیک با پشتیبانی از الگوریتم های رمزنگاری GOST داخلی ایجاد خواهد شد. و این نه تنها برای شرکت های دفاعی، بلکه برای طیف گسترده ای از مصرف کنندگان که موظف به رعایت مفاد قانون 152-FZ "در مورد داده های شخصی" هستند نیز مهم است.

چرا آلمانی ها به شدت با استاندارد TPM 2.0 مخالفت کردند؟

بسیار ساده. آنها می خواهند از داده ها و فناوری خود در برابر ایالات متحده محافظت کنند. یادتان هست چه زمانی SUSE Linux پا به عرصه وجود گذاشت؟ این اتفاق پس از آن رخ داد که مشخص شد هنگامی که اسناد از یک بخش بوندسوره به بخش دیگر منتقل می شد، اطلاعات ابتدا به آژانس امنیت ملی آمریکا ختم شد. سپس SUSE Linux در آلمان ایجاد شد و بخش به کار با این سیستم عامل منتقل شد.

در لینوکس، با شروع هسته 3.2، پشتیبانی از TPM 2.0 نیز اعلام شد. اما می توان آن را خاموش کرد. اما در سیستم عامل ویندوز نمی توانید بالاتر از هشت بروید. ویندوز یک سیستم عامل بسیار کاربرپسند است. فوق العاده فکر شده ده ها هزار برنامه نویس کار می کنند تا آن را برای کاربران راحت و راحت کنند. اما هر تغییری که به شما تحمیل شود و بگویند برای امنیت شماست، آزاردهنده است. و متخصصان و مسئولان و دولت ها.

برای اینکه از TPM نترسید، باید تحقیقات خاصی انجام دهید، بررسی کنید و بفهمید که آیا چیزی خطرناک در آنجا وجود دارد یا خیر. این یک روش کاملا استاندارد است. گاهی اوقات در محل در محل تولید انجام می شود. زمانی که نمایندگان یک کشور به کشور سازنده می آیند و مدتی در تولید می نشینند و فرآیندها را درک می کنند، این یک رویه عادی است.

و چه کسی این کار را انجام خواهد داد؟

این ممکن است برای شرکت های تجاری بزرگ جالب باشد. من فکر می کنم برخی از کارهای تحقیقاتی در این قالب در حال حاضر در حال انجام است. اما دولت فوراً به این موضوع علاقه مند نیست، زیرا رمزنگاری ما وجود ندارد، بنابراین ماژول های موجود برای صنایع دفاعی مناسب نیستند.

آیا امکان استفاده از کامپیوتر با TPM در سازمان های دولتی وجود دارد؟

موضوع استفاده از TPM در سازمان های دولتی بسیار پیچیده است. فکر می کنم در نسخه های بعدی TPM امکان جایگزینی الگوریتم های رمزنگاری وجود داشته باشد. اکنون می توانید دوباره بایوس را فلش کنید و اجزای خود را اضافه کنید. این مورد در TPM خواهد بود. مربوط به استفاده فعلیدر بخش دولتی - خیلی زود است که در مورد آن صحبت کنیم. اما شما باید در مورد امکان اجرای استاندارد خود تحقیق کنید. همچنین لازم است در توسعه نسخه بعدی آن شرکت کنید. تا بتوانیم رمزنگاری خود را در TPM شخص دیگری جاسازی کنیم.

... به طور کلی، موضع روشن است. TPM سطح جدیدی در امنیت است. دولت به نوعی در صنایع دفاعی مشکل را حل می کند و بقیه از آنچه دارند استفاده می کنند. در بیشتر موارد، TPM از شما در برابر هکرهای وحشی محافظت می کند (در موارد حفاظتی که TPM ارائه می دهد)، اما از توجه برادر بزرگتربه هر حال نمی توانید به جایی برسید

خود کنسرسیوم که به عنوان یک پروژه کاملاً آمریکایی شروع شد، در حال گسترش است. که در در حال حاضر TCG دارای 11 عضو با وضعیت Promoter (AMD، Cisco، Fujitsu، HP، IBM، Infenion، Intel، Juniper، Lenovo، Microsoft و Wave Systems) و 74 عضو با وضعیت Contributor است. شرکت های ژاپنی و چینی در این لیست ها ظاهر شدند. اما هنوز هیچ نماینده ای از روسیه در آنجا وجود ندارد.

آزادی یا امنیت؟ دوران اگزیستانسیالیست‌های سارتر و کامو که «راه‌های آزادی» را برگزیدند و فردی آزاد را که بر لبه‌ی «هیچ» ایستاده بود مطالعه کردند، در کنار قرن گذشته به گذشته‌ها می‌ماند. اکثر مردم ایمنی را انتخاب کردند. و حالا فقط در مورد طول افسار بحث می کند. بنابراین برای کاربر انبوه مشکل TPM وجود ندارد. اما دولت نباید نسبت به این موضوع که سازمان‌های دولتی آن بر چه کسی هستند بی‌تفاوت باشد. و شهروندان آن نیز.

ماژول های Trusted Platform تراشه های کوچکی هستند که از داده ها محافظت می کنند و چندین سال است که در رایانه ها، کنسول ها، تلفن های هوشمند، تبلت ها و گیرنده ها استفاده می شوند. در حال حاضر، تقریباً یک میلیارد دستگاه به تراشه‌های TPM مجهز هستند که 600 میلیون آن را رایانه‌های شخصی اداری تشکیل می‌دهند.

از سال 2001، حامیان "تئوری توطئه" شروع به در نظر گرفتن تراشه ها به عنوان یک ابزار کنترلی کردند که ظاهراً اجازه می دهد تا حقوق کاربر را محدود کند: از نظر تئوری، تراشه های TPM می توانند به عنوان مثال برای محدود کردن کپی غیرقانونی فیلم ها و موسیقی استفاده شوند. در 12 سال گذشته حتی یک مورد همچین موردی وجود نداشته است. علاوه بر این، ویندوز از یک ماژول مشابه استفاده می کند بوت امنو رمزگذاری داده های سختدرایو با استفاده از BitLocker. بنابراین، TPM مزیتی در مبارزه با بدافزارها و سرقت داده ها فراهم می کند.

با وجود همه اینها، مشخصات نسخه 2.0 توجه زیادی را به خود جلب کرده است، زیرا تراشه های TPM اکنون "به طور پیش فرض" فعال هستند (قبلاً کاربر مجبور بود خود آنها را فعال کند). ظاهراً به زودی یافتن دستگاه‌های موجود در فروش بدون TPM 2.0 دشوار خواهد بود، زیرا مایکروسافت معیارهای صدور گواهینامه ویندوز را بر این اساس تغییر داده است. از سال 2015، استاندارد TPM 2.0 برای همه اجباری است، در غیر این صورت سازنده سخت افزارتاییدیه گواهی تکمیل شده را دریافت نخواهد کرد.

مدیر TPM در پنجره پنل مدیریت ویندوزوضعیت و نسخه تراشه TPM را نمایش می دهد

تراشه TPM امنیت سیستم عامل را تضمین می کند

بیشترین راه موثرحفاظت از سیستم، از بین بردن امکان نفوذ هکرها، استفاده از تراشه سخت افزاری TPM است. این یک "کامپیوتر درون یک کامپیوتر" کوچک است: یک ماژول قابل اعتماد با پردازنده خاص خود، رم، درایو و رابط ورودی/خروجی.

هدف اصلی TPM ارائه خدمات ایمن تضمین شده به سیستم عامل است. به عنوان مثال، تراشه‌های TPM کلیدهای رمزنگاری را ذخیره می‌کنند که برای رمزگذاری داده‌ها روی هارد دیسک استفاده می‌شوند. علاوه بر این، ماژول هویت کل پلتفرم را تأیید می کند و سیستم را برای تداخل احتمالی هکرها در عملکرد سخت افزار بررسی می کند. در عمل، TPM در پشت سر هم با UEFI بوت امنفرآیند راه اندازی سیستم عامل کاملاً محافظت شده و ایمن را در اختیار کاربر قرار می دهد.

مرحله ای که نرم افزار شخص ثالث بارگذاری می شود ( اسکنر آنتی ویروسمایکروسافت آن را به عنوان Boot اندازه گیری شده معرفی می کند. مایکروسافت امضای خود را برای درایور ELAM (Early Launch Anti-Malware) از توسعه دهندگان نرم افزار آنتی ویروس ارائه می کند. در صورت عدم وجود، UEFI فرآیند بوت را قطع می کند. هسته هنگام راه اندازی، محافظت از آنتی ویروس را بررسی می کند. اگر درایور ELAM آزمون را با موفقیت پشت سر بگذارد، کرنل درایورهای دیگر را معتبر می‌شناسد. این امکان تأثیر روت کیت ها بر روند را از بین می برد بوت شدن ویندوزو هنگامی که اسکنر ویروس هنوز فعال نیست "از موقعیت استفاده کنید".

مشخصات قبلی TPM 1.2 از فناوری قدیمی با الگوریتم‌های رمزگذاری RSA-2048 و SHA-1 استفاده می‌کرد که در سخت‌افزار پیاده‌سازی شده بودند (الگوریتم دومی ناامن در نظر گرفته می‌شود). به جای استفاده از الگوریتم های کاملاً تعریف شده در تراشه های TPM، نسخه 2.0 می تواند روش های رمزگذاری متقارن و نامتقارن را ارائه دهد. به عنوان مثال، SHA-2، HMAC، ECC و AES در حال حاضر در دسترس هستند. علاوه بر این، TPM 2.0 می تواند برای پشتیبانی از الگوریتم های رمزنگاری جدید به روز شود.

رویکرد استفاده از کلیدها نیز تغییر کرده است. در حالی که قبلا از دو کلید رمزنگاری ثابت به عنوان پایه و اساس همه خدمات ارائه شده استفاده می شد، TPM 2.0 با اعداد تصادفی بسیار بزرگ - به اصطلاح seeds - کار می کند. در این حالت کلیدهای لازم از طریق توابع ریاضی با استفاده از اعداد اولیه به عنوان داده ورودی تولید می شوند. TPM 2.0 همچنین امکان تولید کلیدها را برای یک بار مصرف فراهم می کند.

تعداد روزافزون کرم‌ها، ویروس‌ها و حفره‌های اولیه در سیستم‌های عامل مدرن و خدمات شبکه، متخصصان فناوری اطلاعات را مجبور می‌کند تا ابزارهای امنیتی اطلاعات جدیدتری را توسعه دهند. قبلاً عمدتاً از راه حل های نرم افزاری استفاده می شد - سخت افزار و نرم افزار برای همه در دسترس نبود. اکنون به لطف فناوری TPM (Trusted Platform Module)، این راه حل ها به توده ها رسیده و در دسترس همگان قرار گرفته اند. در این برنامه، در مورد اینکه TPM چیست و چرا استفاده از این فناوری در شرکت شما منطقی است، صحبت خواهیم کرد.

TPM یک میکروکنترلر است که برای اجرای عملکردهای امنیتی اولیه با استفاده از کلیدهای رمزگذاری طراحی شده است. تراشه TPM بر روی مادربرد کامپیوتر نصب شده و از طریق گذرگاه سیستم با سایر اجزای سیستم تعامل دارد.

مفهوم "ماژول های پلت فرم قابل اعتماد" (به این ترتیب مخفف TPM به روسی ترجمه می شود) متعلق به کنسرسیوم Trusted Computing Group (TCG) است که از سال 2004 وجود دارد.

خود فناوری TPM در سال 2004 ظاهر نشد، بلکه زودتر ظاهر شد. در سال 1999، Trusted Computing Platform Alliance (TCPA) ایجاد شد. این اتحاد شامل مهمترین توسعه دهندگان سخت افزار و نرم افزار - IBM، HP، مایکروسافت و غیره بود. علیرغم برجسته بودن شرکت کنندگان، فعالیت های اتحاد یادآور افسانه معروف در مورد قو، خرچنگ و پیک بود: همه. "بار را بر روی خود کشیدند" (هر یک از اعضای اتحاد حق داشتند تصمیم سایر اعضا را لغو کنند)، بنابراین TPM نسبتاً کند توسعه یافت.

در سال 2004، اتحاد TCPA به یک کنسرسیوم تبدیل شد Trusted ComputingGroup. ساختار این سازمان متفاوت بود. فقط شرکت های منتخب (که به آنها مروج گفته می شود) می توانند تصمیمات مهمی بگیرند. چنین شرکت هایی در حال حاضر هستند اینتل، اچ پی، IBM، AMD، سیگیت، سونی، سان، مایکروسافتو Verisign. شرکت های باقی مانده (بیش از هزار نفر از آنها وجود دارد) فقط حق دارند در توسعه مشخصات پیش نویس شرکت کنند یا به سادگی دسترسی زودتر به پیشرفت های جدید را دریافت کنند.

خروجی اصلی TCPA/TCG "ماژول پلتفرم قابل اعتماد" است که قبلا "تراشه فریتز" نامیده می شد. این نام به افتخار سناتور آمریکایی فریتز هولینگز، که به دلیل حمایتش از مدیریت حقوق دیجیتال (DRM) شناخته می شود، گرفته شد.

وظیفه اصلی TPM ایجاد یک کامپیوتر امن است که در آن کلیه فرآیندهای ارتباطی و همچنین سخت افزار و نرم افزار بررسی و محافظت می شود. امنیت ارتباطات به معنای فرآیند محافظت از اتصال شبکه نیست، بلکه به معنای محافظت از فرآیند تعامل بین بخش‌های جداگانه سیستم (به عنوان مثال، سیستم عامل) است.

ماژول TPM همچنین می تواند برای تأیید صحت و اعتبار داده ها استفاده شود. فقط کاربران مجاز باید به داده ها دسترسی داشته باشند و امنیت انتقال خود اطلاعات باید تضمین شود. بررسی یکپارچگی سیستم را در برابر ویروس‌ها، کرم‌ها و سایر برنامه‌هایی که داده‌ها را بدون اطلاع کاربر تغییر می‌دهند، محافظت می‌کند.

هنگام توسعه TPM، هدف ایجاد یک ماژول فقط برای محافظت از رایانه های شخصی یا لپ تاپ ها در برابر ویروس ها نبود - این فناوری می تواند برای اطمینان از امنیت تلفن های همراه، PDA ها، دستگاه های ورودی و درایوهای دیسک استفاده شود. همراه با آن، می توانید از دستگاه های شناسایی بیومتریک استفاده کنید.

حفاظت از اتصالات شبکه توسط یک بخش جداگانه از TCG - Trusted Network Connect (TNC) انجام می شود. ما ثمرات فعالیت های TNC را در نظر نخواهیم گرفت، بلکه خود را فقط به TPM محدود می کنیم.

منطقی است که فرض کنیم خود تراشه TPM روی مادربرد چیزی را حل نمی کند. ما نیاز به پشتیبانی از بقیه سخت افزار و ریاضی - نرم افزار داریم.

به عنوان مثال، می توانید یک هارد دیسک با پشتیبانی TPM نصب کنید (شکل A37). چنین هارد دیسک هایی برای مدت طولانی تولید شده اند سیگیت(Momentus 5400 FDE.2). ولی سیگیتاز تنها تولید کننده هارد دیسک با عملکرد رمزگذاری فاصله دارد. تولیدکنندگان دیگر مانند هیتاچی نیز «درایوهای رمزنگاری» تولید می کنند. بنابراین شما یک انتخاب سخت افزار دارید (می توانید در وب سایت www.tonymcfadden.net در مورد سایر تولید کنندگان سخت افزار و نرم افزار با پشتیبانی TPM مطالعه کنید).

در مورد سیستم عامل، فناوری TPM توسط اکثر سیستم عامل های مدرن پشتیبانی می شود - ویندوز ویستا، ویندوز مایکروسافتسرور 2003 SP1، Microsoft Windows XP SP2، Windows XP Professional x64، SUSE Linux (از نسخه 9.2) و لینوکس سازمانی(شروع از نسخه 3 به روز رسانی 3).

همانطور که قبلا ذکر شد، ماژول TPM به عنوان یک تراشه بر روی مادربرد پیاده سازی شده است. تراشه TPM در فرآیند بوت کامپیوتر ادغام می شود و هش سیستم را با استفاده از الگوریتم SHA1 (الگوریتم هش ایمن) بررسی می کند؛ این تراشه بر اساس اطلاعات مربوط به تمام اجزای کامپیوتر، اعم از سخت افزار (پردازنده، هارد دیسک، کارت گرافیک) و نرم افزار محاسبه می شود. سیستم عامل).

در طول فرآیند راه‌اندازی رایانه، تراشه وضعیت سیستم را بررسی می‌کند که فقط در شرایط مجاز راه‌اندازی می‌شود، که تنها در صورت تشخیص مقدار هش صحیح امکان‌پذیر است.

راهنمای زیر نحوه استفاده از خدمات TPM در ویندوز ویستا را شرح می دهد:

ویندوز ویستا و ویندوز سرور 2008 از فناوری رمزگذاری دیسک BitLocker استفاده می کنند که ارتباط نزدیکی با ماژول های قابل اعتماد دارد (شکل A38). می‌توانید درباره راه‌اندازی BitLocker در Windows Server 2008 و Vista (شکل P39، P40) در اینجا بخوانید:

کامپیوترهای آماده TPM برای مدت طولانی در بازار بوده اند: هم لپ تاپ و هم کامپیوترهای رومیزی. به طور معمول، چنین سیستم هایی توسط تولید کنندگان معروف مانند HP تولید می شوند، بنابراین قیمت آنها ممکن است کمی متورم شود (هزینه اضافی "برای نام تجاری").

به کسانی که می خواهند در هزینه خود صرفه جویی کنند می توان توصیه کرد که سخت افزار با پشتیبانی TPM خریداری کنند و همه چیز را خودشان مونتاژ کنند. مادربردهای لازم توسط بسیاری از سازندگان تولید می شوند، به عنوان مثال ASUS (M2N32-SLI Premium)، MSI (Q35MDO) و غیره (شکل A41).

برنج. P41. مادری برد ایسوس M2N32-SLI Premium (با پشتیبانی TPM)

اولاً، TPM افزایش امنیت کلی سیستم و اجرای اضافی در سطح سخت افزار، محافظت در برابر ویروس ها، تروجان ها و دیگر ارواح شیطانی رایانه است. و همانطور که می دانیم، نباید از امنیت، به خصوص در یک شرکت صرفه جویی کنید.

در مرحله دوم، TPM رمزگذاری داده ها بر روی هارد دیسک است. TPM امکان داد و ستد بین امنیت و عملکرد را فراهم می کند.

از آنجایی که رمزگذاری در سخت افزار انجام می شود، عملاً هیچ تأثیری بر عملکرد وجود ندارد.

ثالثاً، با کمک TPM می‌توانید بدون رمز عبور به‌جای آن از اثر انگشت کاربر استفاده کنید. موافقم، یک راه حل کاملا موثر. دیروز چنین سیستم هایی را در فیلم های نیمه داستانی دیدیم، اما امروز آنها در حال حاضر یک واقعیت هستند.

مهم است که به یاد داشته باشید که TPM یک راه حل جهانی یا نوشدارویی برای همه مشکلات رایانه نیست. هیچ کس یک آنتی ویروس و فایروال خوب را لغو نکرده است. TPM بیشتر برای محافظت از منافع غول های نرم افزاری توسعه یافته است: به منظور جلوگیری از اجرای نرم افزارهای بدون مجوز توسط کاربر. از این منظر، با توجه به تعداد برنامه های بدون مجوز در فضاهای باز ما، هنوز خوب یا بد بودن TPM مشخص نیست. بیایید با آن روبرو شویم - نرم افزارهای غیرقانونی زیادی وجود دارد.

همچنین عامل انسانی را فراموش نکنید. یک فرد می تواند عمدا رمز عبور را به سیستم خود بدهد یا آن را در جایی روی کاغذ زرد رنگی که به مانیتور می چسباند بنویسد یا به سادگی رمز عبور بسیار ساده ای را تعیین کند که حدس زدن آن کار دشواری نیست. در این شرایط، TPM قطعا کمکی نخواهد کرد. اینجا جایی است که نرم افزار، یعنی سیستم های کنترل دسترسی، کمک می کند، اما این داستان دیگری است.

یادداشت:

قبل از شروع خواندن این کتاب، ارزش دارد در مورد واحدهای اندازه گیری اطلاعات صحبت کنید. واحد اصلی اطلاعات یک بیت است. یک بیت می تواند شامل یکی از دو مقدار باشد - 0 یا 1. هشت بیت یک بایت را تشکیل می دهند. این تعداد بیت برای رمزگذاری 1 کاراکتر با استفاده از صفر و یک کافی است. یعنی یک بایت حاوی 1 کاراکتر اطلاعات است - یک حرف، یک عدد و غیره. 1024 بایت یک کیلوبایت (KB) و 1024 کیلوبایت یک مگابایت (MB) است. 1024 مگابایت 1 گیگابایت (گیگابایت) و 1024 گیگابایت یک ترابایت (ترابایت) است.

لطفا توجه داشته باشید: 1024 است نه 1000. چرا 1024 انتخاب شد؟ زیرا کامپیوتر استفاده می کند سیستم دودویینمادگذاری (فقط 2 مقدار وجود دارد - 0 و 1)، 2 تا توان 10 1024 است.

نه همیشه، اما اغلب، حرف بزرگ "B" هنگام نشان دادن واحد اندازه گیری اطلاعات به معنای "بایت" و حرف کوچک "بیت" است. به عنوان مثال، 528 مگابایت، 528 مگابایت است، اگر این مقدار را به مگابایت تبدیل کنید (فقط بر 8 تقسیم کنید)، 66 مگابایت (66 مگابایت) به دست می آید.

هارد 2.5 اینچی Momentus 5400 FDE.2 (رمزگذاری کامل دیسک) از سیگیتبه عنوان بخشی از لپ‌تاپ‌های ASI C8015+ عرضه می‌شود (قیمت لپ‌تاپ تقریباً 2100 دلار است). هارد دیسک دارای یک سیستم رمزگذاری پویا داخلی با شتاب سخت افزاری و پشتیبانی از TPM است. علاوه بر این، این لپ‌تاپ دارای حسگر اثر انگشت است که باعث می‌شود 20 درصد گران‌تر از یک لپ‌تاپ معمولی با همان پیکربندی باشد. اندازه هارد دیسک Momentus در اندازه های 80، 100، 120 و 160 گیگابایت موجود است. استفاده شده رابط SATA 3 گیگابیت بر ثانیه

ویژگی اصلی Momentus FDE.2 رمزگذاری/رمزگشایی اطلاعات نوشته شده و خوانده شده با استفاده از الگوریتم AES با کلید 128 بیتی در سطح سیستم عامل DriveTrust است. رمزگذاری داده ها کاملاً شفاف انجام می شود ، یعنی برای کاربر نامرئی است. اطلاعات به صورت باز (غیر رمزگذاری نشده) فقط در برنامه ها ارائه می شود. داده ها فقط به صورت رمزگذاری شده روی هارد دیسک ذخیره می شوند.

به طور معمول، فرآیند رمزگذاری نرم افزار به طور قابل توجهی عملکرد سیستم را کاهش می دهد (کسانی که با PGPDisk کار کرده اند متوجه می شوند که در مورد چه چیزی صحبت می کنیم). اما از آنجایی که در مورد Momentus FDE.2 رمزگذاری در سطح سخت افزار انجام می شود، این باعث افزایش بار می شود. پردازنده مرکزیفقط با چند درصد

هنگام بوت شدن سیستم TPM کاربر باید رمز عبور خود را وارد کند. رمز عبور نه تنها برای ادامه دانلود، بلکه برای رمزگشایی داده ها نیز مورد نیاز است. قبلاً امکان تنظیم رمز عبور در SETUP وجود داشت که بدون آن امکان بوت کردن سیستم عامل وجود نداشت. اما می توانید هارد دیسک را بردارید و آن را به کامپیوتر دیگری متصل کنید. اگر از هیچ ابزار رمزنگاری استفاده نمی شد، خواندن اطلاعات از هارد دیسک مشکلی نداشت. در مورد TPM، حتی اگر HDD را بردارید و آن را به رایانه دیگری متصل کنید، نمی توانید اطلاعات را بخوانید زیرا رمزگذاری شده است و رمز عبور رمزگشایی آن را نمی دانید.

اگر کاربر رمز عبور را فراموش کرده باشد چه باید کرد؟ سپس می توانید رمز اصلی را اعمال کنید. و اگر رمز عبور اصلی را فراموش کرده اید (یا به سادگی آن را نمی دانید)، پس ...

علاوه بر این، یک تابع crypto-erase وجود دارد که برای از بین بردن تمام داده های هارد دیسک طراحی شده است. این عملیات هنگام از کار انداختن هارد دیسک یا انتقال آن به کاربر دیگر ضروری است.