Re: [閒聊] 一般人真的有需要用到TPM功能嗎?
其實 TPM 只是一個功能簡單的小元件而已
沒有那麼多強大的功能
: TPM 是整個信賴運算的核心。TPM 幾個我認為幾個跟 DRM 有關的核心功能:
: 1. 信賴鏈:TPM 驗證 bootloader、bootloader 驗證作業系統,作業系統驗證應用程式: 。所以除非破解 TPM 晶片 本身,任何作業系統或應用程式的竄改(例如破解檔)都: 會被 TPM 直接或間接抓到,驗數位簽章就可以了。
TPM 本身不會去抓 "竄改" 這件事
它的功能很簡單,單純的算出 bootloader 或作業系統核心的 hash 值
就只有這樣而已
至於要怎麼抓 "竄改" 呢?
比如,如果我們把 bootloader 和 核心的 hash 值,拿來當作加解密用的 key
可不可以?
這樣一來,只要 bootloader 或作業系統被竄改過
hash 就會變,就無法解密 軟體或硬體加密的系統碟
( 但是 TPM 本身並不參與系統碟資料加解密的過程 )
可是這種作法有個問題,就是我只要知道系統的 hash 值
也就知道了加密用的 key,這樣顯然是很不安全的
那怎麼辦,只好用下面的 sealed storage
: 2. Sealed Storage:只有正確的軟體、硬體組合可以請求 TPM 解密。
只有在 bootloader 和作業系統的 hash 值是對的時候
才可以 unseal,拿到解密用的 key
不過只要有 root 權限,開機後 (解密後)
不管有沒有 TPM 都可以直接拿到 master key
TPM 本身不是用來加解密資料的
TPM + 軟體加密 是可行的
TPM + 支援 SED (TCG Opal) 的硬碟,也是可行的
TPM 本身沒不意味者就是使用硬體加密
它單純的是用來確認開機過程中的每一環節都沒被竄改
但是如果真的被竄改了,TPM 也不會阻止系統開機
會讓系統開不起來的是其它機制,例如無法 unseal key 所以無法解密
如果僅僅是單純在 bios 啟用 TPM,是無法享受到 TPM 的功能的
要搭配加密才會有使用 TPM 的意義
--
個人覺得 TPM最有用的其實是TRNG...
反過來說病毒讓hash值發生改變是不
是就能讓這些保護機制被觸發導致系
統無法使用?
對,沒錯,就是這樣 但是如果 bootloader 或 系統核心 被病毒改過 在 bios 時就會被 secureboot 擋下來了,開不了機了 TPM 是第二道防線 不管是 secureboot 或 TPM 的功能都是讓你發現開不了機的時候 就要提高警覺,先用別的方法解毒 (比如拆硬碟用別的系統讀之類)
跟蹤?誰想吃飽太閒跟蹤你。不過
就是在上一篇和你自己發的文章推
文在那邊你一言我一句就說我跟蹤
。你去找別篇文章我有跟蹤你喔。
你怎麼不說你在上面哀怨完後又來
這邊哀怨
喔,我是指上面那一串系列文的推
文
那我選擇不加密就不受影響,放心了
登入使用者帳戶,帳戶有綁定線上帳
號,或者僅限本地,其中有經過加密
嗎?是否無法unseal key就無法登入?
對,TPM 有可能像 windows 8 時的 secureboot 一樣 微軟只要求你的硬體有支援這個能力,並沒有強迫你一定要使用 要是 windows 11 也只是這樣要求 那麼不開 secureboot / 開了 TPM 但不使用加密 可能也可以跑 windows 11 補充說明一下,通常加密的時候,不會直接使用 TPM 中的 key 或 密碼當做 key 例如 luks 在加密的時候,會選用一個亂數,當做 master key 然後再用你的密碼,或 tpm 中的 key,去加密這個 master key 也就是你可以設定多個 key 都可以去解密,拿到這個 master key 比如儲存在 TPM 中的 key 可以直接解密 master key,再用 master key 解密系統碟 或者如果 TPM 中的 key 失效時,可以使用密碼解密 master key 而若是使用 bitlocker 的情況,則可以使用當初備份的 recovery key 解密 然後如果有登入 windows 帳號, bitlocker 會上傳一份 key 給微軟 你也可以從微軟帳號刪除這個 key ,或用別的方法讓它不要備份到微軟雲端 Apple 的 FileVault 這方面就比較好,可以一開始就選擇要不要備份 key 到 iCloud 而不是先上傳再刪除
※ 編輯: HamalAri (122.117.176.16 臺灣), 07/10/2021 08:57:39TPM一種目的是保護平台 常見做法就
是利用PCR的數值 整體目標就是讓第
三方軟體可以做一致性檢查 其中包含
BIOS配置設定與外接卡韌體(以整機為
單位) 其他應用還有像是憑證簽章,
儲存空間,加解密等 如果系統被置換
另一組合法bootloader跟kernel,那麼
還是可進到OS,只是PCR的值會跟紀錄
的不同,此時就要小心啦
怎麼聽起還不僅不能防病毒,還可以
拿來做TPM攻擊啊?隨便竄改你一個地
方,你的電腦就不能開機了
就算沒有 TPM, 光是 secureboot 也會讓你的電腦在被竄改的情況下不能開機 這些機制用來防毒的思維是,要讓系統有 tamper evident 的能力 而不是 tamper proof TPM 要防的毒,是那種電腦關機後,有心人士把你的硬碟拆下來 拿去加料,放毒放木馬,等你開機解密系統碟時,偷你的資料的毒 不是經由網路或隨身碟等途徑感染電腦的毒
※ 編輯: HamalAri (122.117.176.16 臺灣), 07/10/2021 09:37:48感覺聽起來 一般使用者 好像比較難
受惠於TPM反而容易變成正版的受害者
同意這篇的說法,TPM 沒有那麼神奇
目的是保護企業遠端操作,海削一筆
這樣微軟蘋果就不邪惡沒人想知道原
因了
跟海削一點關係都沒有 這叫怕死
感謝您的勘誤
但我還是會擔心,即使 TPM 本身不
直接幫忙加密,但只要 DRM 可以自己
加密再把金鑰鎖進 TPM
並且確保除了未竄改作業系統和官方
軟體本身外無人能開,那還是可以達
到我主文說的 TPM+DRM 的效果。
廠商要鎖住你的存取權,讓軟體拒絕
替你取出 TPM 裡的金鑰進行解密就好
對於電腦全年不關機的人根本就雞肋
然後消費者的數位內容就像bitlocker
加密但 TPM 又壞掉的硬碟,GG
目前還沒有 TPM based 的 DRM 應用出現 至少零星與 TPM 相關的案例都不是用於加解密數位內容 技術上也沒有任何採用 TPM 理由 把加密數位內容的金鑰放入 TPM 更是多此一舉,沒有任何好處
就說沒這功能了,微軟又不是蘋果
上篇文章在談數位音樂商店,啊問題
是到底有哪些數位音樂商店賣綁DRM的
音樂?當商品是不綁DRM的時候為什麼
要擔心TPM+DRM會如何呢?
現在不綁DRM不代表環境成熟後不綁啊
手握利刃殺心自起
對消費者最好的是「廠商做不到」
而不是「廠商有能力但發慈悲不做」
數位音樂是怎麼從綁DRM走向不綁DRM
的去瞭解一下好嗎XD
有在買數位音樂的人應該不會擔心...
拿熱武器比喻,要讓廠商手上沒槍
而不是讓廠商手上有槍祈禱他們不用
DRM幾十年前就能輕易做到了,不是以
後才會成熟的東西好嗎...
槍他們已經握在手上多少年誰等TPM
以前的 DRM 是軟體方案好嗎?
只要 key 在RAM/硬碟/CPU裡就能撈
所有的防拷程式都是軟體,而軟體可
以 patch
東西做在「純軟體」和「CPU 都不能
直接讀取內容的硬體」
完全是兩樣概念
DRM 也不是所有人都不用
我前陣子youtube premium下載的影片
概念是一樣的:DRM商品能不能賣
還是強制加密啊
技術好不好做都是其次
"youtube premium下載的影片"是數位
音樂商品嗎XDD
講音樂跳影片是在幹嘛...
Youtube music premium 是訂閱制的
數位音樂商品沒錯
上面有免費版沒有的音樂喔
訂閱制你還想不綁DRM可以下載自用也
太......我以為我們是在談買斷的東
西,是我跟不上你的思路......
失陪了XD
你可以說訂閱制推 DRM 有他的道理,
我不否認
我要論證的只是廠商有能力推 TPM+
DRM 而使用者無法繞過
至於廠商這樣做合不合理,那是另一
個問題
還是很感謝你與我一起討論問題
我思考迴路比較清奇請見諒了
別跳來跳去討論好嗎?
一般人其實用不到win11
現在真要綁硬體加密就賣USB驗證裝置
/硬體鎖,早就能做到了
1
: : 技術上也沒有任何採用 TPM 理由 : 把加密數位內容的金鑰放入 TPM 更是多此一舉,沒有任何好處 我本業不是資訊,TPM 相關的論文沒唸很熟,這只是隨手翻的幾篇。「把 TPM 用在 DRM 」早有人探討了22
最近很擔心這個話題 都沒人擔心 TPM 是給 DRM (數位版權管理 a.k.a 防盜版)用的嗎? 中文維基說的不錯:tinyurl.com/ybtxuh7a TPM 是整個信賴運算的核心。TPM 幾個我認為幾個跟 DRM 有關的核心功能: 1. 信賴鏈:TPM 驗證 bootloader、bootloader 驗證作業系統,作業系統驗證應用程式5
首Po有些人用電腦頂多打電動看youtube打打word 真的有必要用到TPM嗎? 不過還好有人找到破解方法 很多人卡在升級資格上都是因為TPM 2.0。不過即便沒有這些功能及硬件,Win11修改注冊9
Windows 11 to Ship Without TPM Requirement for 'Special Purpose' Systems By Paul Alcorn 24 days ago Windows 11 也有「無 TPM 版」,但只在特殊地區與經過嚴格申請後的用戶間銷售
33
[情報] Valorant開始要求Win11玩家開啟TPM與安全不止系統有限制,新遊戲也被發現將在 Win11 中同樣開啟 TPM 2.0 檢測 cnBeta 發表於 2021年9月06日 15:30 ne12
[情報] 想升級微軟Windows 11?在中國你可能做想升級微軟Windows 11?在中國你可能做不到 4小時前 美國微軟公司周二(10/5)推出全新作業系統Windows 11,在全球掀起一片升級潮,不過 在中國,許多用戶卻無法升級,因為他們的系統不支持或未啟動一種被中國政府禁止進口 的信賴平台模組(TPM)晶片。10
Fw: [心得] Bitlocker 更換系統碟 建議關閉作者: zmail (ZM) 看板: Windows 標題: [心得] Bitlocker 更換系統碟 資料被鎖定 時間: Wed Apr 27 13:40:25 2022 有把握把Bitlocker key記得好幾年的人,可以考慮開啟Bitlocker, 不然我建議是關閉它。7
[軟體] 目前Mac將無法安裝Windows 11微軟在6/24進行Windows產品線上發表會,同時也發表下一代作業系統Windows 11 但Windows 11的系統需求有許多硬體限制,主要是必須支援TPM 2.0、Secure Boot, 依照目前所公布的CPU支援清單,目前Mac只有2017年以後的機種可以支援。但Apple也從 未讓主機板支援CPU的fTPM,所以目前Mac都無法透過BootCamp來安裝Windows 114
[情報] TPM 2.0程式碼被爆2個可外洩資訊的漏洞TPM 2.0程式碼被爆2個可外洩資訊的漏洞 文/林妍溱 | 2023-03-03發表 攸關資料與身分安全的信賴平臺模組(Trusted Platform Module,TPM)2.0近日被發現參考實作程式碼有2個記憶體毁損漏洞,可造成裝置機密資料外洩,或被駭客升級權限而執行惡意程式碼。 TPM 2.0是安全密碼處理器的國際標準,旨在使用裝置中的安全硬體處理裝置上的加密金鑰,其技術規範是由信賴計算組織(Trusted Computing Group,TCG)編寫。TPM 2.0是電腦安全技術不可或缺的元素,Windows 11需要TPM2.0才能安裝,它也是生物辨識Windows Hello及加密技術BitLocker的關鍵。 兩項漏洞是由Quarks Lab研究人員發現並通報,影響TPM 2.0參考實作1.59、1.38和1.16。根據TPC指出,漏洞都是發生在TPM 2.0 CryptParameterDecryption()函式。其中一個編號CVE-2023-1018是越界讀取(out-of- bounds read),另一個CVE-2023-1017則是越界寫入。兩漏洞可被使用者模式的應用程式觸發,具備基本權限的攻擊者可傳送有加密參數的惡意TPM 2.0指令,到以問題版本實作為基礎的TPM 2.0韌體,達成攻擊目的。3
[情報] ASRock 主板支援 Windows 11 清單揭曉關於微軟最新的 Windows 11 作業系統支援度,各大主板廠商都紛紛列出自家支援的型號 而主要卡關的 TPM 2.0 功能,其實大多數主機板都支援 BIOS 內建韌體 TPM 功能 因此 ASRock 親自列出支援 Win11 的主板晶片組清單。 TPM 功能在 Intel 平台稱為「Intel Platform Trust Technology」、AMD 平台稱為「 AMD CPU fTPM」)2
[問卦] TPM 2.0 是做什麼用的?聽說現在的電腦要裝windows 11的話, 硬體要有TPM 2.0才可以安裝, TPM 2.0是做什麼用的? 有這個東西就不會中勒索病毒了嗎 有沒有卦