WEBVTT

00:00.090 --> 00:01.050
المدرب: في هذا

00:01.050 --> 00:04.530
الدرس، سنتحدث عن وحدة النظام الأساسي الموثوق

00:04.530 --> 00:07.350
به أو TPM ووحدة أمان الأجهزة أو HSM الموجودة

00:07.350 --> 00:09.750
كجزء من UEFI لديك.

00:09.750 --> 00:11.310
لكن أولاً، أريد أن أقدم

00:11.310 --> 00:14.790
لكم جهاز Root of Trust، المعروف باسم RoT.

00:14.790 --> 00:17.070
أصبح الآن جذر الثقة في الأجهزة هو الأساس

00:17.070 --> 00:20.850
الذي تعتمد عليه جميع العمليات الآمنة لنظام الحوسبة.

00:20.850 --> 00:23.580
فهو يحتوي على المفاتيح المستخدمة لوظائف

00:23.580 --> 00:26.100
التشفير ويتيح عملية تمهيد آمنة.

00:26.100 --> 00:27.540
وهذا أمر موثوق به بطبيعته

00:27.540 --> 00:30.600
وبالتالي يجب أن يكون آمنًا حسب التصميم.

00:30.600 --> 00:32.100
أصبح الآن "جذر الثقة في الأجهزة"

00:32.100 --> 00:35.550
عبارة عن وحدة تشفير مضمنة داخل نظام كمبيوتر يمكنه اعتماد

00:35.550 --> 00:37.470
التنفيذ الموثوق به والمصادقة

00:37.470 --> 00:40.380
على إعدادات التمهيد ومقاييسه.

00:40.380 --> 00:42.570
قد يبدو هذا مفهومًا معقدًا ولكنك

00:42.570 --> 00:45.210
تستخدم جذر الثقة طوال الوقت.

00:45.210 --> 00:48.480
في الواقع، تعد وحدة TPM الموجودة داخل UEFI بجهاز الكمبيوتر

00:48.480 --> 00:50.760
الخاص بك بمثابة جذر ثقة للأجهزة.

00:50.760 --> 00:53.100
بشكل أساسي، سيتم استخدام جذر الثقة

00:53.100 --> 00:55.230
لفحص مقاييس التمهيد للنظام وملفات

00:55.230 --> 00:56.850
نظام التشغيل.

00:56.850 --> 00:57.960
ومن ثم يمكن لجذر الثقة

00:57.960 --> 01:00.300
إرسال تقرير إلى المعالج الذي تم توقيعه

01:00.300 --> 01:03.000
رقميًا باستخدام شهادة جذر الثقة للإشارة

01:03.000 --> 01:05.340
إلى أنه يمكن الوثوق به.

01:05.340 --> 01:07.410
في الأساس، يعد جذر الثقة هذا بمثابة

01:07.410 --> 01:08.940
شهادة رقمية، ولكنه مضمن

01:08.940 --> 01:11.370
داخل الشريحة الخاصة بك كجزء من البرامج

01:11.370 --> 01:13.920
الثابتة على نظامك.

01:13.920 --> 01:16.680
الآن، جذر الثقة للأجهزة الأكثر استخدامًا هو

01:16.680 --> 01:19.500
وحدة النظام الأساسي الموثوق به أو TPM الموجودة

01:19.500 --> 01:21.570
داخل جهاز الكمبيوتر الخاص بك.

01:21.570 --> 01:24.570
TPM عبارة عن مواصفات للتخزين المعتمد على الأجهزة

01:24.570 --> 01:27.660
للشهادات الرقمية والمفاتيح وتجزئة كلمة المرور وغيرها

01:27.660 --> 01:31.080
من معلومات تعريف المستخدم والنظام الأساسي.

01:31.080 --> 01:33.810
يتم ترميز كل معالج دقيق TPM بمفتاح

01:33.810 --> 01:35.880
فريد وغير قابل للتغيير يشار

01:35.880 --> 01:39.180
إليه باسم مفتاح المصادقة أو EK.

01:39.180 --> 01:42.120
سيستخدم نظامك TPM ومفتاحه لضمان عدم التلاعب

01:42.120 --> 01:45.420
بالبرامج الثابتة للنظام ومحمل التمهيد ونواة نظام

01:45.420 --> 01:47.640
التشغيل أو تعديلها باستخدام وظائف

01:47.640 --> 01:49.440
مختلفة متعددة يتم إجراؤها داخل

01:49.440 --> 01:52.230
وحدة النظام الأساسي الموثوق بها.

01:52.230 --> 01:56.340
أولاً، يوفر TPM طريقة آمنة للإدخال والإخراج.

01:56.340 --> 01:59.430
ثانيًا، يوجد بداخله معالج تشفير يوفر

01:59.430 --> 02:02.010
مولد أرقام عشوائيًا حقيقيًا.

02:02.010 --> 02:04.650
يحتوي TPM أيضًا على مولد مفتاح RSA،

02:04.650 --> 02:06.330
ومولد تجزئة SHA-1، ومحرك

02:06.330 --> 02:09.570
توقيع التشفير وفك التشفير.

02:09.570 --> 02:10.950
بالإضافة إلى كل ذلك،

02:10.950 --> 02:13.320
يحتوي TPM أيضًا على ذاكرة ثابتة

02:13.320 --> 02:16.170
تحتوي على مفتاح رقمي يُعرف باسم مفتاح

02:16.170 --> 02:19.680
المصادقة ومفتاح جذر تخزين يُعرف باسم SRK.

02:19.680 --> 02:22.320
الآن، يحتوي TPM أيضًا على ذاكرة متعددة

02:22.320 --> 02:24.150
الاستخدامات موجودة بداخله،

02:24.150 --> 02:27.180
وهذا يتضمن سجلات تكوين النظام الأساسي أو PCRs،

02:27.180 --> 02:31.620
ومفاتيح هوية التصديق أو AIKs، ومفاتيح التخزين.

02:31.620 --> 02:33.600
الآن هناك الكثير من الوظائف

02:33.600 --> 02:35.880
داخل شريحة TPM الصغيرة.

02:35.880 --> 02:38.310
لذا ربما تتساءل، هل يجب أن أحفظ كل هذه

02:38.310 --> 02:40.710
الأشياء المختلفة للامتحان؟

02:40.710 --> 02:43.410
حسنًا، الخبر السار هو لا، لا، ولكنني أردت أن أقدم

02:43.410 --> 02:45.390
لك هذا المفهوم لأنك ستراه مرارًا

02:45.390 --> 02:47.610
وتكرارًا بينما تستمر في التقدم في حياتك

02:47.610 --> 02:51.540
المهنية في مجال تكنولوجيا المعلومات والأمن السيبراني.

02:51.540 --> 02:53.040
بدلاً من ذلك، بالنسبة للاختبار،

02:53.040 --> 02:54.720
أريدك فقط أن تتذكر أن وحدة

02:54.720 --> 02:57.390
النظام الأساسي الموثوق به أو TPM هي جذر الثقة

02:57.390 --> 03:00.480
للأجهزة وأنها جزء من نظامك.

03:00.480 --> 03:02.760
وسوف يتيح لك القدرة على التأكد

03:02.760 --> 03:04.650
من أنه عند تشغيل نظامك، يتم

03:04.650 --> 03:06.180
ذلك بشكل آمن، لأن TPM

03:06.180 --> 03:08.730
يشهد على حقيقة أن UEFI الخاص بنا لم

03:08.730 --> 03:11.700
يتم تعديله أو العبث به وأن TPM يمكن أيضًا

03:11.700 --> 03:14.730
أن يكون تستخدم لتوفير التشفير لأجهزة التخزين

03:14.730 --> 03:16.470
الخاصة بك.

03:16.470 --> 03:19.500
نعم، هذه وظيفة أخرى لوحدة TPM، لأنه يمكن استخدامها

03:19.500 --> 03:21.480
كمفتاح سري جنبًا إلى جنب مع تشفير

03:21.480 --> 03:24.240
القرص بالكامل على نظام لحماية محتويات

03:24.240 --> 03:27.090
جهاز التخزين الخاص بك.

03:27.090 --> 03:29.220
على سبيل المثال، إذا كنت تستخدم BitLocker

03:29.220 --> 03:31.620
مع تشفير كامل القرص على نظام Windows، فهو في الواقع

03:31.620 --> 03:34.470
يستخدم المفتاح الموجود داخل TPM الخاص بك للتأكد من أن

03:34.470 --> 03:36.480
البيانات الموجودة على جهاز التخزين الخاص

03:36.480 --> 03:38.400
بك تظل مشفرة بشكل آمن.

03:38.400 --> 03:40.560
يمكن تمكين TPM أو تعطيله من داخل أداة

03:40.560 --> 03:42.990
تكوين UEFI لديك أو يمكنك إدارته باستخدام

03:42.990 --> 03:44.970
الأدوات الموجودة في نظام التشغيل،

03:44.970 --> 03:46.230
إذا كان نظام التشغيل

03:46.230 --> 03:48.660
الخاص بك يدعم ذلك.

03:48.660 --> 03:50.850
على سبيل المثال، يسمح لك نظام

03:50.850 --> 03:52.920
التشغيل Windows بإدارة

03:52.920 --> 03:56.970
TPM باستخدام tpm. أداة وحدة التحكم msc داخل Windows،

03:56.970 --> 03:59.610
أو إذا كنت تستخدم بيئة Windows Server، فيمكنك

03:59.610 --> 04:02.490
تعديلها باستخدام محرر نهج المجموعة.

04:02.490 --> 04:03.810
الآن، بالنسبة للاختبار،

04:03.810 --> 04:07.290
لا تحتاج إلى معرفة كيفية تعديل TPM أو تكوينه، ولكن في العالم

04:07.290 --> 04:09.510
الحقيقي، بصفتك فنيًا، قد يُطلب منك العمل

04:09.510 --> 04:12.510
مع وحدة النظام الأساسي الموثوق به.

04:12.510 --> 04:14.250
إذا كنت كذلك، فيمكنك دائمًا البحث عن أحدث

04:14.250 --> 04:16.890
الوثائق في Microsoft. com لمعرفة كيفية

04:16.890 --> 04:20.400
تعديل وتكوين TPM بشكل صحيح.

04:20.400 --> 04:22.140
هناك شكل آخر من أشكال جذر الثقة

04:22.140 --> 04:23.100
للأجهزة الذي يتعين

04:23.100 --> 04:27.030
علينا إلقاء نظرة عليه يُعرف باسم وحدة أمان الأجهزة أو HSM.

04:27.030 --> 04:29.550
أصبحت الآن وحدة أمان الأجهزة عبارة عن جهاز

04:29.550 --> 04:31.920
لإنشاء وتخزين مفاتيح التشفير التي تكون

04:31.920 --> 04:34.830
أقل عرضة للتلاعب والتهديدات الداخلية من استخدام

04:34.830 --> 04:37.050
الحلول القائمة على التخزين.

04:37.050 --> 04:38.700
تُستخدم الآن وحدات أمان الأجهزة

04:38.700 --> 04:41.490
لحماية أنظمتنا باستخدام ممر التشفير، لأنها

04:41.490 --> 04:42.870
أكثر أمانًا من استخدام

04:42.870 --> 04:46.050
كلمة المرور التقليدية أو المفتاح السري.

04:46.050 --> 04:48.150
وبدلاً من ذلك، تحتوي وحدة أمان الأجهزة

04:48.150 --> 04:50.700
على مفتاح رقمي موثوق به ومحمي يمكن استخدامه

04:50.700 --> 04:52.680
مع جهاز تشفير.

04:52.680 --> 04:53.820
هناك العديد من الطرق

04:53.820 --> 04:55.680
المختلفة لإنشاء وحدات أمان الأجهزة،

04:55.680 --> 04:58.710
ويتم إنتاجها أيضًا بأشكال مختلفة.

04:58.710 --> 05:00.570
على سبيل المثال، هنا على الشاشة،

05:00.570 --> 05:03.270
يمكنك رؤية وحدة أمان الأجهزة nCipher ولديها

05:03.270 --> 05:05.400
ثلاثة نماذج مختلفة هنا.

05:05.400 --> 05:07.170
هناك واحدة عبارة عن بطاقة داخلية

05:07.170 --> 05:09.060
يمكن وضعها داخل نظامك، وهناك واحدة

05:09.060 --> 05:11.040
عبارة عن نظام مثبت على حامل، ثم هناك

05:11.040 --> 05:11.873
واحدة، وهي أكثر

05:11.873 --> 05:14.370
من نوع إنترنت الأشياء من الحلول.

05:14.370 --> 05:16.560
الميزة الحقيقية لهذه الأنواع من الأنظمة

05:16.560 --> 05:17.760
هي أنها آلية، وهذا يعني

05:17.760 --> 05:20.010
أنه لا يمكن اختراق المفاتيح عن طريق التدخل

05:20.010 --> 05:21.480
البشري.

05:21.480 --> 05:23.400
ومن خلال إزالة الشخص من المعادلة،

05:23.400 --> 05:25.620
يمكننا الحصول على أمان أفضل لأنظمتنا

05:25.620 --> 05:27.630
والتأكد من أنها أكثر أمانًا.

05:27.630 --> 05:29.790
شكل آخر من أشكال وحدة أمان الأجهزة هو جهاز

05:29.790 --> 05:33.060
يشبه محرك أقراص USB صغير أو محرك أقراص محمول يمكن أن يحتوي

05:33.060 --> 05:34.410
على مفتاح رقمي يستخدم لتشفير

05:34.410 --> 05:37.560
محرك الأقراص الثابتة أو أي جهاز تخزين آخر.

05:37.560 --> 05:39.870
بعد ذلك، لفك تشفير محرك الأقراص هذا وقراءته،

05:39.870 --> 05:42.570
ستحتاج إلى إدخال وحدة HSM في النظام، وقراءة

05:42.570 --> 05:44.760
هذا المفتاح الرقمي والتحقق منه، ومن

05:44.760 --> 05:47.610
ثم يمكن فك تشفير جهاز التخزين.

05:47.610 --> 05:50.130
هذه في الواقع طريقة شائعة جدًا لتشفير محركات الأقراص الثابتة

05:50.130 --> 05:52.950
قبل تضمين وحدة النظام الأساسي الموثوق بها بشكل شائع كجزء من أجهزة

05:52.950 --> 05:54.633
الكمبيوتر الحديثة لدينا.