WEBVTT 00:00.090 --> 00:01.050 Instructeur: In 00:01.050 --> 00:04.530 deze les gaan we het hebben over de Trusted Platform Module 00:04.530 --> 00:07.350 of TPM en de hardware beveiligingsmodule of HSM 00:07.350 --> 00:09.750 die deel uitmaakt van je UEFI. 00:09.750 --> 00:11.310 Maar eerst wil ik je kennis laten 00:11.310 --> 00:14.790 maken met de hardware Root of Trust, beter bekend als de RoT. 00:14.790 --> 00:17.070 Een hardware Root of Trust is de basis waar 00:17.070 --> 00:20.850 alle veilige operaties van een computersysteem van afhangen. 00:20.850 --> 00:23.580 Het bevat de sleutels die gebruikt worden voor cryptografische 00:23.580 --> 00:26.100 functies en maakt een veilig opstartproces mogelijk. 00:26.100 --> 00:27.540 Dit is inherent vertrouwd 00:27.540 --> 00:30.600 en daarom moet het veilig zijn door het ontwerp. 00:30.600 --> 00:32.100 Een Hardware Root of Trust is een 00:32.100 --> 00:35.550 cryptografische module ingebed in een computersysteem dat een vertrouwde 00:35.550 --> 00:37.470 uitvoering kan onderschrijven en de opstartinstellingen 00:37.470 --> 00:40.380 en metriek kan bevestigen. 00:40.380 --> 00:42.570 Dit klinkt misschien als een ingewikkeld concept, 00:42.570 --> 00:45.210 maar je gebruikt een Root of Trust voortdurend. 00:45.210 --> 00:48.480 In feite is de TPM-module in het UEFI van je computer 00:48.480 --> 00:50.760 een hardware Root of Trust. 00:50.760 --> 00:53.100 In wezen wordt een Root of Trust gebruikt om de opstartmetriek 00:53.100 --> 00:55.230 van het systeem en de bestanden van het besturingssysteem 00:55.230 --> 00:56.850 te scannen. 00:56.850 --> 00:57.960 En dan kan de Root of Trust 00:57.960 --> 01:00.300 een rapport naar de processor sturen dat digitaal 01:00.300 --> 01:03.000 ondertekend is met het certificaat van de Root of Trust 01:03.000 --> 01:05.340 om aan te geven dat ze te vertrouwen zijn. 01:05.340 --> 01:07.410 In wezen is deze hardware Root of Trust 01:07.410 --> 01:08.940 een digitaal certificaat, 01:08.940 --> 01:11.370 maar het is ingebed in je chip als onderdeel 01:11.370 --> 01:13.920 van de firmware op je systeem. 01:13.920 --> 01:16.680 De meest gebruikte hardware Root of Trust 01:16.680 --> 01:19.500 is de Trusted Platform Module of TPM die 01:19.500 --> 01:21.570 in je computer zit. 01:21.570 --> 01:24.570 De TPM is een specificatie voor hardwarematige opslag van 01:24.570 --> 01:27.660 digitale certificaten, sleutels, wachtwoord-hashes en andere 01:27.660 --> 01:31.080 identificatie-informatie over gebruikers en platforms. 01:31.080 --> 01:33.810 Elke TPM-microprocessor is gecodeerd met een 01:33.810 --> 01:35.880 unieke en onveranderlijke sleutel 01:35.880 --> 01:39.180 die de goedkeuringssleutel of EK wordt genoemd. 01:39.180 --> 01:42.120 Je systeem gaat deze TPM en zijn sleutel gebruiken om ervoor 01:42.120 --> 01:45.420 te zorgen dat er niet geknoeid is met de systeemfirmware, bootloader 01:45.420 --> 01:47.640 en OS-kernel door gebruik te maken van meerdere 01:47.640 --> 01:49.440 verschillende functies die uitgevoerd 01:49.440 --> 01:52.230 worden binnen de Trusted Platform Module. 01:52.230 --> 01:56.340 Ten eerste biedt de TPM een veilige methode voor invoer en uitvoer. 01:56.340 --> 01:59.430 Ten tweede zit er een cryptografische processor in die 01:59.430 --> 02:02.010 zorgt voor een echte random getalgenerator. 02:02.010 --> 02:04.650 De TPM heeft ook een RSA sleutelgenerator, een 02:04.650 --> 02:06.330 SHA-1 hashgenerator en zowel 02:06.330 --> 02:09.570 een encryptie- als decryptiehandtekeningmotor. 02:09.570 --> 02:10.950 Naast dit alles heeft de TPM 02:10.950 --> 02:13.320 ook een permanent geheugen dat een digitale 02:13.320 --> 02:16.170 sleutel bevat die bekend staat als de endorsement sleutel 02:16.170 --> 02:19.680 en een opslag root sleutel die bekend staat als de SRK. 02:19.680 --> 02:22.320 Nu heeft de TPM ook een veelzijdig geheugen 02:22.320 --> 02:24.150 dat erin zit en dit omvat de Platform 02:24.150 --> 02:27.180 Configuratie Registers of PCR's, de Attestatie 02:27.180 --> 02:31.620 Identiteit Sleutels of AIK's en de opslagsleutels. 02:31.620 --> 02:33.600 Dat is heel wat functionaliteit 02:33.600 --> 02:35.880 binnen die ene kleine TPM chip. 02:35.880 --> 02:38.310 Dus je vraagt je waarschijnlijk af: moet ik al deze verschillende 02:38.310 --> 02:40.710 dingen uit mijn hoofd leren voor het examen? 02:40.710 --> 02:43.410 Nou, het goede nieuws is nee, dat hoeft niet, maar ik 02:43.410 --> 02:45.390 wilde je wel laten kennismaken met dit 02:45.390 --> 02:47.610 concept omdat je het steeds weer zult tegenkomen 02:47.610 --> 02:51.540 als je verder gaat in je IT- en cyberbeveiligingscarrière. 02:51.540 --> 02:53.040 In plaats daarvan wil ik dat 02:53.040 --> 02:54.720 je voor het examen onthoudt dat 02:54.720 --> 02:57.390 de Trusted Platform Module of TPM een hardware Root 02:57.390 --> 02:58.890 of Trust is en dat het deel uitmaakt 02:58.890 --> 03:00.480 van je systeem. 03:00.480 --> 03:02.760 En het zal je in staat stellen om ervoor 03:02.760 --> 03:04.650 te zorgen dat wanneer je systeem 03:04.650 --> 03:06.180 opstart, dit veilig gebeurt, 03:06.180 --> 03:08.730 omdat deze TPM bevestigt dat onze UEFI niet 03:08.730 --> 03:11.700 gewijzigd of gemanipuleerd is en dat TPM ook gebruikt 03:11.700 --> 03:16.470 kan worden om je opslagapparaten te versleutelen. 03:16.470 --> 03:19.500 Ja, dit is nog een andere functie van de TPM, omdat het gebruikt 03:19.500 --> 03:21.480 kan worden als de geheime sleutel in combinatie 03:21.480 --> 03:24.240 met de volledige schijfversleuteling op een systeem om 03:24.240 --> 03:27.090 de inhoud van je opslagapparaat te beschermen. 03:27.090 --> 03:29.220 Als je bijvoorbeeld BitLocker gebruikt met 03:29.220 --> 03:31.620 volledige schijfversleuteling op een Windows-systeem, 03:31.620 --> 03:34.470 wordt de sleutel in je TPM gebruikt om ervoor te zorgen dat 03:34.470 --> 03:36.480 de gegevens op je opslagapparaat veilig 03:36.480 --> 03:38.400 versleuteld blijven. 03:38.400 --> 03:40.560 De TPM kan in- of uitgeschakeld worden vanuit 03:40.560 --> 03:42.990 je UEFI-configuratietool of je kunt het beheren 03:42.990 --> 03:46.230 met hulpmiddelen binnen het besturingssysteem, als je besturingssysteem 03:46.230 --> 03:48.660 dat ondersteunt. 03:48.660 --> 03:50.850 Met het Windows-besturingssysteem 03:50.850 --> 03:52.920 kun je bijvoorbeeld de TPM beheren 03:52.920 --> 03:56.970 via de tpm. msc-consoletool binnen Windows, of 03:56.970 --> 03:59.610 als je de Windows Server-omgeving gebruikt, kun 03:59.610 --> 04:02.490 je deze aanpassen met de Editor voor Groepsbeleid. 04:02.490 --> 04:03.810 Voor het examen hoef je niet 04:03.810 --> 04:07.290 te weten hoe je de TPM moet aanpassen of configureren, maar in de echte 04:07.290 --> 04:09.510 wereld kan je als technicus gevraagd worden 04:09.510 --> 04:12.510 om met de Trusted Platform Module te werken. 04:12.510 --> 04:14.250 Als dat zo is, kun je altijd de nieuwste documentatie 04:14.250 --> 04:16.890 opzoeken bij microsoft. com over hoe je de TPM 04:16.890 --> 04:20.400 op de juiste manier aanpast en configureert. 04:20.400 --> 04:22.140 Een andere vorm van hardware Root 04:22.140 --> 04:23.100 of Trust die we moeten 04:23.100 --> 04:27.030 bekijken staat bekend als de hardware beveiligingsmodule of HSM. 04:27.030 --> 04:29.550 Nu is een hardware beveiligingsmodule een apparaat voor het 04:29.550 --> 04:31.920 genereren en opslaan van cryptografische sleutels dat minder 04:31.920 --> 04:34.830 gevoelig is voor manipulatie en bedreigingen van binnenuit dan het gebruik 04:34.830 --> 04:37.050 van oplossingen op basis van opslag. 04:37.050 --> 04:38.700 Nu worden hardware beveiligingsmodules 04:38.700 --> 04:41.490 gebruikt om onze systemen te beveiligen met encryptiepassen, omdat 04:41.490 --> 04:42.870 deze veel veiliger zijn dan het gebruik 04:42.870 --> 04:46.050 van een traditioneel wachtwoord of een geheime sleutel. 04:46.050 --> 04:48.150 In plaats daarvan bevat een hardware beveiligingsmodule 04:48.150 --> 04:50.700 een vertrouwde en beschermde digitale sleutel die kan worden gebruikt 04:50.700 --> 04:52.680 met een versleutelingsapparaat. 04:52.680 --> 04:53.820 Er zijn veel verschillende 04:53.820 --> 04:55.680 manieren om hardwarebeveiligingsmodules 04:55.680 --> 04:58.710 te maken en ze worden ook in verschillende vormen geproduceerd. 04:58.710 --> 05:00.570 Hier op het scherm zie je bijvoorbeeld 05:00.570 --> 05:03.270 de nCipher hardware beveiligingsmodule en er zijn 05:03.270 --> 05:05.400 drie verschillende modellen. 05:05.400 --> 05:07.170 Er is er één die een interne kaart is die 05:07.170 --> 05:09.060 in je systeem kan worden geplaatst, er is 05:09.060 --> 05:11.040 er één die in een rek kan worden gemonteerd 05:11.040 --> 05:11.873 en er is er één die meer 05:11.873 --> 05:14.370 een Internet of things type oplossing is. 05:14.370 --> 05:16.560 Het echte voordeel van dit soort systemen is dat ze geautomatiseerd 05:16.560 --> 05:17.760 zijn, en dat betekent dat de sleutels 05:17.760 --> 05:21.480 niet gecompromitteerd kunnen worden door menselijke tussenkomst. 05:21.480 --> 05:23.400 Door de persoon uit de vergelijking te halen, 05:23.400 --> 05:25.620 kunnen we onze systemen beter beveiligen en ervoor 05:25.620 --> 05:27.630 zorgen dat ze veiliger zijn. 05:27.630 --> 05:29.790 Een andere vorm van hardware beveiligingsmodule is 05:29.790 --> 05:33.060 een apparaat dat eruit ziet als een USB thumb drive of flash drive die een digitale 05:33.060 --> 05:34.410 sleutel kan bevatten die wordt gebruikt 05:34.410 --> 05:37.560 om een harde schijf of ander opslagapparaat te versleutelen. 05:37.560 --> 05:39.870 Om die schijf vervolgens te ontsleutelen en 05:39.870 --> 05:42.570 te lezen, moet je de HSM in het systeem plaatsen, de digitale 05:42.570 --> 05:44.760 sleutel laten lezen en verifiëren en vervolgens 05:44.760 --> 05:47.610 het opslagapparaat ontsleutelen. 05:47.610 --> 05:50.130 Dit is eigenlijk een heel gebruikelijke manier om harde schijven te 05:50.130 --> 05:52.950 versleutelen voordat de Trusted Platform Module algemeen werd opgenomen 05:52.950 --> 05:54.633 als onderdeel van onze moderne computers.