WEBVTT 00:00.090 --> 00:01.050 Istruttore: In 00:01.050 --> 00:04.530 questa lezione parleremo del Trusted Platform Module 00:04.530 --> 00:07.350 o TPM e del modulo di sicurezza hardware o 00:07.350 --> 00:09.750 HSM che fa parte dell'UEFI. 00:09.750 --> 00:11.310 Ma prima voglio presentarvi 00:11.310 --> 00:14.790 la Root of Trust hardware, nota come RoT. 00:14.790 --> 00:17.070 Ora, una Root of Trust hardware è la base da 00:17.070 --> 00:20.850 cui dipendono tutte le operazioni sicure di un sistema informatico. 00:20.850 --> 00:23.580 Contiene le chiavi utilizzate per le funzioni crittografiche 00:23.580 --> 00:26.100 e consente un processo di avvio sicuro. 00:26.100 --> 00:27.540 Si tratta di un sistema intrinsecamente 00:27.540 --> 00:30.600 affidabile, che quindi deve essere sicuro per sua stessa natura. 00:30.600 --> 00:32.100 Ora un Hardware Root of Trust è 00:32.100 --> 00:35.550 un modulo crittografico incorporato in un sistema informatico che 00:35.550 --> 00:37.470 può avallare l'esecuzione affidabile 00:37.470 --> 00:40.380 e attestare le impostazioni e le metriche di avvio. 00:40.380 --> 00:42.570 Può sembrare un concetto complicato, 00:42.570 --> 00:45.210 ma si usa sempre una Root of Trust. 00:45.210 --> 00:48.480 Infatti, il modulo TPM all'interno dell'UEFI del computer 00:48.480 --> 00:50.760 è un Root of Trust hardware. 00:50.760 --> 00:53.100 In sostanza, un Root of Trust verrà utilizzato per 00:53.100 --> 00:55.230 analizzare le metriche di avvio del sistema 00:55.230 --> 00:56.850 e i file del sistema operativo. 00:56.850 --> 00:57.960 Il Root of Trust può quindi 00:57.960 --> 01:00.300 inviare all'elaboratore un rapporto firmato 01:00.300 --> 01:03.000 digitalmente con il certificato del Root of Trust per 01:03.000 --> 01:05.340 indicare che ci si può fidare di lui. 01:05.340 --> 01:07.410 In sostanza, questo Root of Trust 01:07.410 --> 01:08.940 hardware è un certificato 01:08.940 --> 01:11.370 digitale, ma è incorporato nel chip come 01:11.370 --> 01:13.920 parte del firmware del sistema. 01:13.920 --> 01:16.680 Attualmente il Root of Trust hardware più comunemente 01:16.680 --> 01:19.500 utilizzato è il Trusted Platform Module o TPM, presente 01:19.500 --> 01:21.570 all'interno del computer. 01:21.570 --> 01:24.570 Il TPM è una specifica per la memorizzazione su base hardware 01:24.570 --> 01:27.660 di certificati digitali, chiavi, hash di password e altre informazioni 01:27.660 --> 01:31.080 di identificazione dell'utente e della piattaforma. 01:31.080 --> 01:33.810 Ogni microprocessore TPM è dotato di 01:33.810 --> 01:35.880 una chiave unica e immutabile, 01:35.880 --> 01:39.180 denominata chiave di approvazione o EK. 01:39.180 --> 01:42.120 Il sistema utilizzerà questo TPM e la sua chiave per garantire 01:42.120 --> 01:45.420 che il firmware del sistema, il boot loader e il kernel del sistema operativo 01:45.420 --> 01:47.640 non siano stati manomessi o modificati utilizzando 01:47.640 --> 01:49.440 diverse funzioni eseguite all'interno 01:49.440 --> 01:52.230 del Trusted Platform Module. 01:52.230 --> 01:56.340 In primo luogo, il TPM fornisce un metodo sicuro di input e output. 01:56.340 --> 01:59.430 In secondo luogo, al suo interno è presente un processore crittografico che 01:59.430 --> 02:02.010 fornisce un vero e proprio generatore di numeri casuali. 02:02.010 --> 02:04.650 Il TPM dispone anche di un generatore di chiavi RSA, 02:04.650 --> 02:06.330 di un generatore di hash SHA-1 e di 02:06.330 --> 02:09.570 un motore di firma per la crittografia e la decrittografia. 02:09.570 --> 02:10.950 Oltre a tutto ciò, il TPM dispone 02:10.950 --> 02:13.320 anche di una memoria persistente che contiene 02:13.320 --> 02:16.170 una chiave digitale nota come chiave di avallo e una 02:16.170 --> 02:19.680 chiave radice di archiviazione nota come SRK. 02:19.680 --> 02:22.320 Ora il TPM ha anche una memoria versatile che si trova 02:22.320 --> 02:24.150 al suo interno e che comprende i registri 02:24.150 --> 02:27.180 di configurazione della piattaforma o PCR, le chiavi 02:27.180 --> 02:31.620 di identità di attestazione o AIK e le chiavi di memorizzazione. 02:31.620 --> 02:33.600 Si tratta di un sacco di funzionalità 02:33.600 --> 02:35.880 all'interno di un piccolo chip TPM. 02:35.880 --> 02:38.310 Quindi vi starete chiedendo: devo memorizzare 02:38.310 --> 02:40.710 tutte queste cose diverse per l'esame? 02:40.710 --> 02:43.410 La buona notizia è che non è così, ma ho voluto introdurvi 02:43.410 --> 02:45.390 a questo concetto perché lo vedrete 02:45.390 --> 02:47.610 sempre più spesso mentre proseguite la vostra 02:47.610 --> 02:51.540 carriera nel settore dell'IT e della cybersicurezza. 02:51.540 --> 02:53.040 Per l'esame, invece, è 02:53.040 --> 02:54.720 sufficiente ricordare che 02:54.720 --> 02:57.390 il Trusted Platform Module o TPM è un Root 02:57.390 --> 02:58.890 of Trust hardware e che 02:58.890 --> 03:00.480 fa parte del sistema. 03:00.480 --> 03:02.760 Inoltre, vi consentirà di garantire 03:02.760 --> 03:04.650 che l'avvio del sistema avvenga 03:04.650 --> 03:06.180 in modo sicuro, perché 03:06.180 --> 03:08.730 il TPM attesta che l'UEFI non è stato modificato 03:08.730 --> 03:11.700 o manomesso e può essere utilizzato anche per 03:11.700 --> 03:16.470 crittografare i dispositivi di archiviazione. 03:16.470 --> 03:19.500 Sì, questa è un'altra funzione del TPM, perché può essere utilizzata 03:19.500 --> 03:21.480 come chiave segreta insieme alla crittografia 03:21.480 --> 03:24.240 del disco intero di un sistema per proteggere il contenuto 03:24.240 --> 03:27.090 del dispositivo di archiviazione. 03:27.090 --> 03:29.220 Ad esempio, se si utilizza BitLocker con la crittografia 03:29.220 --> 03:31.620 dell'intero disco su un sistema Windows, in realtà si 03:31.620 --> 03:34.470 utilizza la chiave all'interno del TPM per garantire che i dati 03:34.470 --> 03:36.480 sul dispositivo di archiviazione rimangano 03:36.480 --> 03:38.400 crittografati in modo sicuro. 03:38.400 --> 03:40.560 Il TPM può essere attivato o disattivato 03:40.560 --> 03:42.990 dallo strumento di configurazione UEFI oppure 03:42.990 --> 03:44.970 può essere gestito tramite strumenti 03:44.970 --> 03:46.230 del sistema operativo, 03:46.230 --> 03:48.660 se quest'ultimo lo supporta. 03:48.660 --> 03:50.850 Ad esempio, il sistema operativo 03:50.850 --> 03:52.920 Windows consente di gestire il 03:52.920 --> 03:56.970 TPM utilizzando il tpm. msc all'interno di Windows o, se si utilizza 03:56.970 --> 03:59.610 l'ambiente Windows Server, è possibile modificarlo 03:59.610 --> 04:02.490 utilizzando l'Editor Criteri di gruppo. 04:02.490 --> 04:03.810 Per l'esame non è necessario 04:03.810 --> 04:07.290 sapere come modificare o configurare il TPM, ma nel mondo reale, 04:07.290 --> 04:09.510 come tecnici, potrebbe essere richiesto 04:09.510 --> 04:12.510 di lavorare con il Trusted Platform Module. 04:12.510 --> 04:14.250 Se lo siete, potete sempre consultare la documentazione 04:14.250 --> 04:16.890 più recente presso microsoft. com per la modifica 04:16.890 --> 04:20.400 e la configurazione corretta del TPM. 04:20.400 --> 04:22.140 Un'altra forma di Root of Trust 04:22.140 --> 04:23.100 hardware che dobbiamo 04:23.100 --> 04:27.030 esaminare è nota come modulo di sicurezza hardware o HSM. 04:27.030 --> 04:29.550 Ora un modulo di sicurezza hardware è un dispositivo per la 04:29.550 --> 04:31.920 generazione e l'archiviazione di chiavi crittografiche 04:31.920 --> 04:34.830 che è meno soggetto a manomissioni e minacce interne rispetto alle 04:34.830 --> 04:37.050 soluzioni basate sull'archiviazione. 04:37.050 --> 04:38.700 Ora i moduli di sicurezza hardware sono utilizzati 04:38.700 --> 04:41.490 per proteggere i nostri sistemi utilizzando i passaggi di crittografia, 04:41.490 --> 04:42.870 perché sono molto più sicuri rispetto 04:42.870 --> 04:46.050 all'utilizzo di una password tradizionale o di una chiave segreta. 04:46.050 --> 04:48.150 Un modulo di sicurezza hardware contiene invece una 04:48.150 --> 04:50.700 chiave digitale affidabile e protetta che può essere utilizzata 04:50.700 --> 04:52.680 con un dispositivo di crittografia. 04:52.680 --> 04:53.820 Esistono molti modi diversi 04:53.820 --> 04:55.680 per creare moduli di sicurezza hardware 04:55.680 --> 04:58.710 e sono prodotti in diversi fattori di forma. 04:58.710 --> 05:00.570 Ad esempio, qui sullo schermo è possibile 05:00.570 --> 05:03.270 vedere il modulo di sicurezza hardware nCipher, 05:03.270 --> 05:05.400 con tre diversi modelli. 05:05.400 --> 05:07.170 C'è una scheda interna che può essere 05:07.170 --> 05:09.060 inserita all'interno del sistema, 05:09.060 --> 05:11.040 una che è un sistema montato su rack e una 05:11.040 --> 05:11.873 che è più una soluzione 05:11.873 --> 05:14.370 di tipo Internet delle cose. 05:14.370 --> 05:16.560 Il vero vantaggio di questo tipo di sistemi è che sono 05:16.560 --> 05:17.760 automatizzati, il che significa 05:17.760 --> 05:20.010 che le chiavi non possono essere compromesse dal coinvolgimento 05:20.010 --> 05:21.480 umano. 05:21.480 --> 05:23.400 Eliminando la persona dall'equazione, 05:23.400 --> 05:25.620 possiamo migliorare la sicurezza dei nostri sistemi 05:25.620 --> 05:27.630 e garantire che siano più sicuri. 05:27.630 --> 05:29.790 Un'altra forma di modulo di sicurezza hardware 05:29.790 --> 05:33.060 è un dispositivo simile a una chiavetta USB che può contenere una chiave 05:33.060 --> 05:34.410 digitale utilizzata per crittografare 05:34.410 --> 05:37.560 un disco rigido o un altro dispositivo di archiviazione. 05:37.560 --> 05:39.870 Per decifrare e leggere l'unità, è necessario 05:39.870 --> 05:42.570 inserire l'HSM nel sistema, far leggere e verificare 05:42.570 --> 05:44.760 la chiave digitale e quindi decifrare 05:44.760 --> 05:47.610 il dispositivo di memorizzazione. 05:47.610 --> 05:50.130 Questo è in realtà un modo molto comune di crittografare i dischi 05:50.130 --> 05:52.950 rigidi prima che il Trusted Platform Module fosse comunemente incluso 05:52.950 --> 05:54.633 nei nostri computer moderni.