WEBVTT 00:00.090 --> 00:01.050 Instruktor: W 00:01.050 --> 00:04.530 tej lekcji porozmawiamy o module TPM (Trusted Platform 00:04.530 --> 00:07.350 Module) i module HSM (Hardware Security Module), 00:07.350 --> 00:09.750 które są częścią UEFI. 00:09.750 --> 00:11.310 Najpierw jednak chciałbym 00:11.310 --> 00:14.790 przedstawić sprzętowy Root of Trust, znany jako RoT. 00:14.790 --> 00:17.070 Obecnie sprzętowy Root of Trust jest fundamentem, 00:17.070 --> 00:20.850 od którego zależą wszystkie bezpieczne operacje systemu komputerowego. 00:20.850 --> 00:23.580 Zawiera klucze używane do funkcji kryptograficznych 00:23.580 --> 00:26.100 i umożliwia bezpieczny proces rozruchu. 00:26.100 --> 00:27.540 Jest to z natury zaufane 00:27.540 --> 00:30.600 i dlatego musi być bezpieczne z założenia. 00:30.600 --> 00:32.100 Obecnie Hardware Root of Trust 00:32.100 --> 00:35.550 to moduł kryptograficzny osadzony w systemie komputerowym, który 00:35.550 --> 00:37.470 może zatwierdzać zaufane wykonanie 00:37.470 --> 00:40.380 i poświadczać ustawienia rozruchowe i metryki. 00:40.380 --> 00:42.570 Może to brzmieć jak skomplikowana koncepcja, 00:42.570 --> 00:45.210 ale z Root of Trust korzystasz cały czas. 00:45.210 --> 00:48.480 W rzeczywistości moduł TPM wewnątrz UEFI komputera 00:48.480 --> 00:50.760 jest sprzętowym Root of Trust. 00:50.760 --> 00:53.100 Zasadniczo Root of Trust będzie używany do skanowania 00:53.100 --> 00:55.230 metryk rozruchowych systemu i plików systemu 00:55.230 --> 00:56.850 operacyjnego. 00:56.850 --> 00:57.960 Następnie Root of Trust 00:57.960 --> 01:00.300 może wysłać raport do procesora, który jest 01:00.300 --> 01:03.000 podpisany cyfrowo przy użyciu certyfikatu Root of 01:03.000 --> 01:05.340 Trust, aby wskazać, że można mu zaufać. 01:05.340 --> 01:07.410 Zasadniczo ten sprzętowy Root of Trust 01:07.410 --> 01:08.940 jest certyfikatem cyfrowym, 01:08.940 --> 01:11.370 ale jest osadzony w chipie jako część oprogramowania 01:11.370 --> 01:13.920 układowego w systemie. 01:13.920 --> 01:16.680 Obecnie najczęściej używanym sprzętowym Root 01:16.680 --> 01:19.500 of Trust jest Trusted Platform Module lub TPM, 01:19.500 --> 01:21.570 który istnieje w komputerze. 01:21.570 --> 01:24.570 TPM to specyfikacja sprzętowego przechowywania cyfrowych 01:24.570 --> 01:27.660 certyfikatów, kluczy, skrótów haseł i innych informacji 01:27.660 --> 01:31.080 identyfikujących użytkownika i platformę. 01:31.080 --> 01:33.810 Każdy mikroprocesor TPM jest zakodowany na stałe 01:33.810 --> 01:35.880 unikalnym i niezmiennym kluczem, który 01:35.880 --> 01:39.180 jest określany jako klucz zatwierdzający lub EK. 01:39.180 --> 01:42.120 System będzie korzystał z tego modułu TPM i jego klucza, aby upewnić 01:42.120 --> 01:45.420 się, że oprogramowanie układowe systemu, program ładujący i jądro systemu 01:45.420 --> 01:47.640 operacyjnego nie zostały naruszone lub zmodyfikowane 01:47.640 --> 01:49.440 przy użyciu wielu różnych funkcji wykonywanych 01:49.440 --> 01:52.230 w module Trusted Platform Module. 01:52.230 --> 01:56.340 Po pierwsze, TPM zapewnia bezpieczną metodę wejścia i wyjścia. 01:56.340 --> 01:59.430 Po drugie, znajduje się w nim procesor kryptograficzny, który 01:59.430 --> 02:02.010 zapewnia prawdziwy generator liczb losowych. 02:02.010 --> 02:04.650 TPM posiada również generator kluczy RSA, 02:04.650 --> 02:06.330 generator skrótu SHA-1 oraz 02:06.330 --> 02:09.570 silnik podpisu szyfrowania i deszyfrowania. 02:09.570 --> 02:10.950 Oprócz tego TPM ma również 02:10.950 --> 02:13.320 trwałą pamięć, która zawiera klucz 02:13.320 --> 02:16.170 cyfrowy znany jako klucz zatwierdzający i 02:16.170 --> 02:19.680 klucz główny pamięci masowej znany jako SRK. 02:19.680 --> 02:22.320 Teraz TPM ma również wszechstronną pamięć, 02:22.320 --> 02:24.150 która znajduje się w nim i obejmuje 02:24.150 --> 02:27.180 rejestry konfiguracji platformy (PCR), klucze 02:27.180 --> 02:31.620 tożsamości atestacji (AIK) i klucze pamięci. 02:31.620 --> 02:33.600 To bardzo dużo funkcji w 02:33.600 --> 02:35.880 jednym małym układzie TPM. 02:35.880 --> 02:38.310 Pewnie zastanawiasz się, czy muszę zapamiętać 02:38.310 --> 02:40.710 te wszystkie różne rzeczy na egzamin? 02:40.710 --> 02:43.410 Cóż, dobra wiadomość jest taka, że nie, ale chciałem 02:43.410 --> 02:45.390 przedstawić ci tę koncepcję, ponieważ 02:45.390 --> 02:47.610 będziesz ją widział wielokrotnie, gdy będziesz 02:47.610 --> 02:51.540 kontynuował swoją karierę w IT i cyberbezpieczeństwie. 02:51.540 --> 02:53.040 Zamiast tego, na egzaminie 02:53.040 --> 02:54.720 wystarczy pamiętać, że Trusted 02:54.720 --> 02:57.390 Platform Module lub TPM jest sprzętowym Root 02:57.390 --> 02:58.890 of Trust i że jest częścią 02:58.890 --> 03:00.480 systemu. 03:00.480 --> 03:02.760 Pozwoli ci to mieć pewność, że podczas uruchamiania 03:02.760 --> 03:04.650 systemu odbywa się to w bezpieczny 03:04.650 --> 03:06.180 sposób, ponieważ TPM potwierdza 03:06.180 --> 03:08.730 fakt, że nasz UEFI nie został zmodyfikowany 03:08.730 --> 03:11.700 ani zmodyfikowany, a TPM może być również używany do 03:11.700 --> 03:16.470 zapewnienia szyfrowania urządzeń pamięci masowej. 03:16.470 --> 03:19.500 Tak, to kolejna funkcja modułu TPM, ponieważ może on być 03:19.500 --> 03:21.480 używany jako tajny klucz w połączeniu 03:21.480 --> 03:24.240 z pełnym szyfrowaniem dysku w systemie w celu ochrony 03:24.240 --> 03:27.090 zawartości urządzenia pamięci masowej. 03:27.090 --> 03:29.220 Na przykład, jeśli korzystasz z funkcji BitLocker 03:29.220 --> 03:31.620 z szyfrowaniem całego dysku w systemie Windows, w rzeczywistości 03:31.620 --> 03:34.470 używa ona klucza wewnątrz modułu TPM, aby upewnić się, że dane na 03:34.470 --> 03:36.480 urządzeniu pamięci masowej pozostają bezpiecznie 03:36.480 --> 03:38.400 zaszyfrowane. 03:38.400 --> 03:40.560 Moduł TPM można włączyć lub wyłączyć za 03:40.560 --> 03:42.990 pomocą narzędzia konfiguracyjnego UEFI lub 03:42.990 --> 03:44.970 zarządzać nim za pomocą narzędzi w systemie 03:44.970 --> 03:46.230 operacyjnym, jeśli system 03:46.230 --> 03:48.660 operacyjny to obsługuje. 03:48.660 --> 03:50.850 Na przykład system operacyjny Windows 03:50.850 --> 03:52.920 umożliwia zarządzanie modułem 03:52.920 --> 03:56.970 TPM za pomocą tpm. msc w systemie Windows lub jeśli korzystasz 03:56.970 --> 03:59.610 ze środowiska Windows Server, możesz zmodyfikować 03:59.610 --> 04:02.490 go za pomocą Edytora zasad grupy. 04:02.490 --> 04:03.810 Teraz na egzaminie nie musisz 04:03.810 --> 04:07.290 wiedzieć, jak modyfikować lub konfigurować TPM, ale w prawdziwym 04:07.290 --> 04:09.510 świecie, jako technik, możesz zostać poproszony 04:09.510 --> 04:12.510 o pracę z Trusted Platform Module. 04:12.510 --> 04:14.250 Jeśli tak, zawsze możesz sprawdzić najnowszą dokumentację 04:14.250 --> 04:16.890 na stronie microsoft. com, aby dowiedzieć się, 04:16.890 --> 04:20.400 jak prawidłowo zmodyfikować i skonfigurować moduł TPM. 04:20.400 --> 04:22.140 Inną formą sprzętowego Root of 04:22.140 --> 04:23.100 Trust, której musimy 04:23.100 --> 04:27.030 się przyjrzeć, jest sprzętowy moduł bezpieczeństwa (HSM). 04:27.030 --> 04:29.550 Obecnie sprzętowy moduł bezpieczeństwa jest urządzeniem 04:29.550 --> 04:31.920 do generowania i przechowywania kluczy kryptograficznych, 04:31.920 --> 04:34.830 które jest mniej podatne na manipulacje i zagrożenia wewnętrzne niż 04:34.830 --> 04:37.050 rozwiązania oparte na pamięci masowej. 04:37.050 --> 04:38.700 Obecnie sprzętowe moduły bezpieczeństwa 04:38.700 --> 04:41.490 są używane do ochrony naszych systemów za pomocą szyfrowania, 04:41.490 --> 04:42.870 ponieważ są one znacznie bezpieczniejsze 04:42.870 --> 04:46.050 niż tradycyjne hasło lub tajny klucz. 04:46.050 --> 04:48.150 Zamiast tego sprzętowy moduł bezpieczeństwa 04:48.150 --> 04:50.700 zawiera zaufany i chroniony klucz cyfrowy, który może 04:50.700 --> 04:52.680 być używany z urządzeniem szyfrującym. 04:52.680 --> 04:53.820 Istnieje wiele różnych 04:53.820 --> 04:55.680 sposobów tworzenia sprzętowych modułów 04:55.680 --> 04:58.710 bezpieczeństwa i są one produkowane w różnych formach. 04:58.710 --> 05:00.570 Na przykład, tutaj na ekranie można 05:00.570 --> 05:03.270 zobaczyć sprzętowy moduł bezpieczeństwa nCipher, 05:03.270 --> 05:05.400 który ma trzy różne modele. 05:05.400 --> 05:07.170 Istnieje jedna karta wewnętrzna, którą 05:07.170 --> 05:09.060 można umieścić w systemie, jedna karta 05:09.060 --> 05:11.040 do montażu w szafie, a także jedna karta, 05:11.040 --> 05:11.873 która jest bardziej 05:11.873 --> 05:14.370 rozwiązaniem typu Internet rzeczy. 05:14.370 --> 05:16.560 Prawdziwą zaletą tego typu systemów jest to, że są 05:16.560 --> 05:17.760 one zautomatyzowane, a to 05:17.760 --> 05:20.010 oznacza, że klucze nie mogą zostać naruszone przez 05:20.010 --> 05:21.480 zaangażowanie człowieka. 05:21.480 --> 05:23.400 Usuwając osobę z równania, możemy lepiej 05:23.400 --> 05:25.620 zabezpieczyć nasze systemy i zapewnić ich 05:25.620 --> 05:27.630 większe bezpieczeństwo. 05:27.630 --> 05:29.790 Inną formą sprzętowego modułu bezpieczeństwa jest 05:29.790 --> 05:33.060 urządzenie wyglądające jak pendrive lub pamięć flash USB, które może zawierać 05:33.060 --> 05:34.410 klucz cyfrowy używany do szyfrowania 05:34.410 --> 05:37.560 dysku twardego lub innego urządzenia pamięci masowej. 05:37.560 --> 05:39.870 Następnie, aby odszyfrować i odczytać dysk, 05:39.870 --> 05:42.570 należy włożyć moduł HSM do systemu, odczytać i zweryfikować 05:42.570 --> 05:44.760 klucz cyfrowy, a następnie odszyfrować 05:44.760 --> 05:47.610 urządzenie pamięci masowej. 05:47.610 --> 05:50.130 Jest to w rzeczywistości bardzo powszechny sposób szyfrowania dysków 05:50.130 --> 05:52.950 twardych, zanim moduł Trusted Platform Module został powszechnie włączony jako 05:52.950 --> 05:54.633 część naszych nowoczesnych komputerów.