WEBVTT 00:00.090 --> 00:01.050 Instrutor: Nesta 00:01.050 --> 00:04.530 lição, falaremos sobre o Trusted Platform Module (TPM) 00:04.530 --> 00:07.350 e o módulo de segurança de hardware (HSM) que 00:07.350 --> 00:09.750 existe como parte da UEFI. 00:09.750 --> 00:11.310 Mas, primeiro, quero apresentá-lo 00:11.310 --> 00:14.790 à raiz de confiança do hardware, conhecida como RoT. 00:14.790 --> 00:17.070 Agora, uma raiz de confiança de hardware é a base 00:17.070 --> 00:20.850 da qual dependem todas as operações seguras de um sistema de computação. 00:20.850 --> 00:23.580 Ele contém as chaves usadas para funções criptográficas 00:23.580 --> 00:26.100 e permite um processo de inicialização seguro. 00:26.100 --> 00:27.540 Isso é inerentemente confiável 00:27.540 --> 00:30.600 e, portanto, deve ser seguro por design. 00:30.600 --> 00:32.100 Agora, uma raiz de confiança de hardware 00:32.100 --> 00:35.550 é um módulo criptográfico incorporado em um sistema de computador que pode 00:35.550 --> 00:37.470 endossar a execução confiável e atestar 00:37.470 --> 00:40.380 as configurações e as métricas de inicialização. 00:40.380 --> 00:42.570 Isso pode parecer um conceito complicado, 00:42.570 --> 00:45.210 mas você usa uma raiz de confiança o tempo todo. 00:45.210 --> 00:48.480 De fato, o módulo TPM dentro da UEFI do seu computador 00:48.480 --> 00:50.760 é uma raiz de confiança de hardware. 00:50.760 --> 00:53.100 Essencialmente, uma raiz de confiança será usada para verificar 00:53.100 --> 00:55.230 as métricas de inicialização do sistema e os arquivos 00:55.230 --> 00:56.850 do sistema operacional. 00:56.850 --> 00:57.960 E, em seguida, a Raiz de 00:57.960 --> 01:00.300 Confiança pode enviar um relatório ao processador 01:00.300 --> 01:03.000 assinado digitalmente usando o certificado da Raiz de Confiança 01:03.000 --> 01:05.340 para indicar que ele é confiável. 01:05.340 --> 01:07.410 Essencialmente, essa raiz de confiança 01:07.410 --> 01:08.940 de hardware é um certificado 01:08.940 --> 01:11.370 digital, mas está incorporada em seu chip 01:11.370 --> 01:13.920 como parte do firmware do sistema. 01:13.920 --> 01:16.680 Agora, a raiz de confiança de hardware mais comumente 01:16.680 --> 01:19.500 usada é o Trusted Platform Module (TPM) que existe 01:19.500 --> 01:21.570 em seu computador. 01:21.570 --> 01:24.570 O TPM é uma especificação para armazenamento baseado em hardware 01:24.570 --> 01:27.660 de certificados digitais, chaves, hashes de senha e outras informações 01:27.660 --> 01:31.080 de identificação de usuários e plataformas. 01:31.080 --> 01:33.810 Cada microprocessador TPM é codificado 01:33.810 --> 01:35.880 com uma chave exclusiva e imutável, 01:35.880 --> 01:39.180 conhecida como chave de endosso ou EK. 01:39.180 --> 01:42.120 Seu sistema usará esse TPM e sua chave para garantir que o firmware 01:42.120 --> 01:45.420 do sistema, o gerenciador de inicialização e o kernel do sistema operacional 01:45.420 --> 01:47.640 não tenham sido adulterados ou modificados por 01:47.640 --> 01:49.440 meio de várias funções diferentes executadas 01:49.440 --> 01:52.230 no Trusted Platform Module. 01:52.230 --> 01:56.340 Primeiro, o TPM fornece um método seguro de entrada e saída. 01:56.340 --> 01:59.430 Em segundo lugar, há um processador criptográfico dentro dele que 01:59.430 --> 02:02.010 fornece um verdadeiro gerador de números aleatórios. 02:02.010 --> 02:04.650 O TPM também tem um gerador de chaves RSA, um gerador 02:04.650 --> 02:06.330 de hash SHA-1 e um mecanismo de 02:06.330 --> 02:09.570 assinatura de criptografia e descriptografia. 02:09.570 --> 02:10.950 Além de tudo isso, o TPM também 02:10.950 --> 02:13.320 tem uma memória persistente que contém uma 02:13.320 --> 02:16.170 chave digital conhecida como chave de endosso e uma 02:16.170 --> 02:19.680 chave raiz de armazenamento conhecida como SRK. 02:19.680 --> 02:22.320 O TPM também tem uma memória versátil localizada nele, que 02:22.320 --> 02:24.150 inclui os Registros de Configuração da 02:24.150 --> 02:27.180 Plataforma (Platform Configuration Registers, PCRs), as Chaves 02:27.180 --> 02:30.090 de Identidade de Atestado (Attestation Identity Keys, AIKs) e 02:30.090 --> 02:31.620 as chaves de armazenamento. 02:31.620 --> 02:33.600 Isso representa uma grande quantidade 02:33.600 --> 02:35.880 de funcionalidades em um único chip TPM. 02:35.880 --> 02:38.310 Então, você deve estar se perguntando: preciso memorizar 02:38.310 --> 02:40.710 todas essas coisas diferentes para o exame? 02:40.710 --> 02:43.410 Bem, a boa notícia é que não, mas eu gostaria de 02:43.410 --> 02:45.390 apresentar esse conceito a você, 02:45.390 --> 02:47.610 pois você o verá repetidamente à medida 02:47.610 --> 02:51.540 que avançar em sua carreira de TI e segurança cibernética. 02:51.540 --> 02:53.040 Em vez disso, para o exame, preciso 02:53.040 --> 02:54.720 apenas que você se lembre de que 02:54.720 --> 02:57.390 o Trusted Platform Module ou TPM é uma raiz de confiança 02:57.390 --> 02:58.890 de hardware e que faz parte do 02:58.890 --> 03:00.480 seu sistema. 03:00.480 --> 03:02.760 Isso permitirá que você tenha a capacidade 03:02.760 --> 03:04.650 de garantir que a inicialização 03:04.650 --> 03:06.180 do sistema seja feita com segurança, 03:06.180 --> 03:08.730 pois esse TPM atesta que a UEFI não foi modificada 03:08.730 --> 03:11.700 ou adulterada e que o TPM também pode ser usado para fornecer 03:11.700 --> 03:16.470 criptografia aos dispositivos de armazenamento. 03:16.470 --> 03:19.500 Sim, essa é mais uma função do TPM, pois ele pode ser usado como 03:19.500 --> 03:21.480 chave secreta em conjunto com a criptografia 03:21.480 --> 03:24.240 de disco completo em um sistema para proteger o conteúdo 03:24.240 --> 03:27.090 do seu dispositivo de armazenamento. 03:27.090 --> 03:29.220 Por exemplo, se você estiver usando o BitLocker com 03:29.220 --> 03:31.620 criptografia de disco completo em um sistema Windows, ele 03:31.620 --> 03:34.470 está, na verdade, usando a chave dentro do TPM para garantir que os 03:34.470 --> 03:36.480 dados no dispositivo de armazenamento permaneçam 03:36.480 --> 03:38.400 criptografados com segurança. 03:38.400 --> 03:40.560 O TPM pode ser ativado ou desativado na ferramenta 03:40.560 --> 03:42.990 de configuração UEFI ou você pode gerenciá-lo 03:42.990 --> 03:44.970 usando ferramentas do sistema operacional, 03:44.970 --> 03:46.230 se o sistema operacional 03:46.230 --> 03:48.660 for compatível com isso. 03:48.660 --> 03:50.850 Por exemplo, o sistema operacional 03:50.850 --> 03:52.920 Windows permite que você gerencie 03:52.920 --> 03:56.970 o TPM usando o tpm. msc no Windows ou, se estiver usando 03:56.970 --> 03:59.610 o ambiente do Windows Server, poderá modificá-lo 03:59.610 --> 04:02.490 usando o Group Policy Editor. 04:02.490 --> 04:03.810 Agora, para o exame, você 04:03.810 --> 04:07.290 não precisa saber como modificar ou configurar o TPM, mas no mundo 04:07.290 --> 04:09.510 real, como técnico, você pode ser solicitado 04:09.510 --> 04:12.510 a trabalhar com o Trusted Platform Module. 04:12.510 --> 04:14.250 Se for o caso, você sempre pode consultar a documentação 04:14.250 --> 04:16.890 mais recente na Microsoft. com para saber como 04:16.890 --> 04:20.400 modificar e configurar o TPM corretamente. 04:20.400 --> 04:22.140 Outra forma de raiz de confiança 04:22.140 --> 04:23.100 de hardware que devemos 04:23.100 --> 04:27.030 analisar é conhecida como módulo de segurança de hardware ou HSM. 04:27.030 --> 04:29.550 Agora, um módulo de segurança de hardware é um dispositivo 04:29.550 --> 04:31.920 para gerar e armazenar chaves criptográficas que é 04:31.920 --> 04:34.830 menos suscetível a adulterações e ameaças internas do que o uso 04:34.830 --> 04:37.050 de soluções baseadas em armazenamento. 04:37.050 --> 04:38.700 Agora, os módulos de segurança de hardware 04:38.700 --> 04:41.490 são usados para proteger nossos sistemas usando a passagem de criptografia, 04:41.490 --> 04:42.870 porque são muito mais seguros do 04:42.870 --> 04:46.050 que usar uma senha tradicional ou uma chave secreta. 04:46.050 --> 04:48.150 Em vez disso, um módulo de segurança de hardware 04:48.150 --> 04:50.700 contém uma chave digital confiável e protegida que pode ser 04:50.700 --> 04:52.680 usada com um dispositivo de criptografia. 04:52.680 --> 04:53.820 Há muitas maneiras diferentes 04:53.820 --> 04:55.680 de criar módulos de segurança de hardware, 04:55.680 --> 04:58.710 e eles também são produzidos em diferentes formatos. 04:58.710 --> 05:00.570 Por exemplo, aqui na tela, você pode 05:00.570 --> 05:03.270 ver o módulo de segurança de hardware nCipher e ele 05:03.270 --> 05:05.400 tem três modelos diferentes. 05:05.400 --> 05:07.170 Há um que é uma placa interna que pode 05:07.170 --> 05:09.060 ser colocada dentro de seu sistema, 05:09.060 --> 05:11.040 há um que é um sistema montado em rack e 05:11.040 --> 05:11.873 há outro que é mais 05:11.873 --> 05:14.370 uma solução do tipo Internet das coisas. 05:14.370 --> 05:16.560 A vantagem real desses tipos de sistemas é que eles 05:16.560 --> 05:17.760 são automatizados, o que significa 05:17.760 --> 05:20.010 que as chaves não podem ser comprometidas por envolvimento 05:20.010 --> 05:21.480 humano. 05:21.480 --> 05:23.400 Ao remover a pessoa da equação, podemos 05:23.400 --> 05:25.620 ter mais segurança para nossos sistemas e garantir 05:25.620 --> 05:27.630 que eles sejam mais seguros. 05:27.630 --> 05:29.790 Outra forma de módulo de segurança de hardware é um 05:29.790 --> 05:33.060 dispositivo que se parece com um pen drive ou uma unidade flash USB que pode conter 05:33.060 --> 05:34.410 uma chave digital usada para criptografar 05:34.410 --> 05:37.560 um disco rígido ou outro dispositivo de armazenamento. 05:37.560 --> 05:39.870 Em seguida, para descriptografar e ler essa unidade, 05:39.870 --> 05:42.570 você precisaria inserir o HSM no sistema, ler e verificar 05:42.570 --> 05:44.760 essa chave digital e, então, o dispositivo de 05:44.760 --> 05:47.610 armazenamento poderia ser descriptografado. 05:47.610 --> 05:50.130 Essa é, na verdade, uma maneira muito comum de criptografar discos 05:50.130 --> 05:52.950 rígidos antes de o Trusted Platform Module ser comumente incluído como parte 05:52.950 --> 05:54.633 de nossos computadores modernos.