WEBVTT 00:00.090 --> 00:01.050 Instructor: En 00:01.050 --> 00:04.530 esta lección, vamos a hablar sobre el Trusted Platform Module 00:04.530 --> 00:07.350 o TPM y el módulo de seguridad de hardware o HSM 00:07.350 --> 00:09.750 que existe como parte de tu UEFI. 00:09.750 --> 00:11.310 Pero antes, quiero presentarte 00:11.310 --> 00:14.790 la Raíz de Confianza del hardware, conocida como RoT. 00:14.790 --> 00:17.070 Ahora, una Raíz de Confianza de hardware es la base 00:17.070 --> 00:20.850 de la que dependen todas las operaciones seguras de un sistema informático. 00:20.850 --> 00:23.580 Contiene las claves utilizadas para las funciones criptográficas 00:23.580 --> 00:26.100 y permite un proceso de arranque seguro. 00:26.100 --> 00:27.540 Esto es inherentemente de 00:27.540 --> 00:30.600 confianza y por lo tanto debe ser seguro por diseño. 00:30.600 --> 00:32.100 Ahora una Raíz de Confianza de Hardware 00:32.100 --> 00:35.550 es un módulo criptográfico incrustado dentro de un sistema informático que 00:35.550 --> 00:37.470 puede avalar la ejecución de confianza y dar 00:37.470 --> 00:40.380 fe de las configuraciones y métricas de arranque. 00:40.380 --> 00:42.570 Puede parecer un concepto complicado, pero 00:42.570 --> 00:45.210 usted utiliza una raíz de confianza todo el tiempo. 00:45.210 --> 00:48.480 De hecho, el módulo TPM dentro de la UEFI de tu ordenador 00:48.480 --> 00:50.760 es una Raíz de Confianza de hardware. 00:50.760 --> 00:53.100 Esencialmente, una Raíz de Confianza va a ser usada para 00:53.100 --> 00:55.230 escanear las métricas de arranque al sistema y los 00:55.230 --> 00:56.850 archivos del sistema operativo. 00:56.850 --> 00:57.960 Y entonces la raíz de confianza 00:57.960 --> 01:00.300 puede enviar un informe al procesador firmado digitalmente 01:00.300 --> 01:03.000 con el certificado de la raíz de confianza para indicar que 01:03.000 --> 01:05.340 se puede confiar en ellos. 01:05.340 --> 01:07.410 Esencialmente, esta Raíz de Confianza 01:07.410 --> 01:08.940 de hardware es un certificado 01:08.940 --> 01:11.370 digital, pero está incrustado dentro de su chip 01:11.370 --> 01:13.920 como parte del firmware de su sistema. 01:13.920 --> 01:16.680 En la actualidad, la Raíz de Confianza de hardware más 01:16.680 --> 01:19.500 utilizada es el Módulo de Plataforma Confiable o TPM que 01:19.500 --> 01:21.570 existe dentro de su computadora. 01:21.570 --> 01:24.570 El TPM es una especificación para el almacenamiento basado en hardware 01:24.570 --> 01:27.660 de certificados digitales, claves, hashes de contraseñas y otra 01:27.660 --> 01:31.080 información de identificación de usuarios y plataformas. 01:31.080 --> 01:33.810 Cada microprocesador TPM está codificado 01:33.810 --> 01:35.880 con una clave única e inalterable 01:35.880 --> 01:39.180 denominada clave de endoso o EK. 01:39.180 --> 01:42.120 Su sistema va a utilizar este TPM y su clave para asegurar que el firmware 01:42.120 --> 01:45.420 del sistema, el gestor de arranque y el kernel del sistema operativo no han 01:45.420 --> 01:47.640 sido manipulados o modificados mediante el uso de 01:47.640 --> 01:49.440 múltiples funciones diferentes realizadas 01:49.440 --> 01:52.230 dentro del módulo de plataforma de confianza. 01:52.230 --> 01:56.340 En primer lugar, el TPM proporciona un método seguro de entrada y salida. 01:56.340 --> 01:59.430 En segundo lugar, hay un procesador criptográfico en su interior que proporciona 01:59.430 --> 02:02.010 un verdadero generador de números aleatorios. 02:02.010 --> 02:04.650 El TPM también cuenta con un generador de claves 02:04.650 --> 02:06.330 RSA, un generador de hash SHA-1 02:06.330 --> 02:09.570 y un motor de firmas de cifrado y descifrado. 02:09.570 --> 02:10.950 Además de todo eso, el TPM 02:10.950 --> 02:13.320 también tiene una memoria persistente que 02:13.320 --> 02:16.170 contiene una clave digital conocida como clave de respaldo 02:16.170 --> 02:19.680 y una clave raíz de almacenamiento conocida como SRK. 02:19.680 --> 02:22.320 Ahora el TPM también tiene una memoria versátil que 02:22.320 --> 02:24.150 se encuentra dentro de él y esto incluye 02:24.150 --> 02:27.180 los registros de configuración de la plataforma o PCRs, las 02:27.180 --> 02:30.090 claves de identidad de atestación o AIKs y las claves de 02:30.090 --> 02:31.620 almacenamiento. 02:31.620 --> 02:33.600 Eso es mucha funcionalidad 02:33.600 --> 02:35.880 dentro de ese pequeño chip TPM. 02:35.880 --> 02:38.310 Seguramente te preguntarás: ¿tengo que memorizar 02:38.310 --> 02:40.710 todas estas cosas para el examen? 02:40.710 --> 02:43.410 Bueno, la buena noticia es que no, pero quería 02:43.410 --> 02:45.390 presentarte este concepto porque 02:45.390 --> 02:47.610 lo vas a ver una y otra vez a medida que 02:47.610 --> 02:51.540 sigas ascendiendo en tu carrera de TI y ciberseguridad. 02:51.540 --> 02:53.040 En cambio, para el examen, realmente 02:53.040 --> 02:54.720 sólo necesito que recuerdes que el 02:54.720 --> 02:57.390 Módulo de Plataforma Confiable o TPM es una Raíz de Confianza 02:57.390 --> 02:58.890 de hardware y que es parte de tu 02:58.890 --> 03:00.480 sistema. 03:00.480 --> 03:02.760 Y va a permitir que usted tenga la capacidad de asegurarse 03:02.760 --> 03:04.650 de que cuando su sistema está siendo arrancado, 03:04.650 --> 03:06.180 se está haciendo de forma segura, 03:06.180 --> 03:08.730 porque este TPM está atestiguando el hecho de que nuestro 03:08.730 --> 03:11.700 UEFI no ha sido modificado o manipulado y que TPM también se puede 03:11.700 --> 03:16.470 utilizar para proporcionar cifrado para sus dispositivos de almacenamiento. 03:16.470 --> 03:19.500 Sí, esta es otra función del TPM, ya que puede utilizarse 03:19.500 --> 03:21.480 como clave secreta junto con el cifrado 03:21.480 --> 03:24.240 de disco completo en un sistema para proteger el contenido 03:24.240 --> 03:27.090 de tu dispositivo de almacenamiento. 03:27.090 --> 03:29.220 Por ejemplo, si utilizas BitLocker con cifrado 03:29.220 --> 03:31.620 de disco completo en un sistema Windows, en realidad está 03:31.620 --> 03:34.470 utilizando la clave dentro de tu TPM para asegurarse de que los datos 03:34.470 --> 03:36.480 de tu dispositivo de almacenamiento permanecen 03:36.480 --> 03:38.400 cifrados de forma segura. 03:38.400 --> 03:40.560 El TPM se puede activar o desactivar 03:40.560 --> 03:42.990 desde la herramienta de configuración 03:42.990 --> 03:44.970 UEFI o se puede gestionar mediante 03:44.970 --> 03:46.230 herramientas del sistema 03:46.230 --> 03:48.660 operativo, si éste lo admite. 03:48.660 --> 03:50.850 Por ejemplo, el sistema operativo 03:50.850 --> 03:52.920 Windows sí permite gestionar 03:52.920 --> 03:56.970 el TPM mediante el tpm. msc dentro de Windows, o si utiliza 03:56.970 --> 03:59.610 el entorno Windows Server, puede modificarla 03:59.610 --> 04:02.490 mediante el Editor de directivas de grupo. 04:02.490 --> 04:03.810 Ahora, para el examen, no 04:03.810 --> 04:07.290 necesitas saber cómo modificar o configurar el TPM, pero en el 04:07.290 --> 04:09.510 mundo real, como técnico, se te puede pedir 04:09.510 --> 04:12.510 que trabajes con el Trusted Platform Module. 04:12.510 --> 04:14.250 Si es así, siempre puedes consultar la documentación 04:14.250 --> 04:16.890 más reciente en microsoft. com para saber cómo 04:16.890 --> 04:20.400 modificar y configurar el TPM correctamente. 04:20.400 --> 04:22.140 Otra forma de Root of Trust de hardware 04:22.140 --> 04:23.100 que tenemos que tener 04:23.100 --> 04:27.030 en cuenta se conoce como módulo de seguridad de hardware o HSM. 04:27.030 --> 04:29.550 Ahora, un módulo de seguridad de hardware es un dispositivo 04:29.550 --> 04:31.920 para generar y almacenar claves criptográficas que es 04:31.920 --> 04:34.830 menos susceptible a la manipulación y a las amenazas internas que el 04:34.830 --> 04:37.050 uso de soluciones basadas en el almacenamiento. 04:37.050 --> 04:38.700 Ahora se utilizan módulos de seguridad 04:38.700 --> 04:41.490 de hardware para proteger nuestros sistemas mediante pases de 04:41.490 --> 04:42.870 cifrado, porque son mucho más seguros 04:42.870 --> 04:46.050 que utilizar una contraseña tradicional o una clave secreta. 04:46.050 --> 04:48.150 En su lugar, un módulo de seguridad de hardware contiene 04:48.150 --> 04:50.700 una clave digital protegida y de confianza que puede utilizarse 04:50.700 --> 04:52.680 con un dispositivo de cifrado. 04:52.680 --> 04:53.820 Hay muchas maneras diferentes 04:53.820 --> 04:55.680 de crear módulos de seguridad de hardware, 04:55.680 --> 04:58.710 y también se producen en diferentes factores de forma. 04:58.710 --> 05:00.570 Por ejemplo, aquí en la pantalla, se 05:00.570 --> 05:03.270 puede ver el módulo de seguridad de hardware nCipher 05:03.270 --> 05:05.400 y tiene tres modelos diferentes aquí. 05:05.400 --> 05:07.170 Hay una que es una tarjeta interna que 05:07.170 --> 05:09.060 se puede colocar dentro del sistema, 05:09.060 --> 05:11.040 otra que es un sistema montado en bastidor 05:11.040 --> 05:11.873 y otra que es más una 05:11.873 --> 05:14.370 solución del tipo Internet de las cosas. 05:14.370 --> 05:16.560 La verdadera ventaja de este tipo de sistemas es que 05:16.560 --> 05:17.760 están automatizados, y eso significa 05:17.760 --> 05:20.010 que las claves no pueden verse comprometidas por la intervención 05:20.010 --> 05:21.480 humana. 05:21.480 --> 05:23.400 Al eliminar a la persona de la ecuación, 05:23.400 --> 05:25.620 podemos mejorar la seguridad de nuestros sistemas 05:25.620 --> 05:27.630 y garantizar que sean más seguros. 05:27.630 --> 05:29.790 Otra forma de módulo de seguridad de hardware es 05:29.790 --> 05:33.060 un dispositivo parecido a una memoria USB o pendrive que puede contener 05:33.060 --> 05:34.410 una clave digital que se utiliza 05:34.410 --> 05:37.560 para cifrar un disco duro u otro dispositivo de almacenamiento. 05:37.560 --> 05:39.870 Entonces, para descifrar y leer esa unidad, habría 05:39.870 --> 05:42.570 que insertar el HSM en el sistema, hacer que se leyera y verificara 05:42.570 --> 05:44.760 esa clave digital y, a continuación, se podría 05:44.760 --> 05:47.610 descifrar el dispositivo de almacenamiento. 05:47.610 --> 05:50.130 En realidad, se trata de una forma muy común de cifrar discos duros antes 05:50.130 --> 05:52.950 de que el módulo de plataforma de confianza se incluyera habitualmente como 05:52.950 --> 05:54.633 parte de nuestros ordenadores modernos.