WEBVTT

00:00.090 --> 00:01.050
ผู้สอน: ในบทนี้

00:01.050 --> 00:07.350
เราจะพูดถึง Trusted Platform Module หรือ TPM และโมดูลการรักษาความปลอดภัยฮาร์ดแวร์หรือ

00:07.350 --> 00:09.750
HSM ที่มีอยู่ใน UEFI ของคุณ

00:09.750 --> 00:11.310
แต่ก่อนอื่น ผมอยากแนะนำให้คุณรู้จักกับฮาร์ดแวร์

00:11.310 --> 00:14.790
Root of Trust หรือที่เรียกว่า RoT

00:14.790 --> 00:20.850
ตอนนี้ Root of Trust ของฮาร์ดแวร์เป็นรากฐานที่การดำเนินการรักษาความปลอดภัยทั้งหมดของระบบคอมพิวเตอร์ขึ้นอยู่กับ

00:20.850 --> 00:26.100
ประกอบด้วยคีย์ที่ใช้สำหรับฟังก์ชันการเข้ารหัสและเปิดใช้งานกระบวนการบูตที่ปลอดภัย

00:26.100 --> 00:27.540
สิ่งนี้ได้รับความไว้วางใจโดยเนื้อแท้

00:27.540 --> 00:30.600
ดังนั้นจึงต้องมีความปลอดภัยโดยการออกแบบ

00:30.600 --> 00:32.100
ตอนนี้ Hardware Root of Trust

00:32.100 --> 00:40.380
เป็นโมดูลการเข้ารหัสที่ฝังอยู่ภายในระบบคอมพิวเตอร์ที่สามารถรับรองการดำเนินการที่เชื่อถือได้และรับรองการตั้งค่าการบูตและเมตริก

00:40.380 --> 00:42.570
นี่อาจฟังดูเป็นแนวคิดที่ซับซ้อน

00:42.570 --> 00:45.210
แต่คุณใช้ Root of Trust ตลอดเวลา

00:45.210 --> 00:48.480
ในความเป็นจริง โมดูล TPM ภายใน UEFI ของคอมพิวเตอร์ของคุณคือ

00:48.480 --> 00:50.760
Root of Trust ของฮาร์ดแวร์

00:50.760 --> 00:53.100
โดยพื้นฐานแล้ว ระบบจะใช้ Root of Trust

00:53.100 --> 00:56.850
เพื่อสแกนเมตริกการบูตไปยังระบบและไฟล์ระบบปฏิบัติการ

00:56.850 --> 00:57.960
จากนั้น Root of Trust

00:57.960 --> 01:00.300
สามารถส่งรายงานไปยังโปรเซสเซอร์ที่เซ็นชื่อแบบดิจิทัลโดยใช้ใบรับรอง

01:00.300 --> 01:05.340
Root of Trust เพื่อระบุว่าเชื่อถือได้

01:05.340 --> 01:07.410
โดยพื้นฐานแล้ว ฮาร์ดแวร์ Root of Trust

01:07.410 --> 01:08.940
นี้เป็นใบรับรองดิจิทัล

01:08.940 --> 01:13.920
แต่จะฝังอยู่ภายในชิปของคุณโดยเป็นส่วนหนึ่งของเฟิร์มแวร์ในระบบของคุณ

01:13.920 --> 01:16.680
ตอนนี้ฮาร์ดแวร์ Root of Trust ที่ใช้บ่อยที่สุดคือ

01:16.680 --> 01:21.570
Trusted Platform Module หรือ TPM ที่มีอยู่ในคอมพิวเตอร์ของคุณ

01:21.570 --> 01:24.570
TPM เป็นข้อกำหนดสำหรับการจัดเก็บใบรับรองดิจิทัล

01:24.570 --> 01:27.660
คีย์ แฮชรหัสผ่าน และข้อมูลประจำตัวผู้ใช้และแพลตฟอร์มอื่นๆ

01:27.660 --> 01:31.080
บนฮาร์ดแวร์

01:31.080 --> 01:35.880
ไมโครโปรเซสเซอร์ TPM แต่ละตัวได้รับการฮาร์ดโค้ดด้วยคีย์ที่ไม่ซ้ำใครและไม่สามารถเปลี่ยนแปลงได้ซึ่งเรียกว่าคีย์การรับรองหรือ

01:35.880 --> 01:39.180
EK

01:39.180 --> 01:42.120
ระบบของคุณกำลังจะใช้ TPM นี้และคีย์ของมันเพื่อให้แน่ใจว่าเฟิร์มแวร์ระบบ

01:42.120 --> 01:49.440
บูตโหลดเดอร์ และเคอร์เนล OS ไม่ได้ถูกดัดแปลงหรือดัดแปลงโดยใช้ฟังก์ชันต่างๆ หลายอย่างที่ดำเนินการภายใน Trusted Platform

01:49.440 --> 01:52.230
Module

01:52.230 --> 01:56.340
ประการแรก TPM จัดเตรียมวิธีการอินพุตและเอาต์พุตที่ปลอดภัย

01:56.340 --> 02:02.010
ประการที่สอง มีตัวประมวลผลการเข้ารหัสภายในที่ให้ตัวสร้างตัวเลขสุ่มที่แท้จริง

02:02.010 --> 02:04.650
TPM ยังมีตัวสร้างคีย์ RSA ตัวสร้างแฮช

02:04.650 --> 02:09.570
SHA-1 และทั้งเอ็นจิ้นการเข้ารหัสและถอดรหัส

02:09.570 --> 02:10.950
นอกเหนือจากนั้น TPM

02:10.950 --> 02:16.170
ยังมีหน่วยความจำถาวรที่มีคีย์ดิจิทัลที่เรียกว่าคีย์การรับรองและคีย์รูทของหน่วยเก็บข้อมูลที่เรียกว่า

02:16.170 --> 02:19.680
SRK

02:19.680 --> 02:22.320
ตอนนี้ TPM ยังมีหน่วยความจำเอนกประสงค์ที่อยู่ภายใน

02:22.320 --> 02:24.150
ซึ่งรวมถึง Platform Configuration

02:24.150 --> 02:27.180
Registers หรือ PCRs, Attestation Identity Keys

02:27.180 --> 02:31.620
หรือ AIK และคีย์หน่วยเก็บข้อมูล

02:31.620 --> 02:33.600
ตอนนี้มีฟังก์ชันมากมายภายในชิป

02:33.600 --> 02:35.880
TPM ตัวเล็ก ๆ ตัวเดียว

02:35.880 --> 02:40.710
คุณอาจจะสงสัยว่า ฉันต้องจำสิ่งต่างๆ เหล่านี้ทั้งหมดเพื่อใช้ในการสอบหรือไม่?

02:40.710 --> 02:43.410
ข่าวดีก็คือ ไม่ คุณไม่ทำ แต่ฉันอยากจะแนะนำคุณให้รู้จักกับแนวคิดนี้

02:43.410 --> 02:51.540
เพราะคุณจะเห็นมันซ้ำแล้วซ้ำอีกเมื่อคุณก้าวหน้าต่อไปในอาชีพด้านไอทีและความปลอดภัยในโลกไซเบอร์

02:51.540 --> 02:53.040
สำหรับการสอบ ฉันต้องการให้คุณจำไว้ว่า

02:53.040 --> 02:54.720
Trusted Platform Module หรือ

02:54.720 --> 03:00.480
TPM เป็นฮาร์ดแวร์ Root of Trust และเป็นส่วนหนึ่งของระบบของคุณ

03:00.480 --> 03:04.650
และมันจะช่วยให้คุณมีความสามารถในการมั่นใจได้ว่าเมื่อระบบของคุณถูกบูท

03:04.650 --> 03:06.180
ระบบจะดำเนินการอย่างปลอดภัย

03:06.180 --> 03:08.730
เนื่องจาก TPM นี้เป็นการยืนยันข้อเท็จจริงที่ว่า

03:08.730 --> 03:11.700
UEFI ของเราไม่ได้ถูกแก้ไขหรือแก้ไข และ TPM ก็สามารถเป็นได้เช่นกัน

03:11.700 --> 03:16.470
ใช้เพื่อให้การเข้ารหัสสำหรับอุปกรณ์เก็บข้อมูลของคุณ

03:16.470 --> 03:27.090
ใช่ นี่เป็นอีกฟังก์ชันหนึ่งของ TPM เนื่องจากสามารถใช้เป็นรหัสลับร่วมกับการเข้ารหัสทั้งดิสก์ในระบบเพื่อปกป้องเนื้อหาในอุปกรณ์จัดเก็บข้อมูลของคุณ

03:27.090 --> 03:29.220
ตัวอย่างเช่น หากคุณใช้ BitLocker ที่มีการเข้ารหัสทั้งดิสก์บนระบบ

03:29.220 --> 03:38.400
Windows ที่จริงแล้ว จะใช้คีย์ภายใน TPM เพื่อให้แน่ใจว่าข้อมูลในอุปกรณ์จัดเก็บข้อมูลของคุณยังคงเข้ารหัสอย่างปลอดภัย

03:38.400 --> 03:40.560
TPM สามารถเปิดใช้งานหรือปิดใช้งานได้จากภายในเครื่องมือกำหนดค่า

03:40.560 --> 03:48.660
UEFI ของคุณ หรือคุณสามารถจัดการโดยใช้เครื่องมือภายในระบบปฏิบัติการ หากระบบปฏิบัติการของคุณรองรับ

03:48.660 --> 03:50.850
ตัวอย่างเช่น ระบบปฏิบัติการ

03:50.850 --> 03:52.920
Windows อนุญาตให้คุณจัดการ

03:52.920 --> 03:56.970
TPM โดยใช้ tpm เครื่องมือคอนโซล msc ภายใน Windows

03:56.970 --> 04:02.490
หรือหากคุณใช้สภาพแวดล้อม Windows Server คุณสามารถแก้ไขได้โดยใช้ตัวแก้ไขนโยบายกลุ่ม

04:02.490 --> 04:03.810
ตอนนี้สำหรับการสอบ คุณไม่จำเป็นต้องรู้วิธีแก้ไขหรือกำหนดค่า

04:03.810 --> 04:12.510
TPM แต่ในโลกของความเป็นจริง ในฐานะช่างเทคนิค คุณอาจถูกขอให้ทำงานกับ Trusted Platform Module

04:12.510 --> 04:14.250
หากคุณเป็นเช่นนั้น คุณสามารถค้นหาเอกสารล่าสุดได้ตลอดเวลาที่

04:14.250 --> 04:16.890
Microsoft com สำหรับวิธีการแก้ไขและกำหนดค่า

04:16.890 --> 04:20.400
TPM อย่างถูกต้อง

04:20.400 --> 04:23.100
Root of Trust ของฮาร์ดแวร์อีกรูปแบบหนึ่งที่เราต้องดูเรียกว่าโมดูลความปลอดภัยของฮาร์ดแวร์หรือ

04:23.100 --> 04:27.030
HSM

04:27.030 --> 04:37.050
ปัจจุบัน โมดูลการรักษาความปลอดภัยฮาร์ดแวร์เป็นอุปกรณ์สำหรับสร้างและจัดเก็บคีย์เข้ารหัสซึ่งไวต่อการดัดแปลงและภัยคุกคามจากภายในน้อยกว่าการใช้โซลูชันที่ใช้พื้นที่เก็บข้อมูล

04:37.050 --> 04:41.490
ปัจจุบันมีการใช้โมดูลการรักษาความปลอดภัยฮาร์ดแวร์เพื่อปกป้องระบบของเราโดยใช้รหัสผ่านการเข้ารหัส

04:41.490 --> 04:46.050
เนื่องจากมีความปลอดภัยมากกว่าการใช้รหัสผ่านหรือรหัสลับแบบเดิม

04:46.050 --> 04:50.700
โมดูลความปลอดภัยฮาร์ดแวร์ประกอบด้วยคีย์ดิจิทัลที่เชื่อถือได้และได้รับการป้องกันแทน

04:50.700 --> 04:52.680
ซึ่งสามารถใช้กับอุปกรณ์เข้ารหัสได้

04:52.680 --> 04:55.680
มีหลายวิธีในการสร้างโมดูลความปลอดภัยของฮาร์ดแวร์

04:55.680 --> 04:58.710
และผลิตในรูปแบบที่แตกต่างกันด้วย

04:58.710 --> 05:00.570
ตัวอย่างเช่น บนหน้าจอ คุณจะเห็นโมดูลความปลอดภัยฮาร์ดแวร์

05:00.570 --> 05:05.400
nCipher และมีสามรุ่นที่แตกต่างกันที่นี่

05:05.400 --> 05:07.170
มีการ์ดหนึ่งที่เป็นการ์ดภายในที่สามารถใส่ไว้ในระบบของคุณ

05:07.170 --> 05:09.060
มีการ์ดที่เป็นระบบที่ติดตั้งบนชั้นวาง

05:09.060 --> 05:11.873
และจากนั้นก็มีอีกการ์ดหนึ่งที่เป็นโซลูชันประเภท Internet

05:11.873 --> 05:14.370
of Things มากกว่า

05:14.370 --> 05:16.560
ข้อได้เปรียบที่แท้จริงของระบบประเภทนี้คือเป็นระบบอัตโนมัติ

05:16.560 --> 05:21.480
และนั่นหมายความว่ากุญแจไม่สามารถถูกบุกรุกโดยการมีส่วนร่วมของมนุษย์

05:21.480 --> 05:23.400
การนำบุคคลออกจากสมการจะทำให้เรามีความปลอดภัยมากขึ้นสำหรับระบบของเรา

05:23.400 --> 05:27.630
และมั่นใจได้ว่าระบบจะปลอดภัยมากขึ้น

05:27.630 --> 05:29.790
โมดูลความปลอดภัยฮาร์ดแวร์อีกรูปแบบหนึ่งคืออุปกรณ์ที่มีลักษณะเหมือนธัมบ์ไดรฟ์

05:29.790 --> 05:37.560
USB หรือแฟลชไดรฟ์ที่สามารถมีคีย์ดิจิทัลที่ใช้เข้ารหัสฮาร์ดไดรฟ์หรืออุปกรณ์เก็บข้อมูลอื่นๆ

05:37.560 --> 05:39.870
จากนั้น ในการถอดรหัสและอ่านไดรฟ์นั้น

05:39.870 --> 05:42.570
คุณจะต้องใส่ HSM เข้าไปในระบบ ให้อ่านและตรวจสอบรหัสดิจิทัลนั้น

05:42.570 --> 05:47.610
จากนั้นจึงจะสามารถถอดรหัสอุปกรณ์จัดเก็บข้อมูลได้

05:47.610 --> 05:50.130
นี่เป็นวิธีทั่วไปในการเข้ารหัสฮาร์ดไดรฟ์ก่อนที่

05:50.130 --> 05:54.633
Trusted Platform Module จะรวมเป็นส่วนหนึ่งของคอมพิวเตอร์สมัยใหม่ของเรา