WEBVTT 00:00.090 --> 00:01.050 Eğitmen: Bu derste, 00:01.050 --> 00:04.530 UEFI'nizin bir parçası olarak var olan Güvenilir Platform 00:04.530 --> 00:07.350 Modülü veya TPM ve donanım güvenlik modülü veya 00:07.350 --> 00:09.750 HSM hakkında konuşacağız. 00:09.750 --> 00:11.310 Ama önce sizi RoT olarak bilinen 00:11.310 --> 00:14.790 donanım Güven Kökü ile tanıştırmak istiyorum. 00:14.790 --> 00:17.070 Artık bir donanım Güven Kökü, bir bilgi işlem 00:17.070 --> 00:20.850 sisteminin tüm güvenli işlemlerinin bağlı olduğu temeldir. 00:20.850 --> 00:23.580 Kriptografik işlevler için kullanılan anahtarları 00:23.580 --> 00:26.100 içerir ve güvenli bir önyükleme işlemi sağlar. 00:26.100 --> 00:27.540 Bu, doğası gereği güvenilirdir 00:27.540 --> 00:30.600 ve bu nedenle tasarım gereği güvenli olmalıdır. 00:30.600 --> 00:32.100 Artık bir Donanım Güven Kökü, 00:32.100 --> 00:35.550 güvenilir yürütmeyi onaylayabilen ve önyükleme ayarlarını ve ölçümlerini 00:35.550 --> 00:37.470 doğrulayabilen bir bilgisayar sistemine 00:37.470 --> 00:40.380 gömülü bir kriptografik modüldür. 00:40.380 --> 00:42.570 Bu karmaşık bir kavram gibi gelebilir ancak 00:42.570 --> 00:45.210 Güven Kökü'nü her zaman kullanırsınız. 00:45.210 --> 00:48.480 Aslında, bilgisayarınızın UEFI'sinin içindeki TPM 00:48.480 --> 00:50.760 modülü bir donanım Güven Köküdür. 00:50.760 --> 00:53.100 Esasen, sisteme ve işletim sistemi dosyalarına yönelik 00:53.100 --> 00:55.230 önyükleme ölçümlerini taramak için bir Güven 00:55.230 --> 00:56.850 Kökü kullanılacaktır. 00:56.850 --> 00:57.960 Daha sonra Güven Kökü, 00:57.960 --> 01:00.300 işlemciye Güven Kökü sertifikasını kullanarak 01:00.300 --> 01:03.000 dijital olarak imzalanmış bir rapor gönderebilir ve 01:03.000 --> 01:05.340 bu rapora güvenilebileceğini belirtir. 01:05.340 --> 01:07.410 Esasen, bu donanım Güven Kökü dijital 01:07.410 --> 01:08.940 bir sertifikadır, ancak sisteminizdeki 01:08.940 --> 01:11.370 aygıt yazılımının bir parçası olarak çipinizin 01:11.370 --> 01:13.920 içine gömülüdür. 01:13.920 --> 01:16.680 Şu anda en yaygın kullanılan donanım Güven 01:16.680 --> 01:19.500 Kökü, bilgisayarınızda bulunan Güvenilir 01:19.500 --> 01:21.570 Platform Modülü veya TPM'dir. 01:21.570 --> 01:24.570 TPM, dijital sertifikaların, anahtarların, parola karmalarının 01:24.570 --> 01:27.660 ve diğer kullanıcı ve platform kimlik bilgilerinin donanım 01:27.660 --> 01:31.080 tabanlı depolanması için bir spesifikasyondur. 01:31.080 --> 01:33.810 Her TPM mikroişlemcisi, onay anahtarı veya EK 01:33.810 --> 01:35.880 olarak adlandırılan benzersiz ve 01:35.880 --> 01:39.180 değiştirilemez bir anahtarla sabit kodlanmıştır. 01:39.180 --> 01:42.120 Sisteminiz bu TPM'yi ve anahtarını, Güvenilir Platform Modülü içinde 01:42.120 --> 01:45.420 gerçekleştirilen çok sayıda farklı işlevi kullanarak sistem aygıt yazılımının, 01:45.420 --> 01:47.640 önyükleme yükleyicisinin ve işletim sistemi çekirdeğinin 01:47.640 --> 01:49.440 kurcalanmadığından veya değiştirilmediğinden 01:49.440 --> 01:52.230 emin olmak için kullanacaktır. 01:52.230 --> 01:56.340 İlk olarak, TPM güvenli bir giriş ve çıkış yöntemi sağlar. 01:56.340 --> 01:59.430 İkinci olarak, içinde gerçek bir rastgele sayı üreteci 01:59.430 --> 02:02.010 sağlayan bir kriptografik işlemci vardır. 02:02.010 --> 02:04.650 TPM ayrıca bir RSA anahtar üreteci, bir SHA-1 02:04.650 --> 02:06.330 karma üreteci ve hem şifreleme 02:06.330 --> 02:09.570 hem de şifre çözme imza motoruna sahiptir. 02:09.570 --> 02:10.950 Tüm bunlara ek olarak, TPM 02:10.950 --> 02:13.320 ayrıca destek anahtarı olarak bilinen bir 02:13.320 --> 02:16.170 dijital anahtar ve SRK olarak bilinen bir depolama 02:16.170 --> 02:19.680 kök anahtarı içeren kalıcı bir belleğe sahiptir. 02:19.680 --> 02:22.320 TPM aynı zamanda içinde bulunan çok yönlü bir belleğe 02:22.320 --> 02:24.150 sahiptir ve bu bellek Platform Yapılandırma 02:24.150 --> 02:27.180 Kayıtlarını ya da PCR'leri, Onay Kimlik Anahtarlarını 02:27.180 --> 02:31.620 ya da AIK'leri ve depolama anahtarlarını içerir. 02:31.620 --> 02:33.600 Şimdi bu küçük TPM çipi içinde 02:33.600 --> 02:35.880 çok fazla işlevsellik var. 02:35.880 --> 02:38.310 Muhtemelen merak ediyorsunuzdur, sınav için tüm 02:38.310 --> 02:40.710 bu farklı şeyleri ezberlemek zorunda mıyım? 02:40.710 --> 02:43.410 İyi haber şu ki, hayır, değilsiniz, ancak sizi 02:43.410 --> 02:45.390 bu kavramla tanıştırmak istedim 02:45.390 --> 02:47.610 çünkü BT ve siber güvenlik kariyerinizde 02:47.610 --> 02:51.540 yükselmeye devam ederken bunu tekrar tekrar göreceksiniz. 02:51.540 --> 02:53.040 Bunun yerine, sınav için Güvenilir 02:53.040 --> 02:54.720 Platform Modülü ya da TPM'nin bir 02:54.720 --> 02:57.390 donanım Güven Kökü olduğunu ve sisteminizin bir 02:57.390 --> 02:58.890 parçası olduğunu hatırlamanızı 02:58.890 --> 03:00.480 istiyorum. 03:00.480 --> 03:02.760 Ve sisteminiz açılırken bunun güvenli 03:02.760 --> 03:04.650 bir şekilde yapıldığından emin 03:04.650 --> 03:06.180 olmanızı sağlayacak çünkü 03:06.180 --> 03:08.730 bu TPM, UEFI'mizin değiştirilmediğini veya 03:08.730 --> 03:11.700 kurcalanmadığını kanıtlıyor ve TPM ayrıca depolama 03:11.700 --> 03:16.470 aygıtlarınız için şifreleme sağlamak için de kullanılabilir. 03:16.470 --> 03:19.500 Evet, bu TPM'nin bir başka işlevidir, çünkü depolama 03:19.500 --> 03:21.480 aygıtınızın içeriğini korumak için 03:21.480 --> 03:24.240 bir sistemdeki tam disk şifreleme ile birlikte 03:24.240 --> 03:27.090 gizli anahtar olarak kullanılabilir. 03:27.090 --> 03:29.220 Örneğin, bir Windows sisteminde tam disk şifrelemeli 03:29.220 --> 03:31.620 BitLocker kullanıyorsanız, depolama aygıtınızdaki 03:31.620 --> 03:34.470 verilerin güvenli bir şekilde şifrelendiğinden emin olmak 03:34.470 --> 03:36.480 için aslında TPM'nizin içindeki anahtarı 03:36.480 --> 03:38.400 kullanır. 03:38.400 --> 03:40.560 TPM, UEFI yapılandırma aracınızdan etkinleştirilebilir 03:40.560 --> 03:42.990 veya devre dışı bırakılabilir ya da işletim sisteminiz 03:42.990 --> 03:46.230 bunu destekliyorsa, işletim sistemindeki araçları kullanarak 03:46.230 --> 03:48.660 yönetebilirsiniz. 03:48.660 --> 03:50.850 Örneğin, Windows işletim sistemi 03:50.850 --> 03:52.920 tpm'yi kullanarak TPM'yi yönetmenize 03:52.920 --> 03:56.970 izin verir. msc konsol aracını kullanarak veya Windows 03:56.970 --> 03:59.610 Server ortamını kullanıyorsanız Grup İlkesi Düzenleyicisi'ni 03:59.610 --> 04:02.490 kullanarak değiştirebilirsiniz. 04:02.490 --> 04:03.810 Şimdi sınav için TPM'yi nasıl 04:03.810 --> 04:07.290 değiştireceğinizi veya yapılandıracağınızı bilmenize gerek yok, 04:07.290 --> 04:09.510 ancak gerçek dünyada bir teknisyen olarak Güvenilir 04:09.510 --> 04:12.510 Platform Modülü ile çalışmanız istenebilir. 04:12.510 --> 04:14.250 Eğer öyleyse, microsoft'taki en son belgelere 04:14.250 --> 04:16.890 her zaman bakabilirsiniz. com adresinden TPM'nin nasıl 04:16.890 --> 04:20.400 değiştirileceğini ve yapılandırılacağını öğrenebilirsiniz. 04:20.400 --> 04:22.140 İncelememiz gereken bir başka 04:22.140 --> 04:23.100 donanım Güven Kökü 04:23.100 --> 04:27.030 biçimi de donanım güvenlik modülü ya da HSM olarak bilinir. 04:27.030 --> 04:29.550 Artık bir donanım güvenlik modülü, kriptografik anahtarların 04:29.550 --> 04:31.920 üretilmesi ve depolanması için kullanılan, kurcalanmaya 04:31.920 --> 04:34.830 ve içeriden gelebilecek tehditlere karşı depolama tabanlı çözümlere 04:34.830 --> 04:37.050 göre daha az hassas olan bir cihazdır. 04:37.050 --> 04:38.700 Artık sistemlerimizi şifreleme geçişi 04:38.700 --> 04:41.490 kullanarak korumak için donanım güvenlik modülleri kullanılmaktadır, 04:41.490 --> 04:42.870 çünkü bunlar geleneksel bir şifre 04:42.870 --> 04:46.050 veya gizli anahtar kullanmaktan çok daha güvenlidir. 04:46.050 --> 04:48.150 Bunun yerine, bir donanım güvenlik modülü, bir 04:48.150 --> 04:50.700 şifreleme cihazıyla kullanılabilecek güvenilir ve 04:50.700 --> 04:52.680 korumalı bir dijital anahtar içerir. 04:52.680 --> 04:53.820 Donanım güvenlik modülleri 04:53.820 --> 04:55.680 oluşturmanın birçok farklı yolu vardır 04:55.680 --> 04:58.710 ve bunlar farklı form faktörlerinde de üretilmektedir. 04:58.710 --> 05:00.570 Örneğin, burada ekranda nCipher 05:00.570 --> 05:03.270 donanım güvenlik modülünü görebilirsiniz ve 05:03.270 --> 05:05.400 burada üç farklı modeli vardır. 05:05.400 --> 05:07.170 Bir tanesi sisteminizin içine yerleştirilebilen 05:07.170 --> 05:09.060 dahili bir kart, bir tanesi rafa monte 05:09.060 --> 05:11.873 bir sistem ve bir diğeri de daha çok nesnelerin interneti 05:11.873 --> 05:14.370 türünde bir çözüm. 05:14.370 --> 05:16.560 Bu tür sistemlerin gerçek avantajı otomatik 05:16.560 --> 05:17.760 olmalarıdır ve bu da anahtarların 05:17.760 --> 05:20.010 insan müdahalesi ile tehlikeye atılamayacağı 05:20.010 --> 05:21.480 anlamına gelir. 05:21.480 --> 05:23.400 Kişiyi denklemden çıkararak sistemlerimiz 05:23.400 --> 05:25.620 için daha iyi güvenlik sağlayabilir ve daha güvenli 05:25.620 --> 05:27.630 olmalarını sağlayabiliriz. 05:27.630 --> 05:29.790 Donanım güvenlik modülünün bir başka biçimi de, bir 05:29.790 --> 05:33.060 sabit sürücüyü veya başka bir depolama aygıtını şifrelemek için kullanılan 05:33.060 --> 05:34.410 dijital bir anahtar içerebilen 05:34.410 --> 05:37.560 USB başparmak sürücüsüne veya flash sürücüye benzeyen bir aygıttır. 05:37.560 --> 05:39.870 Ardından, bu sürücünün şifresini çözmek ve 05:39.870 --> 05:42.570 okumak için HSM'yi sisteme takmanız, dijital anahtarı 05:42.570 --> 05:44.760 okutmanız ve doğrulamanız gerekir ve ardından 05:44.760 --> 05:47.610 depolama aygıtının şifresi çözülebilir. 05:47.610 --> 05:50.130 Bu aslında Güvenilir Platform Modülü modern bilgisayarlarımızın 05:50.130 --> 05:52.950 bir parçası olarak yaygın bir şekilde dahil edilmeden önce sabit diskleri 05:52.950 --> 05:54.633 şifrelemenin çok yaygın bir yoludur.