TPM na vás řekne úplně všechno, aneb malý bonzáček ve vašem počítači ??

Každý dnes vyrobený počítač obsahuje celou řadu nejrůznějších čipů. Ty nejznámější jsou asi „procesor“ nebo „grafický čip“. Pak ale v počítači existuje celá řada obslužných čipů, které se starají jenom o nějaký specifický úkol. Tak třeba teď se o váš přístup na internet postaral síťový čip (umístěný na síťové kartě), o přístup k vašim periferiím se stará SouthBridge čipové sady a tak dále.

Čili tyto obslužné čipy jsou většinou milé, užitečné polovodičové obvody, které řeší jenom úzce specifický úkol. Počítač se bez nich neobejde, vy o nich nemáte tušení, nepotřebujete o nich nic vědět a nemusíte se zajímat k čemu tam jsou a na co tam jsou. Stejně je to většinou pro kočku a řešit to je na… na nic.

No jestli jste si někdy mysleli, že se nikdo nemůže dozvědět, co za software ve vašem počítači běží a co vlastně na tom svém počítači děláte – tak to jste na omylu.

Existuje taková laskominka, která se skrývá pod honosným názvem „Trusted Platform Computing“ a kterou zajišťuje „Trusted Platform Module“ (modul důvěryhodné platformy).

Jak jste asi z názvu pochopili, oficiálně má sloužit k větší důvěryhodnosti a bezpečnosti na internetu…

A o to taky jde. Oficiální popis je zhruba takovýto:



Primární a zásadní funkce tohoto čipu spočívá v náhodném a bezpečném generování kryptografických klíčů pro podpis/verifikaci nebo kryptování a rozkryptování dat. Jelikož se takový čip vztahuje výhradně ke konkrétnímu hardwaru, heslu a uživateli, a i on sám je naprosto unikátní, tak tím zajišťuje, že jeho majitel, respektive uživatel toho konkrétního zařízení, ze kterého čip pochází, nebude nikde jinde v internetu zaměnitelný. Za použití TPM by NEmělo dojít ke zcizení hesla a jeho použití z jiného počítače a tak k ukradení identity v reálném čase… Takže, v čem je problém?



O funkcích čipu se toho ví pramálo. Když už o něm někdo musí mluvit, tak použije tu nejkratší formulaci jaká je možná nebo si hraje se slovíčky. Ačkoliv má jít podle popisu o velmi přínosné zařízení, nikdo se zrovna nenamáhá s tím, aby ho zanášel do technických výkresů, aby se o něm nahlas bavil nebo aby o něm nějak básnil. Splní si nejzákladnější informační povinnosti a je to. Propátral jsem například web Intelu a v jejich cache systému jsem našel dohromady 1 PDF, na kterém je čip jasně vyznačen ve schématickém zapojení základní desky.
Proč to?

Koukněte ale na listinu firem, které TPM používají: Jsou to snad úplně všechny!. Apple, AMD, Intel, Microsoft, prostě na koho si vzpomenete, tak je na seznamu.

Pointa je v tom, že co tento čip v počítači skutečně dělá, vím jenom málo lidí. Trusted Computing by ale měl být o důvěře, ne?

Hm.

Z dostupných informací zatím víme, že TPM prokazatelně nemůže kontrolovat, jaký software je aktuálně spuštěn. Čili nemůže kontrolovat ani status té aplikace, která právě běží. Nemůže vám říct, tohle nedělej. TPM je subsystém a jako takový funguje jenom jako „sluha“ pro jiné služby.

Jenže to neznamená, že nedokáže ukládat a reportovat pre-runtime konfigurační informace. Jednou z jeho funkcí je i „remote attestation“ a ta dovoluje třetí straně (třeba prodejci online hudby) zjistit, jestli jeho software nebyl nějak modifikován – a za jistých okolností byl modifikován, kdo ho modifikoval a kdy ho modifikoval. A říká vám něco DRM? Tak to teď bude úplně ve všem. V hudbě, v operačních systémech, v programech, ve hrách, ve filmech, prostě ve všem…



Věřte tomu, že tu maličkou mrchu se dvěma řadami 14-ti pinů na každé straně najdete na každé základní desce, v každém počítači, v každém notebooku. Tomu, kdo to s ní umí, poskytuje jednoznačnou identifikaci vás i vašeho PC.

Microsoft se jí velice rychle chytil a chce s její pomocí a s pomocí bitlockeru dělat vektorové šifrování souborů na pevném disku ve Windows Vista. Operační systém tak bude šifrován již při svém spouštění a ne až potom, když celý naběhne.

Můžeme se jenom dohadovat, jestli tahle věc, která určitě poskytuje vylepšenou ochranu dat, během nějaké síťové operace neodešle pár paketů s velice hodnotnými informacemi o vás a o vašem počítači – pochopitelně, tohle třeba vědět čínští disidenti, tak pochybuji, že ještě někdy vlezou na internet…

Druhá strana mince je, že není mnoho možností, jak něco podobného zajistit jinak. Z hlediska autentifikace se na IP adresu spoléhat nedá, takže pak už jsou v záloze jen SSL certifikáty a ověřování klienta přes server, používání věcí jako je Passmark (jako Bank of America, třeba) a nebo … a nebo být kachna na odstřel a k ověření identity nepoužívat nic – pak se ale nedivit ukradeným heslům a vzniklým škodám…

Každopádně už si nevyberete, jiní už vybrali za Vás.