Frage zu TPM Sicherheit
#1 _d4rkn3ss4ev3r_
geschrieben 15. Februar 2019 - 21:15
Dies ist auch im BIOS/ uEFI aktiviert und Windows (tpm.msc) zeigt folgendes:
Im Internet habe ich gesehen das man sein TPM mit einem Passwort schützen kann, aber Windows bietet mir dies nicht an.
Vermutlich weil es vom BIOS/ uEFI generiert wurde?
Was genau hat man für Vorteile wenn man dies mit einem Passwort schützt?
Und was ist sicherer? So wie ich es aktuell habe, oder via Windows erstellen lassen?
Anzeige
#2
geschrieben 15. Februar 2019 - 21:28
TPM heißt Trusted Protection Module und ist ein Modul, dass extra zu erwerben ist und man auf sein Motherboard aufstecken kann. Und Ja, es dient dem Passwortschutz.
Dieser Beitrag wurde von thielemann03 bearbeitet: 15. Februar 2019 - 21:28
#3
geschrieben 15. Februar 2019 - 21:44
TPM heißt Trusted Protection Module und ist ein Modul, dass extra zu erwerben und auf sein Motherboard aufstecken kann. Und Ja, es dient dem Passwortschutz.
Nachtrag: würde es als Speicher für vertrauenswürdige Zertifikate übersetzen.
#4 _d4rkn3ss4ev3r_
geschrieben 15. Februar 2019 - 22:02
Ich mein schon das Passwort für TPM. Siehe https://docs.microso...ing-the-tpm-mmc
Ein TPM Modul muss man heutzutage nicht mehr erwerben. Das ist fest auf dem Mainboard drauf.
#5
geschrieben 15. Februar 2019 - 23:14
Bin ein bißchen überrascht, daß ausgerechnet Du mit TPM daherkommst. Wo doch die Trusted Computing Group mit seiner Implementierung des Trusted Platform Moduls links und rechts für Aufschrei gesorgt haben, Stichwort UUID und eindeutige Identifizierbarkeit (TPM gibt dem PC eine Identität). Aber, sei's drum.
Das TPM sollte natürlich mit einem PW geschützt sein. Dieses PW ist kritisch für den Zugriff auf geschützte Daten --- kann der Angreifer ran, hat er Zugriff; verlierst Du es, hast Du keinen. Klar, das TPM geht zurückzusetzen -- aber dann ist das dranhängende Bitlocker hinüber.
Das ist ja auch der Sinn der Sache.
Dennoch, wie schon anderswo angedeutet hilft Bitlocker plus TPM *nur* gegen den Ausbau von Hardware. Ganze Hardware mitnehmen und Bitlocker interessiert sich den Keks.
Entsprechend ist es für Desktops zB im Büro sinnvoll. Für Schleppis eher nicht. Im Desktop kann man das TPM darüberhinaus umziehen - hier ist es gesockelt. Im Schleppi ist es schonmal verlötet, ergo kann man seine Daten *nicht* so ohne Weiteres umziehen. Ob's auf dem PC jetzt ein extra Bauteil ist oder in der CPU steckt, .... eh, mehr oder weniger egal, kann aber K-R-I-T-I-S-C-H werden wenn die CPU getauscht wird. "Normal" nimmt man das TPM einfach aufs nächste Board mit. Für die CPU würde in dem Kontext dasselbe gelten müssen.
#6 _d4rkn3ss4ev3r_
geschrieben 15. Februar 2019 - 23:57
Ich habe jetzt ein AMD. Dem vertrau ich bedeutend mehr als mein alten Intel
Das TPM *nur* gegen Ausbau der Hardware schützt ist mir klar und immerhin schon etwas. Daher will ich dazu auch Passwort und/ oder Hardware-Key nutzen um das effektiv abzusichern, sodass die Daten auch dann noch geschützt sind.
VeraCrypt scheint leider noch Probleme mit uEFI und so zu haben.
Aktuell ist noch kein Bitlocker aktiv. Ich wollte mich erst informieren inwiefern das schützen des TPM erforderlich ist
#7
geschrieben 16. Februar 2019 - 01:19
Dieser Beitrag wurde von thielemann03 bearbeitet: 16. Februar 2019 - 01:27
#8
geschrieben 16. Februar 2019 - 05:20
Ein System ist erstmal per Definition integer. Aber dann kann einer herkommen und den PC aufmachen. Dann ist es nicht mehr integer, sondern kompromittiert (= weil ich nicht mehr weiß, was da drinnen vor sich gegangen ist).
Entgegen wirkt zB ein Warnsystem (einfach ein Siegel oder ein elektronisches CASE_OPEN) wie's das schon recht lange gibt. Die informieren allerdings nur post factum.
Entgegen wirkt auch ein Kensington Lock oder sonst eine Absperrmöglichkeit per Schlüssel (direkt am Gerät oder extern per Serverraum zu). Blöderweise sind solche Analogschlüssel grad für Anwender-PCs oft trivial (jeder Schlüssel paßt überall) und halt auch nur begrenzt verfügbar.
Und entgegen wirkt ein TPM. Mit dem muß ich nicht aufwendig die Hardware absperren, sondern ich sichere die Integrität kryptographisch ab. Dazu gebe ich dem System eine verifizierbare Identität und wenn die nicht verifiziert werden kann, kann ich darauf reagieren.
Mit Bitlocker und OHNE TPM verschlüssel ich zB meine Systemfestplatte. So und jetzt bau ich die aus und woanders ein. Paßwort eingeben => fertig. Daten erfolgreich exportiert.
Das soll aber eben gerade NICHT gehen. Ergo, TPM. Platte raus und woanders wieder rein und wie bei jeder Multifaktorangelegenheit fehlt jetzt ein Teil des Schlüssels zur Dechiffrierung. Der ist einfach nicht mehr da. Daten NICHT erfolgreich exportiert.
Gegenargument für TPM ist aber haargenau jenes Konzept der gebundenen Identifizierbarkeit. Dasselbe Problem haben auch Zertifikate. Es gibt einfach eine umkehrbare Zuordnung. Mein PC ist eben nicht mehr anonym in der Masse und mein Benutzer kann zweifelsfrei identifiziert werden --- darauf basiert das ganze System. Security by Obscurity ist mit TPM ausgeschlossen. Jeder weiß sofort wer ich bin. Das ist der Preis dafür, daß ich verlangen kann: wenn ich's eben NICHT mehr bin, will ich Konsequenzen ziehen können.
TPM kann aus demselben Grund auch nicht sicherstellen, daß das ganze System gemaust wird. Wenn ich einen versiegeltes Stück Hardware hab und ich nehm die Hardware mit, dann bleibt das Siegel ganz und das System weiterhin integer. Nur läuft es sich einfacher mit einer HDD in der Tasche als mit einem PC unterm Arm aus dem Gebäude und jene Option verhindert TPM.
Bitlocker stellt ebenfalls "nur" die Integrität sicher dahingehend, daß ich wenn einer die HDD gemaust hat, ich ohne B/L NICHT weiß, welche der Daten darauf angeschaut wurden und welche nicht. Ich muß daher davon ausgehen, daß alle Daten angeschaut und entsprechend unbefugt genutzt werden können.
Mit Bitlocker soll ich davon ausgehen können, daß die HDD zwar weg ist, aber die Daten eben NICHT ausgewertet werden können, zumindest nicht binnen einer kritischen Frist.
Es bildet damit mit TPM eine Einheit.
Jetzt gibt es aber für TPM Startdaten. Die kann ich vielleicht manipulieren. Muß ich also was tun. Was mache ich da? Secure Boot (plus UEFI als Basis dafür), ebenfalls mit TPM als Kern. Mit Secure Boot stell ich sicher, daß meine Bitlockerumgebung selber auch nicht manipuliert werden kann, weil dann das Entschlüsselungssystem erst gar nicht geladen werden kann. Damit haben wir schon eine Dreifaltigkeit aus Bitlocker, UEFI + Secure Boot und dem TPM.
Jetzt kann ich Bitlocker auch ohne TPM nutzen, aber das ist nicht der ursprüngliche Anspruch, denn mangels TPM hab ich gar keine Identität, die ich absichern könnte.
Und ich kann Bitlocker auch ohne Secure Boot nutzen, aber dann kann die ESP manipuliert werden und ich hab immer noch keine schützenswerte Integrität.
Entsprechend sind das kritische Vorbedingungen. CSM an heißt, ich kann einfach einen MBR-basierten Datenträger hernehmen und das System davon starten und Secure Boot läuft ins Leere; wenn ich das hab kann ich die Bitlockerumgebung manipulieren. Darf nicht möglich sein, ergo muß es deaktiviert werden.
Das ist so ein bißchen das Konzept dahinter. Wie schon oft erwähnt, ohne Konzept funktioniert Absicherung nicht wie gewünscht. Und an dieser Stelle ist der Anspruch einfach nur "erfolgreiche Wahrung der Integrität meiner Daten".
#9 _d4rkn3ss4ev3r_
geschrieben 16. Februar 2019 - 09:10
Aber meine Frage bezüglich TPM und dem Passwort was man scheinbar nur unter Windows erstellen kann, wurde nicht beantwortet.
Reicht es das TPM im BIOS zu aktivieren und dort User-Agent sowie Admin Passwort zu setzen, oder ist es sicherer wenn man das TPM aus Windows heraus konfiguriert, in meinem Fall also zurücksetzt, neu erstellt und im Anschluss ein Passwort dafür setzt ?
Vergesslichkeit müssen wir nicht erwähnen. Dafür gibt es Abhilfe. Ebenso für Daten an die man im Notfall nicht mehr Ran kommt.
Es geht hier einzig um Absicherung des Systems.
#10
geschrieben 16. Februar 2019 - 09:49
Am Ende ist das Ganze ja OS-unabhängig. Die Information landet mehr oder weniger direkt in der Hardware. Wenn es bei Dir nur unter Windows geht... hmm... hm.
Kommt drauf an wie wichtig Dir die Chose ist und was Du Dir davon erwartest.
Wenn's per Firmware nicht geht, würde ich vermutlich ein Live-Linux greifen und damit die TPM einrichten. Einfach deswegen, damit das mit dem Paßwort Richtung TPM nicht unterwegs irgendwo abgesammelt werden kann. (Die Live-Linuxkiste natürlich ohne Netzwerkzugang).
Wenn Dir das aber eher wumpe ist, dann ist es wumpe. Das ist eher Herangehensfrage, nichts technisch bedingtes.
#11
geschrieben 16. Februar 2019 - 10:38
Trusted Platform Module (TPM) Owner Password Management -> removed
Desweiteren ab der 1809:
Starting with Windows 10, the operating system automatically initializes and takes ownership of the TPM. This means that in most cases, we recommend that you avoid configuring the TPM through the TPM management console, TPM.msc. There are a few exceptions, mostly related to resetting or performing a clean installation on a PC. For more information, see Clear all the keys from the TPM. We're no longer actively developing the TPM management console beginning with Windows Server 2019 and Windows 10, version 1809.
Bedeutet, dass die tpm.msc nicht weiter entwickelt wird und Microsoft es auch nicht empfiehlt, tpm.msc zu verwenden (außer zum Zurücksetzen). Windows macht da wohl alles automatisch. In der Powershell gibt es da zwar ein paar cmdlets, aber so wirklich verstanden habe ich die jetzt noch nicht.
Im UEFI Selber habe ich da auch keine Möglichkeit, das TMP groß zu konfigurieren. Gibt nur die Optionen Clear und Disable.
Bin da auch gerade am überlegen, wie und wo man Owner und Owner Password selber setzen kann.
---
Ich bin ein kleiner, schnickeldischnuckeliger Tiger aus dem Schwarzwald.
Alle haben mich ganz dolle lila lieb.
#12 _d4rkn3ss4ev3r_
geschrieben 16. Februar 2019 - 11:01
Dann werde ich es wohl so lassen wie es ist.
Ich habe mit dem PC extra die 1809 als frische Installation genutzt.
@RalphS: Und wie kann man das über der Firmware regeln?
#13
geschrieben 16. Februar 2019 - 11:56
Ich bin jetzt davon überzeugt, dass es kein Fehler war, ein TPM nicht bestellt zu haben.
Eine Frage bliebe da aber noch, wenn ich es nicht vernünftig ansteuern kann, warum gibt es das dann noch?
#14
geschrieben 16. Februar 2019 - 12:30
TPM 2.0 setzt passendes UEFI voraus (BIOS/BIOS-Mode wird nicht unterstützt bzw. TMP 2.0 läuft nicht wie erwartet) und wird für die Pin, Passwort, Bitlocker, Hello usw. verwendet (Stand 1809).
Seit dem 28.07.2016 (Windows 10 1607) müssen auch alle Fertiggeräte mit vorinstalliertem Windows 10 ein passendes UEFI mit aktiviertem TPM 2.0 implementiert haben.
Also irgendetwas mach Microsoft da noch mit dem TPM, nur irgendwie alles verschleiert im Hintergrund.
---
Ich bin ein kleiner, schnickeldischnuckeliger Tiger aus dem Schwarzwald.
Alle haben mich ganz dolle lila lieb.
#15
geschrieben 16. Februar 2019 - 13:38