WinFuture-Forum.de: Frage zu TPM Sicherheit - WinFuture-Forum.de

Zum Inhalt wechseln

Windows 10: Alle News, der Download sowie zahlreiche Screenshots und Videos zum neuen Betriebssystem von Microsoft. Jetzt im WinFuture Windows 10 - Special informieren!
  • 2 Seiten +
  • 1
  • 2

Frage zu TPM Sicherheit


#1 _d4rkn3ss4ev3r_

  • Gruppe: Gäste

geschrieben 15. Februar 2019 - 21:15

Ich würde gerne für Bitlocker unter anderem das TPM meiner AMD CPU nutzen.
Dies ist auch im BIOS/ uEFI aktiviert und Windows (tpm.msc) zeigt folgendes:
Eingefügtes Bild

Im Internet habe ich gesehen das man sein TPM mit einem Passwort schützen kann, aber Windows bietet mir dies nicht an.
Vermutlich weil es vom BIOS/ uEFI generiert wurde?

Was genau hat man für Vorteile wenn man dies mit einem Passwort schützt?
Und was ist sicherer? So wie ich es aktuell habe, oder via Windows erstellen lassen?
0

Anzeige



#2 Mitglied ist offline   thielemann03 

  • Gruppe: aktive Mitglieder
  • Beiträge: 1.704
  • Beigetreten: 28. Januar 19
  • Reputation: 205
  • Geschlecht:Männlich
  • Wohnort:Marksuhl
  • Interessen:Garten, Simson Vogelserie, CAD, Kaninchenzucht(rheinische Schecken)

geschrieben 15. Februar 2019 - 21:28

Ich denke, da hast du Etwas falsch verstanden.
TPM heißt Trusted Protection Module und ist ein Modul, dass extra zu erwerben ist und man auf sein Motherboard aufstecken kann. Und Ja, es dient dem Passwortschutz.

Dieser Beitrag wurde von thielemann03 bearbeitet: 15. Februar 2019 - 21:28

Niemand ist so gut, wie ich sein könnte.
0

#3 Mitglied ist offline   thielemann03 

  • Gruppe: aktive Mitglieder
  • Beiträge: 1.704
  • Beigetreten: 28. Januar 19
  • Reputation: 205
  • Geschlecht:Männlich
  • Wohnort:Marksuhl
  • Interessen:Garten, Simson Vogelserie, CAD, Kaninchenzucht(rheinische Schecken)

geschrieben 15. Februar 2019 - 21:44

Ich denke, da hast du Etwas falsch verstanden.
TPM heißt Trusted Protection Module und ist ein Modul, dass extra zu erwerben und auf sein Motherboard aufstecken kann. Und Ja, es dient dem Passwortschutz.
Nachtrag: würde es als Speicher für vertrauenswürdige Zertifikate übersetzen.
Niemand ist so gut, wie ich sein könnte.
1

#4 _d4rkn3ss4ev3r_

  • Gruppe: Gäste

geschrieben 15. Februar 2019 - 22:02

Nein du hast mich missverstanden.
Ich mein schon das Passwort für TPM. Siehe https://docs.microso...ing-the-tpm-mmc

Ein TPM Modul muss man heutzutage nicht mehr erwerben. Das ist fest auf dem Mainboard drauf.
0

#5 Mitglied ist offline   RalphS 

  • Gruppe: VIP Mitglieder
  • Beiträge: 8.895
  • Beigetreten: 20. Juli 07
  • Reputation: 1.126
  • Geschlecht:Männlich
  • Wohnort:Zuhause
  • Interessen:Ja

geschrieben 15. Februar 2019 - 23:14

Ja wo denn nun, auf dem Board oder in der CPU? :wink:

Bin ein bißchen überrascht, daß ausgerechnet Du mit TPM daherkommst. Wo doch die Trusted Computing Group mit seiner Implementierung des Trusted Platform Moduls links und rechts für Aufschrei gesorgt haben, Stichwort UUID und eindeutige Identifizierbarkeit (TPM gibt dem PC eine Identität). Aber, sei's drum. :)


Das TPM sollte natürlich mit einem PW geschützt sein. Dieses PW ist kritisch für den Zugriff auf geschützte Daten --- kann der Angreifer™ ran, hat er Zugriff; verlierst Du es, hast Du keinen. Klar, das TPM geht zurückzusetzen -- aber dann ist das dranhängende Bitlocker hinüber.

Das ist ja auch der Sinn der Sache.

Dennoch, wie schon anderswo angedeutet hilft Bitlocker plus TPM *nur* gegen den Ausbau von Hardware. Ganze Hardware mitnehmen und Bitlocker interessiert sich den Keks.

Entsprechend ist es für Desktops zB im Büro sinnvoll. Für Schleppis eher nicht. Im Desktop kann man das TPM darüberhinaus umziehen - hier ist es gesockelt. Im Schleppi ist es schonmal verlötet, ergo kann man seine Daten *nicht* so ohne Weiteres umziehen. Ob's auf dem PC jetzt ein extra Bauteil ist oder in der CPU steckt, .... eh, mehr oder weniger egal, kann aber K-R-I-T-I-S-C-H werden wenn die CPU getauscht wird. "Normal" nimmt man das TPM einfach aufs nächste Board mit. Für die CPU würde in dem Kontext dasselbe gelten müssen.
"If you give a man a fish he is hungry again in an hour. If you teach him to catch a fish you do him a good turn."-- Anne Isabella Thackeray Ritchie

Eingefügtes Bild
Eingefügtes Bild
1

#6 _d4rkn3ss4ev3r_

  • Gruppe: Gäste

geschrieben 15. Februar 2019 - 23:57

Öhm, woher weiß ich woher das TPM stammt?

Ich habe jetzt ein AMD. Dem vertrau ich bedeutend mehr als mein alten Intel :D


Das TPM *nur* gegen Ausbau der Hardware schützt ist mir klar und immerhin schon etwas. Daher will ich dazu auch Passwort und/ oder Hardware-Key nutzen um das effektiv abzusichern, sodass die Daten auch dann noch geschützt sind.
VeraCrypt scheint leider noch Probleme mit uEFI und so zu haben.

Aktuell ist noch kein Bitlocker aktiv. Ich wollte mich erst informieren inwiefern das schützen des TPM erforderlich ist
0

#7 Mitglied ist offline   thielemann03 

  • Gruppe: aktive Mitglieder
  • Beiträge: 1.704
  • Beigetreten: 28. Januar 19
  • Reputation: 205
  • Geschlecht:Männlich
  • Wohnort:Marksuhl
  • Interessen:Garten, Simson Vogelserie, CAD, Kaninchenzucht(rheinische Schecken)

geschrieben 16. Februar 2019 - 01:19

Das TPM schützt eben nicht vor Hardwareverlust, sondern, wenn es fehlt, vor Datenklau und dein System auch vor dir, falls du vergesslich genug bist!

Dieser Beitrag wurde von thielemann03 bearbeitet: 16. Februar 2019 - 01:27

Niemand ist so gut, wie ich sein könnte.
0

#8 Mitglied ist offline   RalphS 

  • Gruppe: VIP Mitglieder
  • Beiträge: 8.895
  • Beigetreten: 20. Juli 07
  • Reputation: 1.126
  • Geschlecht:Männlich
  • Wohnort:Zuhause
  • Interessen:Ja

geschrieben 16. Februar 2019 - 05:20

Das TPM stellt Integrität sicher, nicht mehr, nicht weniger.

Ein System ist erstmal per Definition integer. Aber dann kann einer herkommen und den PC aufmachen. Dann ist es nicht mehr integer, sondern kompromittiert (= weil ich nicht mehr weiß, was da drinnen vor sich gegangen ist).

Entgegen wirkt zB ein Warnsystem (einfach ein Siegel oder ein elektronisches CASE_OPEN) wie's das schon recht lange gibt. Die informieren allerdings nur post factum.

Entgegen wirkt auch ein Kensington Lock oder sonst eine Absperrmöglichkeit per Schlüssel (direkt am Gerät oder extern per Serverraum zu). Blöderweise sind solche Analogschlüssel grad für Anwender-PCs oft trivial (jeder Schlüssel paßt überall) und halt auch nur begrenzt verfügbar.

Und entgegen wirkt ein TPM. Mit dem muß ich nicht aufwendig die Hardware absperren, sondern ich sichere die Integrität kryptographisch ab. Dazu gebe ich dem System eine verifizierbare Identität und wenn die nicht verifiziert werden kann, kann ich darauf reagieren.

Mit Bitlocker und OHNE TPM verschlüssel ich zB meine Systemfestplatte. So und jetzt bau ich die aus und woanders ein. Paßwort eingeben => fertig. Daten erfolgreich exportiert.

Das soll aber eben gerade NICHT gehen. Ergo, TPM. Platte raus und woanders wieder rein und wie bei jeder Multifaktorangelegenheit fehlt jetzt ein Teil des Schlüssels zur Dechiffrierung. Der ist einfach nicht mehr da. Daten NICHT erfolgreich exportiert.


Gegenargument für TPM ist aber haargenau jenes Konzept der gebundenen Identifizierbarkeit. Dasselbe Problem haben auch Zertifikate. Es gibt einfach eine umkehrbare Zuordnung. Mein PC ist eben nicht mehr anonym in der Masse und mein Benutzer kann zweifelsfrei identifiziert werden --- darauf basiert das ganze System. Security by Obscurity ist mit TPM ausgeschlossen. Jeder weiß sofort wer ich bin. Das ist der Preis dafür, daß ich verlangen kann: wenn ich's eben NICHT mehr bin, will ich Konsequenzen ziehen können.


TPM kann aus demselben Grund auch nicht sicherstellen, daß das ganze System gemaust wird. Wenn ich einen versiegeltes Stück Hardware hab und ich nehm die Hardware mit, dann bleibt das Siegel ganz und das System weiterhin integer. Nur läuft es sich einfacher mit einer HDD in der Tasche als mit einem PC unterm Arm aus dem Gebäude und jene Option verhindert TPM.


Bitlocker stellt ebenfalls "nur" die Integrität sicher dahingehend, daß ich wenn einer die HDD gemaust hat, ich ohne B/L NICHT weiß, welche der Daten darauf angeschaut wurden und welche nicht. Ich muß daher davon ausgehen, daß alle Daten angeschaut und entsprechend unbefugt genutzt werden können.

Mit Bitlocker soll ich davon ausgehen können, daß die HDD zwar weg ist, aber die Daten eben NICHT ausgewertet werden können, zumindest nicht binnen einer kritischen Frist.

Es bildet damit mit TPM eine Einheit.

Jetzt gibt es aber für TPM Startdaten. Die kann ich vielleicht manipulieren. Muß ich also was tun. Was mache ich da? Secure Boot (plus UEFI als Basis dafür), ebenfalls mit TPM als Kern. Mit Secure Boot stell ich sicher, daß meine Bitlockerumgebung selber auch nicht manipuliert werden kann, weil dann das Entschlüsselungssystem erst gar nicht geladen werden kann. Damit haben wir schon eine Dreifaltigkeit aus Bitlocker, UEFI + Secure Boot und dem TPM.


Jetzt kann ich Bitlocker auch ohne TPM nutzen, aber das ist nicht der ursprüngliche Anspruch, denn mangels TPM hab ich gar keine Identität, die ich absichern könnte.

Und ich kann Bitlocker auch ohne Secure Boot nutzen, aber dann kann die ESP manipuliert werden und ich hab immer noch keine schützenswerte Integrität.

Entsprechend sind das kritische Vorbedingungen. CSM an heißt, ich kann einfach einen MBR-basierten Datenträger hernehmen und das System davon starten und Secure Boot läuft ins Leere; wenn ich das hab kann ich die Bitlockerumgebung manipulieren. Darf nicht möglich sein, ergo muß es deaktiviert werden.



Das ist so ein bißchen das Konzept dahinter. Wie schon oft erwähnt, ohne Konzept funktioniert Absicherung nicht wie gewünscht. Und an dieser Stelle ist der Anspruch einfach nur "erfolgreiche Wahrung der Integrität meiner Daten".
"If you give a man a fish he is hungry again in an hour. If you teach him to catch a fish you do him a good turn."-- Anne Isabella Thackeray Ritchie

Eingefügtes Bild
Eingefügtes Bild
1

#9 _d4rkn3ss4ev3r_

  • Gruppe: Gäste

geschrieben 16. Februar 2019 - 09:10

Alles gut erklärt und secure boot habe ich auch aktiv.
Aber meine Frage bezüglich TPM und dem Passwort was man scheinbar nur unter Windows erstellen kann, wurde nicht beantwortet.

Reicht es das TPM im BIOS zu aktivieren und dort User-Agent sowie Admin Passwort zu setzen, oder ist es sicherer wenn man das TPM aus Windows heraus konfiguriert, in meinem Fall also zurücksetzt, neu erstellt und im Anschluss ein Passwort dafür setzt ?

Vergesslichkeit müssen wir nicht erwähnen. Dafür gibt es Abhilfe. Ebenso für Daten an die man im Notfall nicht mehr Ran kommt.
Es geht hier einzig um Absicherung des Systems.
0

#10 Mitglied ist offline   RalphS 

  • Gruppe: VIP Mitglieder
  • Beiträge: 8.895
  • Beigetreten: 20. Juli 07
  • Reputation: 1.126
  • Geschlecht:Männlich
  • Wohnort:Zuhause
  • Interessen:Ja

geschrieben 16. Februar 2019 - 09:49

Dann hast Du eine komische Firmware oder der Zugriff bei AMD ist seltsam geregelt, weil "normal" kann man das TPM über die Firmware konfigurieren, mitsamt Paßwort und allem.

Am Ende ist das Ganze ja OS-unabhängig. Die Information landet mehr oder weniger direkt in der Hardware. Wenn es bei Dir nur unter Windows geht... hmm... hm.

Kommt drauf an wie wichtig Dir die Chose ist und was Du Dir davon erwartest.

Wenn's per Firmware nicht geht, würde ich vermutlich ein Live-Linux greifen und damit die TPM einrichten. Einfach deswegen, damit das mit dem Paßwort Richtung TPM nicht unterwegs irgendwo abgesammelt werden kann. (Die Live-Linuxkiste natürlich ohne Netzwerkzugang).


Wenn Dir das aber eher wumpe ist, dann ist es wumpe. Das ist eher Herangehensfrage, nichts technisch bedingtes.
"If you give a man a fish he is hungry again in an hour. If you teach him to catch a fish you do him a good turn."-- Anne Isabella Thackeray Ritchie

Eingefügtes Bild
Eingefügtes Bild
0

#11 Mitglied ist offline   DK2000 

  • Gruppe: Administration
  • Beiträge: 19.794
  • Beigetreten: 19. August 04
  • Reputation: 1.434
  • Geschlecht:Männlich
  • Wohnort:Oben auf dem Berg
  • Interessen:Essen, PC, Filme, TV Serien...

geschrieben 16. Februar 2019 - 10:38

Das ging mal über die tpm.msc, aber das hat Microsoft freundlicher Weise ab der 1709 entfernt:

Trusted Platform Module (TPM) Owner Password Management -> removed

Desweiteren ab der 1809:

Starting with Windows 10, the operating system automatically initializes and takes ownership of the TPM. This means that in most cases, we recommend that you avoid configuring the TPM through the TPM management console, TPM.msc. There are a few exceptions, mostly related to resetting or performing a clean installation on a PC. For more information, see Clear all the keys from the TPM. We're no longer actively developing the TPM management console beginning with Windows Server 2019 and Windows 10, version 1809.

Bedeutet, dass die tpm.msc nicht weiter entwickelt wird und Microsoft es auch nicht empfiehlt, tpm.msc zu verwenden (außer zum Zurücksetzen). Windows macht da wohl alles automatisch. In der Powershell gibt es da zwar ein paar cmdlets, aber so wirklich verstanden habe ich die jetzt noch nicht.

Im UEFI Selber habe ich da auch keine Möglichkeit, das TMP groß zu konfigurieren. Gibt nur die Optionen Clear und Disable.

Bin da auch gerade am überlegen, wie und wo man Owner und Owner Password selber setzen kann.
Ich bin kein Toilettenpapier-Hamster.
---
Ich bin ein kleiner, schnickeldischnuckeliger Tiger aus dem Schwarzwald.
Alle haben mich ganz dolle lila lieb.
1

#12 _d4rkn3ss4ev3r_

  • Gruppe: Gäste

geschrieben 16. Februar 2019 - 11:01

Hmm okay.
Dann werde ich es wohl so lassen wie es ist.
Ich habe mit dem PC extra die 1809 als frische Installation genutzt.

@RalphS: Und wie kann man das über der Firmware regeln?
0

#13 Mitglied ist offline   thielemann03 

  • Gruppe: aktive Mitglieder
  • Beiträge: 1.704
  • Beigetreten: 28. Januar 19
  • Reputation: 205
  • Geschlecht:Männlich
  • Wohnort:Marksuhl
  • Interessen:Garten, Simson Vogelserie, CAD, Kaninchenzucht(rheinische Schecken)

geschrieben 16. Februar 2019 - 11:56

Ist es nicht vielleicht sogar so, dass das, worüber wir grade reden, dem widerspricht, was du von Franklin übernahmst?
Ich bin jetzt davon überzeugt, dass es kein Fehler war, ein TPM nicht bestellt zu haben.
Eine Frage bliebe da aber noch, wenn ich es nicht vernünftig ansteuern kann, warum gibt es das dann noch?
Niemand ist so gut, wie ich sein könnte.
0

#14 Mitglied ist offline   DK2000 

  • Gruppe: Administration
  • Beiträge: 19.794
  • Beigetreten: 19. August 04
  • Reputation: 1.434
  • Geschlecht:Männlich
  • Wohnort:Oben auf dem Berg
  • Interessen:Essen, PC, Filme, TV Serien...

geschrieben 16. Februar 2019 - 12:30

So wie ich das verstehe, verwendet Windows das TPM im Hintergrund un initialisiert es selber.

TPM 2.0 setzt passendes UEFI voraus (BIOS/BIOS-Mode wird nicht unterstützt bzw. TMP 2.0 läuft nicht wie erwartet) und wird für die Pin, Passwort, Bitlocker, Hello usw. verwendet (Stand 1809).

Seit dem 28.07.2016 (Windows 10 1607) müssen auch alle Fertiggeräte mit vorinstalliertem Windows 10 ein passendes UEFI mit aktiviertem TPM 2.0 implementiert haben.

Also irgendetwas mach Microsoft da noch mit dem TPM, nur irgendwie alles verschleiert im Hintergrund.
Ich bin kein Toilettenpapier-Hamster.
---
Ich bin ein kleiner, schnickeldischnuckeliger Tiger aus dem Schwarzwald.
Alle haben mich ganz dolle lila lieb.
1

#15 Mitglied ist offline   thielemann03 

  • Gruppe: aktive Mitglieder
  • Beiträge: 1.704
  • Beigetreten: 28. Januar 19
  • Reputation: 205
  • Geschlecht:Männlich
  • Wohnort:Marksuhl
  • Interessen:Garten, Simson Vogelserie, CAD, Kaninchenzucht(rheinische Schecken)

geschrieben 16. Februar 2019 - 13:38

Also ist das wie Herpes, etwas, dass ich nicht brauche, erst recht nicht, an den empindlichsten Sellen.
Niemand ist so gut, wie ich sein könnte.
0

Thema verteilen:


  • 2 Seiten +
  • 1
  • 2

1 Besucher lesen dieses Thema
Mitglieder: 0, Gäste: 1, unsichtbare Mitglieder: 0