[thielemann03]

Ich denke, da hast du Etwas falsch verstanden.
TPM heißt Trusted Protection Module und ist ein Modul, dass extra zu erwerben ist und man auf sein Motherboard aufstecken kann. Und Ja, es dient dem Passwortschutz.

Dieser Beitrag wurde von thielemann03 bearbeitet: 15. Februar 2019 - 21:28

[thielemann03]

Ich denke, da hast du Etwas falsch verstanden.
TPM heißt Trusted Protection Module und ist ein Modul, dass extra zu erwerben und auf sein Motherboard aufstecken kann. Und Ja, es dient dem Passwortschutz.
Nachtrag: würde es als Speicher für vertrauenswürdige Zertifikate übersetzen.

[RalphS]

Ja wo denn nun, auf dem Board oder in der CPU?

Bin ein bißchen überrascht, daß ausgerechnet Du mit TPM daherkommst. Wo doch die Trusted Computing Group mit seiner Implementierung des Trusted Platform Moduls links und rechts für Aufschrei gesorgt haben, Stichwort UUID und eindeutige Identifizierbarkeit (TPM gibt dem PC eine Identität). Aber, sei's drum.


Das TPM sollte natürlich mit einem PW geschützt sein. Dieses PW ist kritisch für den Zugriff auf geschützte Daten --- kann der Angreifer™ ran, hat er Zugriff; verlierst Du es, hast Du keinen. Klar, das TPM geht zurückzusetzen -- aber dann ist das dranhängende Bitlocker hinüber.

Das ist ja auch der Sinn der Sache.

Dennoch, wie schon anderswo angedeutet hilft Bitlocker plus TPM *nur* gegen den Ausbau von Hardware. Ganze Hardware mitnehmen und Bitlocker interessiert sich den Keks.

Entsprechend ist es für Desktops zB im Büro sinnvoll. Für Schleppis eher nicht. Im Desktop kann man das TPM darüberhinaus umziehen - hier ist es gesockelt. Im Schleppi ist es schonmal verlötet, ergo kann man seine Daten *nicht* so ohne Weiteres umziehen. Ob's auf dem PC jetzt ein extra Bauteil ist oder in der CPU steckt, .... eh, mehr oder weniger egal, kann aber K-R-I-T-I-S-C-H werden wenn die CPU getauscht wird. "Normal" nimmt man das TPM einfach aufs nächste Board mit. Für die CPU würde in dem Kontext dasselbe gelten müssen.

[thielemann03]

Das TPM schützt eben nicht vor Hardwareverlust, sondern, wenn es fehlt, vor Datenklau und dein System auch vor dir, falls du vergesslich genug bist!

Dieser Beitrag wurde von thielemann03 bearbeitet: 16. Februar 2019 - 01:27

[RalphS]

Das TPM stellt Integrität sicher, nicht mehr, nicht weniger.

Ein System ist erstmal per Definition integer. Aber dann kann einer herkommen und den PC aufmachen. Dann ist es nicht mehr integer, sondern kompromittiert (= weil ich nicht mehr weiß, was da drinnen vor sich gegangen ist).

Entgegen wirkt zB ein Warnsystem (einfach ein Siegel oder ein elektronisches CASE_OPEN) wie's das schon recht lange gibt. Die informieren allerdings nur post factum.

Entgegen wirkt auch ein Kensington Lock oder sonst eine Absperrmöglichkeit per Schlüssel (direkt am Gerät oder extern per Serverraum zu). Blöderweise sind solche Analogschlüssel grad für Anwender-PCs oft trivial (jeder Schlüssel paßt überall) und halt auch nur begrenzt verfügbar.

Und entgegen wirkt ein TPM. Mit dem muß ich nicht aufwendig die Hardware absperren, sondern ich sichere die Integrität kryptographisch ab. Dazu gebe ich dem System eine verifizierbare Identität und wenn die nicht verifiziert werden kann, kann ich darauf reagieren.

Mit Bitlocker und OHNE TPM verschlüssel ich zB meine Systemfestplatte. So und jetzt bau ich die aus und woanders ein. Paßwort eingeben => fertig. Daten erfolgreich exportiert.

Das soll aber eben gerade NICHT gehen. Ergo, TPM. Platte raus und woanders wieder rein und wie bei jeder Multifaktorangelegenheit fehlt jetzt ein Teil des Schlüssels zur Dechiffrierung. Der ist einfach nicht mehr da. Daten NICHT erfolgreich exportiert.


Gegenargument für TPM ist aber haargenau jenes Konzept der gebundenen Identifizierbarkeit. Dasselbe Problem haben auch Zertifikate. Es gibt einfach eine umkehrbare Zuordnung. Mein PC ist eben nicht mehr anonym in der Masse und mein Benutzer kann zweifelsfrei identifiziert werden --- darauf basiert das ganze System. Security by Obscurity ist mit TPM ausgeschlossen. Jeder weiß sofort wer ich bin. Das ist der Preis dafür, daß ich verlangen kann: wenn ich's eben NICHT mehr bin, will ich Konsequenzen ziehen können.


TPM kann aus demselben Grund auch nicht sicherstellen, daß das ganze System gemaust wird. Wenn ich einen versiegeltes Stück Hardware hab und ich nehm die Hardware mit, dann bleibt das Siegel ganz und das System weiterhin integer. Nur läuft es sich einfacher mit einer HDD in der Tasche als mit einem PC unterm Arm aus dem Gebäude und jene Option verhindert TPM.


Bitlocker stellt ebenfalls "nur" die Integrität sicher dahingehend, daß ich wenn einer die HDD gemaust hat, ich ohne B/L NICHT weiß, welche der Daten darauf angeschaut wurden und welche nicht. Ich muß daher davon ausgehen, daß alle Daten angeschaut und entsprechend unbefugt genutzt werden können.

Mit Bitlocker soll ich davon ausgehen können, daß die HDD zwar weg ist, aber die Daten eben NICHT ausgewertet werden können, zumindest nicht binnen einer kritischen Frist.

Es bildet damit mit TPM eine Einheit.

Jetzt gibt es aber für TPM Startdaten. Die kann ich vielleicht manipulieren. Muß ich also was tun. Was mache ich da? Secure Boot (plus UEFI als Basis dafür), ebenfalls mit TPM als Kern. Mit Secure Boot stell ich sicher, daß meine Bitlockerumgebung selber auch nicht manipuliert werden kann, weil dann das Entschlüsselungssystem erst gar nicht geladen werden kann. Damit haben wir schon eine Dreifaltigkeit aus Bitlocker, UEFI + Secure Boot und dem TPM.


Jetzt kann ich Bitlocker auch ohne TPM nutzen, aber das ist nicht der ursprüngliche Anspruch, denn mangels TPM hab ich gar keine Identität, die ich absichern könnte.

Und ich kann Bitlocker auch ohne Secure Boot nutzen, aber dann kann die ESP manipuliert werden und ich hab immer noch keine schützenswerte Integrität.

Entsprechend sind das kritische Vorbedingungen. CSM an heißt, ich kann einfach einen MBR-basierten Datenträger hernehmen und das System davon starten und Secure Boot läuft ins Leere; wenn ich das hab kann ich die Bitlockerumgebung manipulieren. Darf nicht möglich sein, ergo muß es deaktiviert werden.



Das ist so ein bißchen das Konzept dahinter. Wie schon oft erwähnt, ohne Konzept funktioniert Absicherung nicht wie gewünscht. Und an dieser Stelle ist der Anspruch einfach nur "erfolgreiche Wahrung der Integrität meiner Daten".

[RalphS]

Dann hast Du eine komische Firmware oder der Zugriff bei AMD ist seltsam geregelt, weil "normal" kann man das TPM über die Firmware konfigurieren, mitsamt Paßwort und allem.

Am Ende ist das Ganze ja OS-unabhängig. Die Information landet mehr oder weniger direkt in der Hardware. Wenn es bei Dir nur unter Windows geht... hmm... hm.

Kommt drauf an wie wichtig Dir die Chose ist und was Du Dir davon erwartest.

Wenn's per Firmware nicht geht, würde ich vermutlich ein Live-Linux greifen und damit die TPM einrichten. Einfach deswegen, damit das mit dem Paßwort Richtung TPM nicht unterwegs irgendwo abgesammelt werden kann. (Die Live-Linuxkiste natürlich ohne Netzwerkzugang).


Wenn Dir das aber eher wumpe ist, dann ist es wumpe. Das ist eher Herangehensfrage, nichts technisch bedingtes.

[DK2000]

Das ging mal über die tpm.msc, aber das hat Microsoft freundlicher Weise ab der 1709 entfernt:

Trusted Platform Module (TPM) Owner Password Management -> removed

Desweiteren ab der 1809:

Starting with Windows 10, the operating system automatically initializes and takes ownership of the TPM. This means that in most cases, we recommend that you avoid configuring the TPM through the TPM management console, TPM.msc. There are a few exceptions, mostly related to resetting or performing a clean installation on a PC. For more information, see Clear all the keys from the TPM. We're no longer actively developing the TPM management console beginning with Windows Server 2019 and Windows 10, version 1809.

Bedeutet, dass die tpm.msc nicht weiter entwickelt wird und Microsoft es auch nicht empfiehlt, tpm.msc zu verwenden (außer zum Zurücksetzen). Windows macht da wohl alles automatisch. In der Powershell gibt es da zwar ein paar cmdlets, aber so wirklich verstanden habe ich die jetzt noch nicht.

Im UEFI Selber habe ich da auch keine Möglichkeit, das TMP groß zu konfigurieren. Gibt nur die Optionen Clear und Disable.

Bin da auch gerade am überlegen, wie und wo man Owner und Owner Password selber setzen kann.

[thielemann03]

Ist es nicht vielleicht sogar so, dass das, worüber wir grade reden, dem widerspricht, was du von Franklin übernahmst?
Ich bin jetzt davon überzeugt, dass es kein Fehler war, ein TPM nicht bestellt zu haben.
Eine Frage bliebe da aber noch, wenn ich es nicht vernünftig ansteuern kann, warum gibt es das dann noch?

[DK2000]

So wie ich das verstehe, verwendet Windows das TPM im Hintergrund un initialisiert es selber.

TPM 2.0 setzt passendes UEFI voraus (BIOS/BIOS-Mode wird nicht unterstützt bzw. TMP 2.0 läuft nicht wie erwartet) und wird für die Pin, Passwort, Bitlocker, Hello usw. verwendet (Stand 1809).

Seit dem 28.07.2016 (Windows 10 1607) müssen auch alle Fertiggeräte mit vorinstalliertem Windows 10 ein passendes UEFI mit aktiviertem TPM 2.0 implementiert haben.

Also irgendetwas mach Microsoft da noch mit dem TPM, nur irgendwie alles verschleiert im Hintergrund.

[thielemann03]

Also ist das wie Herpes, etwas, dass ich nicht brauche, erst recht nicht, an den empindlichsten Sellen.