[tc] info tpm

Davide Vernizzi davide.vernizzi a gmail.com
Lun 5 Nov 2007 09:11:45 CET 

On 11/2/07, Salvatore Caratozzolo <s.caratozzolo2 a campus.unimib.it> wrote:
> On Fri, 2 Nov 2007 11:59:30 +0100
>   "Davide Vernizzi" <davide.vernizzi a gmail.com> wrote:
> > Beh... tu sei partito dal trusted boot ad un
> >monitoraggio del file
> > system... che poi
> > i risultati vengano salvati nel tpm è solo un dettaglio.
> >Che sicurezza
> > aggiuntiva ti offre il tpm facendo così? Cosa fa lui che
> >non potresti
> > fare senza di lui?
>
> si hai ragione...pensandoci bene...
>
> >
> > Trusted grub non impedisce l'avvio di un kernel
> >eventualmente
> > attaccato o comunque modificato, si limita a verificarne
> >la presenza e
> > notificarlo al tpm.
>
> ma dal momento che il mio Tgrub non puo' comunicare con il
> TPM questa funzionalità non esiste!giusto?
> cmq pensanodoci potrei usare il checkfile per verificare
> che il kernel non sia stato modificato! o esiste un limite
> sulla dimensione del file che tgrub puo' misurare?
> lo so..è una pezza ma in mancanza d'altro...
>
> > 1. installi il tuo sistema.
> > 2. fai un primo trusted boot... a questo punto tgrub
> >misura tutto ed
> > il tpm ha nei suoi pcr lo stato del sistema (S1)
> >(supponiamo lo stato
> > sia la versione del bios, il codice di tgrub ed il
> >codice del kernel
> > avviato)
> > 3. cifri la tua home usando un metodo qualunque (crypto
> >loop o quello
> > che preferisci).
> > 4. dai la chiave al tpm dicendo di farne il sealing allo
> >stato
> > corrente del sistema (S1) (ricordo: bios, tgrub e kernel
> >buoni). Nota
> > che il metodo che usi è uno qualunque, ma lui deve
> >essere in grado di
> > interfacciarsi con il tpm e sapere come usarlo.
>
> Truecrypt ha la funzionalità Seal?
>
> > 5. usi il tuo sistema allegramente
> > 6. ti fanno un attacco che modifica il kernel per far
> >avere la chiave
> > si cifratura della tua home all'attaccante
> > 7. quando fai il reboot, tgrub misura il nuovo kernel..
> >questo avrà un
> > hash diverso, quindi lo stato del sistema ora sarà
> >diverso (S2).
>
> qui in teoria dovrebbe comunicare che è stato modificato
> il kernel! giusto? poi lascia all'utente la libertà di
> continuare o meno con il boot!

Non proprio... lui fa il boot in ogni caso... sarebbe possibile
mettere un controllo aggiuntivo, ma non c'è il bisogno... tutto quello
che era stato sealed rimarrà inaccessibile.

> cmq quello che mi serve a questo punto è un programma che
> mi cifri i file con una chiave che mettero' "in seal" nel
> tpm!
> poi quando uno dei file che ho cifrato viene richiesto da
> qualche applicazione , il SO deve essere in grado di
> comunicare con il programma che l'ha cifrato e che sia in
> grado di comunicare con il TPM per fare l'unseal del dato!
> esiste un programma che fa tutto cio'? :(((
>
>
>
>
>
>
>
> _______________________________________________
> tc mailing list - http://itlists.org/notcpa
> tc a no1984.org
> http://lists.no1984.org/mailman/listinfo/tc
>


-- 
Davide

Maggiori informazioni sulla lista tc