[tc] info tpm

Lun 12 Nov 2007 10:58:27 CET

On Nov 12, 2007 10:51 AM, Salvatore Caratozzolo
<s.caratozzolo2 a campus.unimib.it> wrote:
> hola a todos
> questo weekend ho pensato un po' al TPM e mi sono fatto
> alune domande e fatto conclusioni:
>
> 1-i valori dei PCR possono essere letti solo da Root!
> se un attaccante volesse leggerli dovrebbe prima sapere la
> password di root! già questa è una buona protezione contro
> la estensione dei PCR non permessa!

Temo che non sia del tutto vero... guarda:

dave a mata:~$ cat /sys/class/misc/tpm0/device/pcrs
PCR-00: 0B 35 2B E2 28 1B A1 46 BF 33 3B B9 53 40 4A A2 98 15 80 13
PCR-01: 3A 3F 78 0F 11 A4 B4 99 69 FC AA 80 CD 6E 39 57 C3 3B 22 75
PCR-02: 3A 3F 78 0F 11 A4 B4 99 69 FC AA 80 CD 6E 39 57 C3 3B 22 75
PCR-03: 3A 3F 78 0F 11 A4 B4 99 69 FC AA 80 CD 6E 39 57 C3 3B 22 75
PCR-04: 08 5F 2D A7 77 15 91 33 48 39 B4 EF 65 8A 96 BB E5 81 00 D4
PCR-05: 71 DA 9D 56 2A 29 22 E0 CC 6C 70 CF D8 B5 B3 CD 48 F9 C9 23
PCR-06: 3A 3F 78 0F 11 A4 B4 99 69 FC AA 80 CD 6E 39 57 C3 3B 22 75
PCR-07: 3A 3F 78 0F 11 A4 B4 99 69 FC AA 80 CD 6E 39 57 C3 3B 22 75
PCR-08: 84 46 79 61 B7 DF B7 8E DE 18 AE D8 59 87 C3 DD CE 7F C6 68
PCR-09: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
PCR-10: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
PCR-11: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
PCR-12: DA 91 B5 46 68 0A 60 06 6D 94 D5 8B 95 2E 46 F9 C0 2E 47 B9
PCR-13: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
PCR-14: 46 E2 89 88 B1 56 85 FB 5B 6F B6 89 F0 B1 D4 E9 91 D6 E7 CE
PCR-15: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
PCR-16: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
PCR-17: FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF
PCR-18: FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF
PCR-19: FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF
PCR-20: FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF
PCR-21: FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF
PCR-22: FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF
PCR-23: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

Chiunque può fare la lettura.

> 2-se voglio che Trustedgrub funzioni realmente allora ho
> bisogno per forza dell'attestazione remota! ma se io non
> voglio essere riconosciuto/individuato o se semplicemente
> voglio far rispettare la legge sulla privacy allora
> rimango fregato!
> alternativa: creare un file appena conclusa la prima
> installazione ed eseguito la prima volta Trustedgrub, ed
> eseguire il SEAL con i PCR modificati da Tgrub, se vedo
> che il file ha lo stesso contenuto di quando l'ho creato
> allora lo stato dei pcr è sicuro fino a quel momento!se
> invece l'UNSEAL non viene eseguito allora qualcosa è stato
> modificato!il file per sicurezza potrei salvarlo in una
> chiavetta usb!e montarla dopo l'avvio del SO per eseguire
> l'UNSEAL!
> è inutile salvare lo stato dei PCR nel file perchè se
> l'UNSEAL è stato eseguito vuol dire che i PCR sono allo
> stato "fidato".

Direi di sì... puoi ad esempio fare il sealing del file delle password
o della home o di quello che vuoi.

> 3-Davide mi ha scritto che quando eseguo il SEAL , il file
> viene cifrato con una chiave simmetrica e che questa viene
> cifrata con una chiave Asimmetrica e che queste chiavi
> salvate nel TPM. Tutto questo per questioni di prestazioni
> del TPM e PC! Qualcuno sa quante chiavi si possono
> salvare?e con quanti PCR al max si puo' eseguire il SEAL?

Non credo ci siano limiti alle chiavi. Il tpm ha una cache, ma quando
è piena fa swap sul disco... dello swap si occupa trousers. Le
limitazioni sul numero delle chiavi direi che sono definite
dall'implementazione di trousers e al massimo dallo UUID della
chiave.. ma cmq un numero abbastanza grazie. Io credo di essere
arrivato sulle 20, ma non mi sono mai messo a stressare il tpm su
questo aspetto.

> 4-Qualcuno ha provato ad implementare/testare un programma
> che esegua la Remote Attestation con un'altra macchina per
> avere un sistema completo con Trustedgrub?

Sì.

-- 
Davide