[tc] info tpm / OpenTC

Salvatore Caratozzolo s.caratozzolo2 a campus.unimib.it
Lun 12 Nov 2007 12:19:05 CET 

>> >> 4-Qualcuno ha provato ad implementare/testare un
>> >>programma
>> >> che esegua la Remote Attestation con un'altra 
>>macchina
>> >>per
>> >> avere un sistema completo con Trustedgrub?
>> >
>> > Sì.
>>
>> non è che mi passeresti il programma clint/server? 
>>giusto
>> per fare qualche test!! ti preeeeeego!
> 
> Guarda... quello che posso darti è un link...
> 
> http://www.opentc.net/index.php?option=com_content&task=view&id=45&Itemid=63
> 
> Troverai un livecd che dovrebbe dimostrare la 
>possibilità di fare
> sistemi trusted con sw libero.
> 
> Se lo provi (o chiunque altro lo voglia provare), fammi 
>sapere i tuoi commenti.
> 

interessante...ma il server certifica anche i miei PCR o 
soltanto la mia AIK?!

cmq leggendo quello che dovrei fare:

-------------LATO SERVER-----------------
0- RESETTARE il TPM
1-inserire il cd live
2-veriricare che Trusted grub rilevi il TPM
3-settare il linguaggio della tastiera da kernel: lang=it
4-dopo che il SO è stato caricato entrare come root
5-eseguire startX da console
6-assicurarsi che il modulo tpm sia stato caricato e se 
non fosse cosi cariarlo con modprobe tpm_tis (nel mio 
caso)
7-cliccare su "start vanilla domain" che crea un bank 
domain e volendo posso scegliere tra 2 domain: domU e domO
8-cliccare "start bank domain"
9-aspettare finchè non viene mostrata l'applicazione in 
fullscreen
10-l'utente puo' scegliere tra 2 domini: domT e domO
11-leggere per sicurezza i pcr cliccando su "show pcr 
values"

-------------LATO CLIENT------------

12- PRENDERE POSSESSO del TPM , nel mio caso non ne ho 
bisogno!la EK e la SRK sono già presenti!
13-CREARE l'AIK cliccando su "create AIK" (sperando che il 
mio TPM abbia questa funzionalità! a questo punto posso 
credere in tutto....)
14-mi tengo l'AIK sulla macchina e non sulla chiavetta usb
15-clicco su "register" per creare un "set of know-good 
values" ... ecco questa non l'ho capita! che vuol dire? si 
sta parlando dei PCR della macchina client che devono 
essere usati per futuri confronti?
16-infatti qui si parla di "platform registration"...
devo collegarmi al sito https://domSbox:8443/, eseguire la 
login con:
user: b***
pass: o**

seguo il link di "Management of the platform registration" 
e carica il file con il "set of know-good values" 
contenente l'AIK  e lo stato dei suoi PCR (lo fa???)

17-clicco su "start client Proxy" e indicare dove si trovi 
il server (di default https://domSbox:8443/ da quanto ho 
capito!) e lasciare aperta l'applicazione.
18-il programma mostrerà i risultati della remote 
attestation

cmq anche se certificasse i PCR del client io non potrei 
utilizzarlo!il mio TPM è monco!a meno che non estenda a 
mano i pcr da 0 a 8 per SIMULARE il corretto funzionamento 
del TPM!
che ne dici Davide?


quindi questa distribuzione live esegue solo la remote 
attestation!e non fa nessun controllo sui PCR della 
macchina client!

Maggiori informazioni sulla lista tc