[tc] info su trusted Grub

Salvatore Caratozzolo s.caratozzolo2 a campus.unimib.it
Lun 8 Ott 2007 20:11:56 CEST 

allora ragazzi vi riporto cosa mi ha risposto il 
professore:

Il chip e' un chip per TPM 1.2 della Broadcom, nel PC HP 
DC7600.

Questo chip pare realizzi quanto consigliato per la 
privacy: permette all'utente di scegliere la EK ma non 
esiste nessun parametro utente per creare la EK, viene 
creata direttamente da un processo interno al momento del 
lancio della funzione tpm_createEK (metodo del Trousers 
con il supporto di tpmtools sempre della Trousers).

"Questo TPM garantisce la privacy" significa che solo il 
proprietario (ovvero noi) possiamo leggere la EK che 
abbiamo creato, grazie all'apposita password che ci 
permette di usare il TPM e che ci ha permesso di crearla e 
ci permette di leggerla con i vari comandi shell...
Un TPM che non garantisce la privacy è un TPM che già 
contiene la EK al momento in cui ti viene venduta la 
macchina, quindi essa è conosciuta anche dal fornitore, 
oltre che dall'acquirente che è colui che diventando 
proprietario del TPM potrà leggerla.


On Sun, 7 Oct 2007 11:26:20 +0200
  "Davide Vernizzi" <davide.vernizzi a gmail.com> wrote:
>Figurati... tra ricercatori ci si aiuta no? E poi devo 
>dire che è nel
> nostro interesse fare in modo che i meccanismi con cui 
>funziona il TC
> siano chiari a quante più persone possibili...
> 
> Ero molto interessato alla creazione dell'EK che avete 
>fatto. Sei
> sicuro che non si tratti della TakeOwnership in cui ti 
>viene chiesto
> di specificare una password per l'owner? Se non si 
>tratta di questo,
> ma si tratta effettivamente di creazione di EK, ho un 
>sacco di domande
> da farti (o da fare a chi ha creato l'EK). In caso sia 
>la creazione
> dell'EK, ti prego facci sapere:
> - produttore del tpm
> - versione del tpm
> - sw con cui avete creato l'EK
> - chi e come vi ha fornito l'AuthData necessario per 
>sovrascrivere la
> vecchia EK o come diavolo avete fatto ad avere un tpm 
>completamente
> vergine.
> - che soluzione avete usato per il certificato dell'EK? 
>ne create uno
> voi con un CA fittizia?
> - avete creato una EK revocable oppure no? e nel primo 
>caso, in che
> formato vi è stato restituito l'AuthData?
> - tutto quello che ti sembra necessario e che non ho 
>chiesto io.
> 
> On 10/6/07, Salvatore Caratozzolo 
><s.caratozzolo2 a campus.unimib.it> wrote:
>> Davide grazie mille perchè mi stai kiarendo tantissime
>> cose! ma non solo tu!! :)
>> domanda: mi spiegate bene cos'è l'Initrd ? esiste anche
>> per windows? sono dei parametri dati al SO? come ad
>> esempio carica normalmente, carica in modalità
>> provvisoria, carica senza dterminati drivers...??
>>
>>
>> On Sat, 6 Oct 2007 16:19:14 +0200
>>   "Davide Vernizzi" <davide.vernizzi a gmail.com> wrote:
>> > Stage 1 è una piccola porzione di codice che il BIOS
>> >legge dal MBR e
>> > poi esegue. Su piattaforme trusted, il CRTM (che è la
>> >root of trust
>> > for measurement), misura lo stage 1 e poi lo esegue. 
>>Con
>> >le misure che
>> > la fatto estende il PCR-00. Dopo essere stato 
>>misurato,
>> >lo stage 1
>> > entra a far parte della chain of trust e si deve
>> >occupare di misurare
>> > il prossimo pezzo (stage 1.5 o stage 2) ed eseguirlo.
>> >Dopo averlo
>> > misurato, ovviamente, deve estendere un PCR. Arrivati
>> >alla fine del
>> > caricamento del boot loader, questo di occupa di
>> >misurare i moduli che
>> > deve avviare (il kernel ed eventualmente initrd per il
>> >caso di linux).
>> > Di nuovo... dopo aver misurato i moduli estende i PCR.
>> >
>> > Grub-ima è uno dei possibili boot loader trusted. Un
>> >altro è una
>> > versione modificata di LiLO, creata dall'università di
>> >Dartmouth.
>> > Grub-IMA è il bootlader creato da IBM per il progetto
>> >IMA. Esiste una
>> > seconda versione di grub modificata che si chiama
>> >effettivamente
>> > trusted-grub, che per dettagli tecnici è migliore di
>> >grub-ima.
>> >
>> > Se la tua tesi è sui boot loader, ti consiglio molto 
>>di
>> >leggere
>> > (almeno la parte introduttiva) un articolo di Bernhard
>> >Kauer che parla
>> > di OSLO, un boot loader che implementa il concetto di
>> > DynamicRootOfTrust (ma nella parte iniziale parla dei
>> >boot loader
>> > trusted).
>> >
>> > A chi interessano informazioni su oslo:
>> > http://os.inf.tu-dresden.de/~kauer/oslo/
>> >
>> > On 10/5/07, Salvatore Caratozzolo
>> ><s.caratozzolo2 a campus.unimib.it> wrote:
>> >> NO NO!! io ho installato Kubuntu! :) mai avuto Vista 
>>su
>> >> questo pc...anche perchè non sarebbe in grado di
>> >> reggere!;)
>> >>
>> >> cmq posso chiedervi alcuni chiarimenti sul 
>>funzionamento
>> >> di grub o sulle varie fasi di boot? mi riferisco a 
>>stage
>> >> 1.5 stage 2 parte 1 stage 2 parte 2!
>> >> _______________________________________________
>> >> tc mailing list - http://itlists.org/notcpa
>> >> tc a no1984.org
>> >> http://lists.no1984.org/mailman/listinfo/tc
>> >>
>> >
>> >
>> > --
>> > Davide
>> > _______________________________________________
>> > tc mailing list - http://itlists.org/notcpa
>> > tc a no1984.org
>> > http://lists.no1984.org/mailman/listinfo/tc
>>
>> _______________________________________________
>> tc mailing list - http://itlists.org/notcpa
>> tc a no1984.org
>> http://lists.no1984.org/mailman/listinfo/tc
>>
> 
> 
> -- 
> Davide
> _______________________________________________
> tc mailing list - http://itlists.org/notcpa
> tc a no1984.org
> http://lists.no1984.org/mailman/listinfo/tc

Maggiori informazioni sulla lista tc