[tc] info su trusted Grub

[Davide Vernizzi]

On 10/9/07, Alessandro Bottoni <alessandro.bottoni a infinito.it> wrote:
> Davide Vernizzi ha scritto:
> >> Bene, se le cose stanno così direi che dovremmo iniziare (continuare)
> >> a rendere consapevoli quante più persone possibili e dir loro che per
> >> la loro privacy e il controllo si Fritz acquistino sistemi "intonsi"
> >> oppure si facciano dare la loro EK e la rigenerino...
> >> Potrebbe essere questo il mesaggio di sintesi?...
>
> Esatto. L'importante è prendere il controllo delle EK e, con esse, del
> TPM e del sistema che lo ospita.
>
> > Non esattamente. La EK è praticamente inutile se non è accompagnata
> > dal proprio certificato. Di solito il certificato è rilasciato da chi
> > crea la chiave, ma se è l'utente a creare la EK, non è possibile che
> > sia l'utente stesso a creare il certificato.
>
> Se non ricordo male, il TPM è in grado di generare e rilasciare un
> certificato digitale utile ad autenticare l'utente nel caso che voglia,
> in seguito, cancellare o migrare le chiavi. Questo DC va ovviamente
> salvato da qualche parte ma, ai fini dell'utente, è equivalente a quello
> rilasciato da VeriSign. L'unica differenza è che questo DC non significa
> nulla per nessuno tranne che per l'utente. Il DC di VeriSign, essendo
> firmato e garantito da VeriSign, è accettato come "moneta sonante" da tutti.

Non è esatto. Il certificato della EK deve essere emesso da una terza
parte fidata; in particolare fidata da parte del verificatore.
Ovviamente il certificato non può essere emesso dall'utente (perché
l'utente potrebbe certificare una chiave RSA comune che è usata in un
emulatore).
Purtroppo ad oggi non è presente nel tpm un meccanismo che a partire
da una EK valida (quella di Infineon, ad esempio), revochi la vecchia
EK, ne generi una nuova e faccia in modo di procurarsi un nuovo
certificato (la procedura di cui parlavo alla fine della mia mail
precedente).

> > Va poi detto che il fatto che il produttore del chip conosca la EK è
> > un rischio, ma più che altro teorico:
> >
> > - la EK viene usata solo per convincere una qualche terza parte fidata
> > (PrivacyCA per ottenere un certificato per una AIK o DAA issuer se si
> > usa DAA) che il nostro tpm è genuino e non viene usata per
> > nessun'altra operazione. La conoscenza della *parte pubblica* della EK
> > potrebbe permettere di tracciare le richieste di AIK Cert e quindi di
> > poter correlare diverse remote attestation tra loro, ma IMHO non credo
> > che sia interesse del produttore del tpm fare questo genere di
> > correlazione. Notate anche che chiunque sia in grado di fare sniffing
> > sulla rete (telecom?) è in grado di leggere le richieste di AIK Cert
> > al cui interno è presente il EK Cert (e quindi la parte pubblica della
> > EK). Inoltre se si utilizza il protocollo DAA non è possibile fare
> > questo genere di correlazione anche essendo a conoscenza della parte
> > pubblica della EK.
>
> E fin qui va tutto bene...
>
> > - È vero, invece, che il produttore del chip potrebbe usare la
> > conoscenza della *coppia* di chiavi per creare una copia del tpm e
> > spacciarsi per l'utente, ma personalmente vedo questa ipotesi
> > piuttosto remota.
>
> Nello stesso mondo che ha sparato a JFK, che ha iniettato nel culo di
> Marilyn Monroe una dose letale di sonniferi, che ha scatenato guerre
> strumentali in Vietnam, Iraq, Afganistan e via dicendo, questa non è
> affatto una ipotesi remota. Chi credesse ancora nella affidabilità dei
> governi e del "sistema" probabilmente è stato costretto a fare qualche
> riflessione su questo tema anche di recente, dopo che Bush è stato
> sospettato di connivenze nell'attacco al WTC e dopo che UK e USA hanno
> cominciato a memorizzare impronte digitali e DNA dei loro stessi
> cittadini con scuse di ogni tipo. Io sono stato costretto a fare questa
> riflessione nel 1969: http://it.wikipedia.org/wiki/Giuseppe_Pinelli .
>
> Nel mondo reale, il /primo/ elemento di cui /non/ ci si può fidare è
> proprio il fornitore del sistema (od il controllore dello stesso).
>

Se vuoi essere paranoico fino alla fine, non dovresti fidarti neanche
di Intel perché potrebbe aver già messo nei suoi processori funzioni
simili a quelle del tpm. Purtroppo a noi utenti non è dato modo di
verificare i processi produttivi e gli internals dell'hw.

> > - Rimane il fatto abbastanza grave che un dato sensibile e personale
> > come la EK venga prodotto in condizioni ignote all'utente e che
> > questo, di fatto, non abbia molte possibilità di avere garanzie in
> > merito.
>
> Appunto.
>
> > Credo che sia necessario continuare a fare ricerca e sollevare dubbi
> > fino ad ottenere un processo per cui all'atto della generazione di una
> > nuova EK si possa convincere il produttore (o una qualunque altra
> > terza parte) della genuinità del processo e si riesca ad ottenere un
> > certificato per la nuova chiave.
>
> Processo che però può essere facilmente sovvertito dal fornitore, in
> quanto implementato per forza di cose "in jure". In questo settore, solo
> l'utente può essere garante di sè stesso, rifiutandosi di usare roba
> sulla quale non può avere il necessario controllo.

E qui torniamo al discorso di rigenerare la EK.

> > Quelle espresse sono opinioni personali. Il trust del TC è un
> > tentativo di creare un corrispettivo tecnologico della fiducia, ma la
> > fiducia è una cosa strettamente personale, quindi ciascuno di noi
> > decide di chi fidarsi ed in che modo.
>
> Appunto. Sarebbe come cercare di implementare in HW l'eccitazione
> erotica in modo da garantire che l'individuo si ecciti di fronte alla
> partner che qualcun altro ritiene che sia ideale per lui... Sono sicuro
> che le agenzie matrimoniali troverebbero questa idea del tutto logica
> ma... a voi cosa sembra?
>
> > Io mi fido abbastanza del fatto che Infineon non abbia interessi a
> > fare giochi strani con la mia EK, mentre non mi fido per niente di
> > Microsoft. Per questo motivo sono tranquillo ad usare Linux su un
> > portatile con il tpm, mentre sono molto meno tranquillo ad usare
> > Windows su un sistema senza il tpm.
> >
>
> Infineon è, tra le altre cose, uno dei principali fornitori
> dell'industria militare (non solo americana) e dei principali
> costruttori di sistemi di sicurezza usati dalle aziende. Personalmente,
> l'idea che Infineon possa riconoscere un suo TPM in rete (dalla PK della
> EK) e spacciarsi per esso, decifrando i dati che esso ha cifrato, mi da
> i brividi. Pensate cosa succederebbe se quel TPM fosse sul laptop di
> Sarkosy e proteggesse i nomi degli agenti francesi in USA.

Non è completamente esatto. In realtà il tpm non cifra mai nulla con
la EK. L'unica cosa che fa è una specie di sfida quando deve
convincere una PrivacyCA (o un DAA issuer) di essere un tpm genuino e
non un emulatore.

-- 
Davide