[tc] info TC

[Salvatore Caratozzolo]

> Non sono così convinto che tu possa generare facilmente 
>la EK. In ogni
> caso la EK non c'entra nulla con la sicurezza del tuo 
>sistema.

come no? la EK identifica il mio TPM in modo univoco!
non la uso ok, ma solo dopo averla creata, posso chiedere 
una SRK da usare per decifrare i dati! non è cosi la 
storia?
e cmq (forse non ho ben capito la tua risp) la ek l'ho 
creata io (nel mio caso!come avevo scritto qualke giorno 
fa ho usato delle librerie per interagire con il TPM 
vergine!).
  
> Non puoi. Almeno non usando il TPM. Il TPM non fa nulla 
>che il s.o.
> non gli ordini, quindi deve essere Ubuntu a supportare 
>questa feature.
> Ma se Ubuntu supporta questa feature, allora la supporta 
>sia che tu
> abbia il TPM, sia che tu non lo abbia. Al massimo al TPM 
>puoi chiedere
> di mantenere le chiavi e gli hash in modo sicuro.

esatto...quello che intendevo io! usare TPM per tenere i 
digest dei programmi in modo sicuro! e interagire con il 
tpm attraverso dei moduli Kernel (scusate la mia ignoranza 
in Unix, forse sbaglio termine!) che permettono al SO 
(magari nel bootstrap) di controllare che i programmi 
installati siano quelli consentiti e di controllare 
l'utente quando cerca di installare qualche applicazione 
non permessa (ad esempio una estensione di firefox che 
permetta di chattare!)
verificando se la firma di quell'applicazione (ci puo' 
fare no?) è presente nel TPM.

  
  
>ma tieni
> presente che i PCR non decidono in nessun modo cosa 
>possa essere
> avviato e cosa no. 

si infatti il TPM è una entità PASSIVA, quindi lui non 
decide niente!è chi lo chiama che decide cosa fare in base 
a quello che risponde il TPM!

>Al massimo vengono usati per 
>certificare ad una
> entità remota lo stato della macchina (facendo la famosa 
>remote
> attestation) oppure per legare l'accesso di una chiave 
>ad un
> particolare stato della macchina.

qui io non ho capito una cosa: come fa una macchina di una 
lan o collegata in internet a sapere la EKpubblica della 
mia ? anche questo è argomento di 
discussione/approfondimento? o deve essere supportata da 
un'applicazione presente nella mia macchina che riceve la 
richiesta, chiede al TPM la EKPub e la inoltra al 
richiedente?
o ancora + semplicemente, visto che è una specifica del 
TCG , la decisione di come implementarla, con quali 
strumenti supportarla è lasciata al produttore?

> 
> Mi spiego: supponiamo che tu abbia dei dati molto 
>sensibili e che tu
> voglia accedere a questi dati solo se hai avviato Ubuntu 
>con una certa
> configurazione... bene, basta cifrare questi dati con 
>una chiave e poi
> chiedere al TPM di mantenere questa chiave segreta a 
>meno che la
> macchina non si trovi nello stato prescelto (e questo si 
>chiama
> sealing).

anche qui una domanda.
mettiamo che io voglia che il file ex.txt venga a perto 
solo con Ubuntu, l'editor Context e con il mio account(i 
miei permessi quindi), che funzione uso!?
cioè...anche questa opzione è disponibile solo se esiste 
un'applicazione PROTECT che, dato in pasto tutti questi 
parametri, mi calcola un digest che salverà nel TPM e lo 
cifra con SRK pubblica (usando sempre il TPM, giusto?).
se chiedo di aprire ex.txt, PROTECT prende i parametri 
attuali (SO, Editor installato e i miei permessi) e 
verifica che il digest salvato nel TPM sia uguale.
se almeno uno di questi crea un digest diverso lui non ti 
Decifra il file (cioè non prende il file da far decifrare 
al tpm!!).
il ragionamento è giusto!?