[tc] info NGSCB

Ven 4 Gen 2008 09:50:02 CET

On Jan 3, 2008 4:36 PM, Alessandro Bottoni
<alessandro.bottoni a infinito.it> wrote:
> Salvatore Caratozzolo ha scritto:
> > hola ragazzi
> > prima di scrivere boiate volevo sapere se a voi
> > corrisponde questa info sul NGSCB:
> > Microsoft ha deciso di sviluppare del software in grado di
> > usare il microchip per cifrare files e combinare il Secure
> > boot con la Remote Attestation per sapere quali programmi
> > girano nella macchina. Gira voce che questa
> > implementazione sar\'a presente solo con il service pack 1
> > di Windows Vista.
>
> Vero, ma non facile da dimostrare.

Neanche troppo facile da fare.. NGSCB è un'architettura molto
complessa e molto molto diversa da quella di un sistema normale che
usa pesantemente la virtualizzazione e cerca di fare isolamento forte
tra i processi.. non credo che basti un service pack per cambiare
completamente il kernel sottostante ed il layout delle applicazioni
sovrastanti. Quello che è possibile è che con il service pack sia
introdotto un supporto maggiore al tpm.

> NGSCB serve per pilotare il TPM e permette sia di usare le funzionalità
> di secure boot che quelle di remote attestation ma, secondo M$, queste
> funzionalità non verranno mai usate contro l'utente (cioè non verranno
> usate affatto, visto che il loro solo uso possibile è quello di impedire
> all'utente di fare ciò che desidera).
>
> Vero anche che questa roba non è ancora stata rilsciata (è dal 2000 che
> tentennano, cioè da quando si chiamava ancora Palladium). Sembra che il
> rilascio possa avvenire con il SP1 di (s)Vista ma non ci sono ancora
> certezze su questo punto.
>
> In ogni caso, con TPM e NGSCB si può obbligare l'utente a girare solo
> certo software (o, in alternativa, a rinunciare alla possibilità di
> accedere a prodotti multimediali e servizi di vario tipo) e c'è la seria
> possibilità che questa tecnologia venga usata per impedire all'utente di
> usare Linux, OpenOffice ed ogni altro programma che stia antipatico a M$
> ed ai suoi complici. In particolare, questa tecnologia potrebbe venire
> usata per "fidelizzare" a viva forza gli utenti a M$ Office attraverso
> la "leggibilità condizionata" dei documenti da esso prodotti (e per
> forzare gli utenti ad acquistare gli aggiornamenti).

Sono d'accordo solo in parte: per impedire l'uso di sw non serve il
tpm, ma basta il kernel. Il tpm al massimo potrebbe rendere la
protezione di alcune chiavi un po' più sicura. Il reporting della
configurazione viene fatto dal sistema operativo... il tpm serve solo
per dare al verificatore una garanzia aggiuntiva su come è avvenuto il
boot, ma al momento usare il tpm per fare una remote attestation è
follia.

Non vedo come NGSCB possa da sola impedire il boot di un altro sistema
operativo tipo linux. Neanche il tpm pu

> Ma, naturalmente, quelli che, come me, pensano che non ci possa fidare
> delle multinazionali sono solo dei poveri matti... ;-)
>
> Buon 2008 a tutti.
> --
>
> Alessandro Bottoni
> Website: http://www.alessandrobottoni.it/
>
> "Should we loose, THEY will win."
>      -- Advertisement diffused by Rifondazione Comunista just before
> Silvio Berlusconi won the elections in 2001.
>
> _______________________________________________
> tc mailing list - http://itlists.org/notcpa
> tc a no1984.org
> http://lists.no1984.org/mailman/listinfo/tc
>

-- 
Davide