[tc] info NGSCB

Davide Vernizzi davide.vernizzi a gmail.com
Ven 4 Gen 2008 10:52:55 CET 

On Jan 4, 2008 10:17 AM, Daniele Masini <d.masini a tiscali.it> wrote:
> Davide Vernizzi ha scritto:
> > [...] NGSCB è un'architettura molto
> > complessa e molto molto diversa da quella di un sistema normale che
> > usa pesantemente la virtualizzazione e cerca di fare isolamento forte
> > tra i processi.. non credo che basti un service pack per cambiare
> > completamente il kernel sottostante ed il layout delle applicazioni
> > sovrastanti. Quello che è possibile è che con il service pack sia
> > introdotto un supporto maggiore al tpm.
>
> Quello che tu chiami "semplice service pack" spesso è qualcosa
> dell'ordine dei 50 MB. Il kernel non penso che arrivi a tale
> dimensione, quindi potrebbe rimpiazzare totalmente il kernel.
> Comunque il service pack potrebbe fare qualunque cosa. Ma stiamo
> parlando di software chiuso e pertanto non possiamo assolutamente
> sapere che cosa faccia realmente.

Teoricamente è vero, ma per esperienza so che prendere un sistema
monolitico, metterci un virtualizzatore e far girare quello che era
direttamente sul kernel dentro alle macchine virtuali è un sacco
complicato e difficilmente viene al primo colpo.

> > [...] per impedire l'uso di sw non serve il
> > tpm, ma basta il kernel. Il tpm al massimo potrebbe rendere la
> > protezione di alcune chiavi un po' più sicura. Il reporting della
> > configurazione viene fatto dal sistema operativo... il tpm serve solo
> > per dare al verificatore una garanzia aggiuntiva su come è avvenuto il
> > boot, ma al momento usare il tpm per fare una remote attestation è
> > follia.
>
> Non vedo perché sia follia utilizzare il TPM per fare ciò per cui è
> stato progettato: la remote attestation.
> Il TPM memorizza lo stato del sistema ed il software, in base allo
> stato del sistema, prende le sue decisioni: quale altro software
> lanciare o non lanciare in esecuzione, ...

Perché è troppo lento (1 minuto per fare una r.a. è inaccettabile);
perché se si fa la misura dei binari che girano (binary attestation) è
quasi impossibile sapere se i valori sono corretti ed al momento non
ci sono altri modelli per fare la remote attestation; perché non tutti
i tpm sono corredati di EK Cert, quindi diventa difficile fidarsi del
tpm; perché cmq nessun computer o server a me noto è corredato di
platform certificate, quindi diventa difficile per il verificatore
fidarsi che il tpm sia montato bene o cmq non sia facilmente
manomissibile. Troppi dubbi perché il verificatore si possa fidare.

> > Non vedo come NGSCB possa da sola impedire il boot di un altro sistema
> > operativo tipo linux. Neanche il tpm pu
>
> Forse non attualmente, ma probabilmente il CRTM potrebbe contenere
> in futuro un controllo sulle chiavi relative al solo software
> certificato ad essere eseguito su un sistema...

Se lo fa per il momento è fuori specifica. In ogni caso non credo che
tecnicamente sia così semplice da fare perché si tratta di fare
aggiornamenti critici al bios che quindi devono essere firmati con
tutti i problemi della firma digitale...

-- 
Davide

Maggiori informazioni sulla lista tc