Co mi daje TPM?

Tak, jak ja to widzę:

• Zwiększenie bezpieczeństwa - w zasadzie tylko przeciwko czymś w stylu Evil Maid, bardzo ewentualnie¹ przeciwko kradzieżą sprzętu - czyli, dla zwykłego Kowalskiego, NIC ponad VeraCrypt (CIA może to widzieć inaczej, przyznaję, ale ja nie jestem CIA)

Co to daje Microsoftowi:

• Wymuszenie na użytkownikach kupienia nowego sprzętu, mimo że stary jeszcze się do wszystkiego nadaje - piniążki od producentów hardware - wiadomo, że "darmowa" aktualizacja do 11 nie może być naprawdę darmowa
• upierdliwości przy instalacji innych OSów - tak wiem, niby można wymusić na komputerze, by jednak uznał że nie tylko Windows ma na nim stać, ale dodanie kolejnych upierdliwości² już samo w sobie jest irytujące - trzeba bronić monopolu na jedynym segmencie, na którym się go jeszcze posiada
• Kolejny krok w kierunku wymuszenia przejścia w postrzeganiu komputerów nie jako narzędzia posiadanego przez użytkownika - tak samo jak młotek albo wiertarka - ale raczej jako okienka biurowego siedzącego w twoim domu, w którym wirtualna paniusia³ wykonuje zlecone jej zadania, ale na swoich warunkach i swoich zasadach - tak więc właścicielem sprzętu pozostaje korporacja, która go sprzedała, a użytkownik jest jedynie i wyłącznie petentem - chyba konsekwentne przechodzenie od pierwszego, tradycyjnego modelu na rzecz tego drugiego jest dość widoczne w ostatnich dziesięcioleciach. I jakkolwiek jestem w stanie zrozumieć taki model wśród usług rzekomo bezpłatnych, takich jak wyszukiwarka Google, tak jednak Windows jest systemem płatnym, więc można by oczekiwać, że z tego tytułu zastosuje jednak ten tradycyjny model, w którym to użytkownik końcowy ma kontrolę nad swym sprzętem, a nie że korporacja może na komputerach ludzi robić wszystko, a rzekomy "właściciel" sprzętu czyli ja - tylko to, na co mu korporacja pozwoli.

Przekona mnie ktoś, że jednak się mylę i że wymóg posiadania TPM 2.0 jest tylko i wyłącznie dla mojego dobra?

¹ Sprawdziłem - Bitlocker na Win10 Pro sam z siebie nie oczekuje podania hasła przy uruchomieniu komp. - a więc przed czym to chroni, chyba tylko przed wymontowaniem dysku przez złodzieja a nie kradzieżą całego sprzętu, a przecież FDE ma bronić przed kradzieżą całego sprzetu a nie tylko jego części - ale zdaje się, że można to bezpieczeństwo podnieść, jeśli user będzie chciał
² Instalacja Linux Mint obok zabitlockerowanego Win10Pro - działa. Ale każda aktualizacja GRUBa - a te są dość częste na Linuxach - konieczność wpisania długaśnego i niewygodnego hasła w hexitach, które mam wydrukowane - co to ma być? Zdaje się, że można też za pomocą USB odblokować? Dziękuję bardzo, mam zbyt dużo doświadczeń z padającymi pendrive'ami i przekłamującymi dane, bym ryzykował że do własnego komputera się nie dostanę jeśli mi pendrive padnie, ale to moje skrzywienie
³ Wiele asystentów AI wygląd takiej paniusi biurwy przyjmuje...

Oba twierdzą, że mają TPM w wersji... 1.38.

Może coś ominąłem, ale TPM były w wersjach 1, 1.1, 1.2 i potem od razu 2.0 Może sprawdzasz jakiś firmware/sterownik etc.

Od dawna wszystko co ma TPM z mojej wiedzy ma TPM 2.0, czy potrzebny? Może jednak myślą o bezpieczeństwie?

jurek1980 napisał(a):

Oba twierdzą, że mają TPM w wersji... 1.38.

Może coś ominąłem, ale TPM były w wersjach 1, 1.1, 1.2 i potem od razu 2.0 Może sprawdzasz jakiś firmware/sterownik etc.

Zabezpieczenia WIndows -> Zabezpieczenia urządzenia -> Szczegóły procesora zabezpieczeń:

No masz jak byk wersja specyfikacji 2.0 masz coś takiego: https://asrock.com/mb/spec/product.asp?Model=TPM-SPI

Compliant to TPM Main Specification, Family "2.0", Level 00, Revision 01.16

jurek1980 napisał(a):

No masz jak byk wersja specyfikacji 2.0 masz coś takiego: https://asrock.com/mb/spec/product.asp?Model=TPM-SPI

Compliant to TPM Main Specification, Family "2.0", Level 00, Revision 01.16

OK, może PEBKAC z mojej strony. Ja to interpretowałem tak: Podwersja specyfikacji modułu TPM <- aha na to mam patrzeć - a to pokazuje 1.38.

Jeśli źle patrzyłem, to przepraszam za rant i dzięki za zwrócenie mi na to uwagi.

¹ Sprawdziłem - Bitlocker na Win10 Pro sam z siebie nie oczekuje podania hasła przy uruchomieniu komp. - a więc przed czym to chroni, chyba tylko przed wymontowaniem dysku przez złodzieja a nie kradzieżą całego sprzętu, a przecież FDE ma bronić przed kradzieżą całego sprzetu a nie tylko jego części - ale zdaje się, że można to bezpieczeństwo podnieść, jeśli user będzie chciał

Nie tylko przed wymontowaniem dysku, ale też przed jego odczytem przez inny system. Twój Windows odczyta, ale Windows czy Linux czy cokolwiek wystartowane z pendrive nie odczyta bez podania klucza.

No i gugiel mnie spozycjonował po tej odpowiedzi i takie coś mi wyskoczyło:
https://spidersweb.pl/2021/06/windows-11-tpm-2-0.html
Ech ten strach przed brakiem możliwości instalacji os który premierę będzie miał za pół roku.
Ile jeszcze będzie zmian i sprostowań?

###Some encryption programs use TPM to prevent attacks. Will VeraCrypt use it too?##

No. Those programs use TPM to protect against attacks that require the attacker to have administrator privileges, or physical access to the computer, and the attacker needs you to use the computer after such an access. However, if any of these conditions is met, it is actually impossible to secure the computer (see below) and, therefore, you must stop using it (instead of relying on TPM).

If the attacker has administrator privileges, he can, for example, reset the TPM, capture the content of RAM (containing master keys) or content of files stored on mounted VeraCrypt volumes (decrypted on the fly), which can then be sent to the attacker over the Internet or saved to an unencrypted local drive (from which the attacker might be able to read it later, when he gains physical access to the computer).

If the attacker can physically access the computer hardware (and you use it after such an access), he can, for example, attach a malicious component to it (such as a hardware keystroke logger) that will capture the password, the content of RAM (containing master keys) or content of files stored on mounted VeraCrypt volumes (decrypted on the fly), which can then be sent to the attacker over the Internet or saved to an unencrypted local drive (from which the attacker might be able to read it later, when he gains physical access to the computer again).

The only thing that TPM is almost guaranteed to provide is a false sense of security (even the name itself, "Trusted Platform Module", is misleading and creates a false sense of security). As for real security, TPM is actually redundant (and implementing redundant features is usually a way to create so-called bloatware).

https://www.veracrypt.fr/en/FAQ.html

Jeśli mogę jeszcze raz zapytać: Co TPM daje w kwestii podniesienia bezpieczeństwa użytkownika?

"Może jednak myślą o bezpieczeństwie?" - dobrze, ale co to daje?

Nie wiemy co dokładnie wymyślili, a przynajmniej ja nie wiem. Nie mniej mamy klika krytycznych problemów na dzień dzisiejszy do rozwiązania.

• Bezpieczeństwo danych w przypadku utraty losowej urządzenia: o ile mi wiadomo bitlocker nie został złamany. Mając zaszyfrowany dysk nie dajesz możliwości odczytu danych osobom postronnym. W dobie różnego rodzaju opisywanych historii jak to ludzie byli nawet szantażowani swoimi danymi ma to jakiś sens.
• Bezpieczeństwo danych w przypadku ataku jakimiś wirusami typu cryptolocker. Ostatnio jakaś firma/rząd zapłaciła za odszyfrowanie plików jakieś grube miliony. Wielu ludzi prywatnych też płaci. Może MS chce się z tym zmierzyć wymagając szyfrowania?

Na razie nie wiem. Nie obserwuję tak jak Ty wszystkich wiadomości o nowym OS. Będzie to będzie. Ja pracuje z Windows od wersji 3 więc trochę tego już przerobiłem.

jurek1980 napisał(a):

• Bezpieczeństwo danych w przypadku utraty losowej urządzenia: o ile mi wiadomo bitlocker nie został złamany. Mając zaszyfrowany dysk nie dajesz możliwości odczytu danych osobom postronnym. W dobie różnego rodzaju opisywanych historii jak to ludzie byli nawet szantażowani swoimi danymi ma to jakiś sens.

Tak, ale FDE da się spokonie zrobić bez TPM (VeraCrypt, czy linuxowe narzędzia robią to bez TPM). W czym TPM pomaga w tej materii?

• Bezpieczeństwo danych w przypadku ataku jakimiś wirusami typu cryptolocker. Ostatnio jakaś firma/rząd zapłaciła za odszyfrowanie plików jakieś grube miliony. Wielu ludzi prywatnych też płaci. Może MS chce się z tym zmierzyć wymagając szyfrowania?

Nie rozumiem: Przecież tego typu malware działa na prawach użytkownika, więc ani żadna dodatkowa przeszkoda w dostaniu admina ani FDE nie przeszkodzi (zaszyfruje sobie jeszcze raz zaszyfrowany plik i co? co z tego, że odszyfruję sobie to co mi bitlocker zaszyfrował, skoro potrzebuję jeszcze klucza posiadanego przez cyberprzestępców, żeby odczytać plik?)

Nie twierdzę, że mam rację: Duzi gracze (CIA rządy etc) zdaje się że chwalą TPM, więc może coś to jednak daje. Tylko nie widzę, co. Dlatego pytam, jakie benefity przeoczyłem?

Z tego co kojarzę to TPM ma kilka przydatnych funkcji. Na przykład pozwala przechowywać klucze w bezpieczniejszym miejscu niż dysk, posiadają bezpieczny zegar (np. żeby zablokować logowanie na określony czas i nie dało się tego obejść zmianą zegara systemowego), dają bezpieczniejsze implementacje niektórych funkcji kryptograficznych. Też coś tam miały z szyfrowaniem dysku chyba też, dawno temu byłem w temacie, wyleciało dużo z głowy, ale zabawka generalnie użyteczna może być. I też nie wiem za bardzo o co chodzi z tym wymaganiem TPM (że Win10? Nie wiem, bo mam TPM), a już w ogóle nie wiem jakie problemy z Linuksem. Mam TPM w kompie i nigdy z Linuksem problemów pod tym kątem nie miałem.