揭祕TPM安全晶片技術及加密應用

揭祕TPM安全晶片技術及加密應用

首發:http://safe.it168.com/a2012/0912/1396/000001396884.shtml

從2003年開始，重要資料丟失已經成為嚴重的資訊保安問題。儘管企業、機構和個人均不同程度地部署了保密措施，但洩密案例還是層出不窮。從近年來國內外公開發布的失洩密案件資料中，我們選擇了以下幾個經典案例。

　　2010年阿桑奇和他的“維基解密”幾乎成為所有政府和企業的夢魘。各種“爆料”猶如一個個重磅炸彈，以致於整個世界引起軒然大波,美國的安全防範級別幾乎是世界範圍內密集程度和技術含量最高的，但阿桑奇卻用實際行動證明其並非見不可破!由此可見，資料洩密是沒有真空領域的。

　　2011年12月21日上午，黑客在網上公開CSDN網站的使用者資料庫，導致600餘萬個註冊賬號洩露，之後網上曝出人人網、天涯、開心網、多玩、世紀佳緣、珍愛網、美空網、百合網等知名網站的使用者稱密碼遭網上公開洩露。最新監測資料發現，目前網上公開暴露的網路賬戶密碼超過1億個。因此，“洩密門”為我們敲響網路安全警鐘。

　　一、安全晶片發展現狀

　　隨著安全形勢的越來越嚴峻，目前國內外越來越重視安全晶片的研製，主要分為國外的TPM和國內的TCM兩大陣營，TPM(TrustedPlatformModule)標準的晶片從要求上首先必須具有產生加、解密金鑰功能，還必須能夠進行高速的資料加、解密。在我國為避免影響國家戰略安全的核心技術控制在某些國家手中，我國也在同步進行可信計算平臺的研究和部署工作。其中，部署可信計算體系中，密碼技術是最重要的核心技術。

　　二、TPM安全晶片

　　傳統的系統中，金鑰和授權資訊等儲存在磁碟中，這樣非常不安全，而在帶TPM安全晶片的系統中，難度加大了很多，這時攻擊者只有攻破TPM才有可能攻破系統的防護。這樣，這樣以來TPM成為系統可信的最低層次，它提供了整個系統可信的基礎。

　　那麼TPM就安全嗎？TPM的可信基礎來源於可信根，可信根(Rootoftrust)是無條件被信任的，系統並不檢測可信根的行為，因此可信根是否真正值得信任，是系統可信的關鍵。TPM是一個含有密碼運算部件和儲存部件的小型系統，也可以作為另一個晶片的一部分出現，比如乙太網介面。

　　如下圖所示，TPM安全晶片包含了分別實現RSA、SHA等演算法硬體處理引擎，它既是金鑰生成器，又是金鑰管理器件。TPM通過提供金鑰管理和配置管理等特性，與配套的應用軟體一起，主要用於完成計算平臺的可靠性認證、防止未經授權的軟體修改、使用者身份認證、數字簽名以及全面加密硬碟和可擦寫等功能。TPM安裝在輸入/輸出控制器，即連線外部裝置與記憶體的匯流排中，讓TPM可以監視每一個從外存裝載入記憶體的軟體。由於TPM處於硬體層，所以只要使用者選擇了開啟TCG功能，任何行為都無法逃避監視。

　　TPM如何工作的呢？

　　TPM安全晶片首先驗證當前底層韌體的完整性，如正確則完成正常的系統初始化，然後由底層韌體依次驗證BIOS和作業系統完整性，如正確則正常執行作業系統，否則停止執行。之後，利用TPM安全晶片內建的加密模組生成系統中的各種金鑰，對應用模組進行加密和解密，向上提供安全通訊介面，以保證上層應用模組的安全。

　　TPM會按照整個系統及應用軟體棧的裝載順序來監視裝載到計算平臺上的系統軟體及所有應用軟體，TPM採用雜湊擴充套件演算法，以雜湊值特徵的形式來儲存所有能夠被平臺裝載的全部軟體。例如，在X86平臺執行過程中，從機器加電啟動開始，TPM將按照如下的順序監視軟硬體系統及應用軟體棧的裝載過程：BIOS、MBR、OS裝載器、OS、使用者應用程式1-n.TPM將計算平臺上的整個軟體鏈的雜湊值進行記錄，之後就能夠把該平臺上的軟體載入狀況向管理中心報告。TPM可以對每個報告進行數字簽名，確保報告的真實性。

　　經過TPM加密資料為硬碟儲存資料提供了強大的保護，已防止硬碟被竊取的資料安全。

　　三、筆記本中的TPM安全晶片

　　ThinkPad筆記本中的TPM安全晶片可以與指紋識別模組一起使用，普通筆記本中的指紋識別技術一般是把指紋驗證資訊儲存在硬碟中，而ThinkPad中的TPM安全晶片則是直接將指紋識別資訊置於安全晶片中。一旦遭到暴力破解，安全晶片就啟動自毀功能，這樣保證了您的個人資訊資料不會洩密。安全晶片通過LPC匯流排下的系統管理匯流排來與處理器進行通訊，安全晶片的密碼資料只能輸入而不能輸出。即關鍵的密碼加密與解密的運算將在安全晶片內完成，而只將結果輸出到上層。TPM安全晶片和筆記本上的指紋識別模組搭配能達到最高的安全級別，即便是在無塵實驗室對磁碟進行暴力拆解，也無法獲得有效資訊。

　　四、TPM應用

　　安全領域多年的研究已經證明，在網路接入層構建安全的接入模式是形成一體化深度防禦的基礎，要經過長期的努力。但是在關鍵行業，如政府機關、企業的內部體系中,政府部門每天都要面對眾處理日常事務，物件相對複雜，增加了流失和洩露機密檔案的概率,所以部署TPM安全平臺;型企業內部網路結構複雜，應用眾多，需要進行大量的跨部門資訊傳遞。因此，它對可信計算技術的需求最為強烈，以解決底層安全、身份認證、資料加密、整合管理等一系列問題。

　　如目前國外有很多公司在研究TPM晶片，例如Infineon英費凌、STMicro(意法微電子)、Atmel(愛特梅)他們都有成熟的產品。筆記本中Thinkpad的X、R、T、W系列都帶有TPM安全晶片，由於國內起步較晚也有商用的產品主要由聯想、兆日等少數公司在開發TPM晶片,接下來我將以ThinkpadT系列機型為例給大家介紹如何啟用TPM功能並加密磁碟。

　　1、設定TPM晶片儲存密碼

　　1、在開機時按F1，進入Security安全欄選中SecurityChip,使得在啟動狀態，如下圖所示：

　　當你在BIOS中設定好啟動安全晶片時，這時系統提示“是否立即啟用安全裝置”，選中是以後，系統會提示需要重啟。

　　2、當再次啟動時，首先系統會提示配置TPM平臺，只需要按F10即可啟用TPM。

　　這時進入Windows系統就會看到安全裝置已啟用的資訊。點選確定以設定ClientSecuritySolution：

　　首次進入CSS會有幾秒鐘時間系統初始化設定。

▲ClientSecuritySolution啟動介面

▲主程式介面

　　TPM安全晶片除了能進行傳統的開機加密以及對硬碟進行加密外，還能對系統登入、應用軟體登入進行加密。比如目前我們們常用的ADSL上網帳號、MSN、QQ、網遊以及網上銀行的登入資訊和密碼，都可以通過TPM加密後再進行傳輸，這樣就不用擔心資訊和密碼被人竊取。

　　2、BitLocker加密磁碟

　　利用一些系統啟動光碟或是U盤就能進入一個特殊的WindowsPE環境，從而編輯系統登錄檔修改使用者帳號甚至是獲取NTFS訪問許可權，杜絕這種離線攻擊的方法只能不讓攻擊者無法接觸到PC。不過好在Windows7企業版或旗艦版中的BitLocker功能可以保護整個磁碟不被離線攻擊，不會被windows外的其他任何系統所訪問。因為他將金鑰已加密形式儲存在TPM晶片中，這樣一來要啟動windows或讀取系統裡的檔案就必須提供TPM裡的金鑰。

　　儲存在接下來我們就要用到bitlocker給磁碟加密，在ThinkpadT系列筆記本中都具有受信任的平臺模組(TPM)，版本是1.2，這是可以搭配windows7系統提供的BitLocker加密功能他會會將其金鑰儲存在TPM晶片中使破解密碼更加困難增強了安全性。BitLocker使用128位金鑰的高階加密標準(AES)演算法。要獲得更好的保護，可使用“組策略”或BitLockerWindowsManagementInstrumentation(WMI)提供程式將金鑰增至256位。

　　我們在windows7系統裡的控制皮膚裡或右擊驅動器都可以設定bitlocker加密：

　　包括系統分割槽在內所有分割槽都可以這是加密，選取待加密的分割槽，啟用BitLocker,經過一段時間驗證並進行初始化驅動器。如下圖所示：

　　當輸入解鎖密碼是其統啟動ThinkVantagePassswordManager來儲存加密密碼：

　　輸入條目名稱，之後就開始正式加密驅動器的程式了。需要說明的是這個過程會比較長，如果你在驅動器內有很多檔案，那麼這將是一個非常漫長的過程(中途不得以外中斷，筆記本一定要接電源)。

　　在整個驅動器加密完成後就可以正常使用了，不過效能會比原來降低不少，建議不要將平凡讀取的分割槽加密，介紹到這裡大家清楚了在一臺Thinkpad筆記本上如果利用TPM和BitLocker技術給你的電腦加密的過程，如果在配上指紋識別和BIOS里加開機安全口令，那麼你的電腦將固若金湯。

 本文轉自 李晨光 51CTO部落格，原文連結：http://blog.51cto.com/chenguang/990197，如需轉載請自行聯絡原作者