{"version":1,"type":"rich","provider_name":"Libsyn","provider_url":"https:\/\/www.libsyn.com","height":90,"width":600,"title":"#129 - Was bedeutet TPM?","description":"Die Abk\u00fcrzung TPM steht f\u00fcr Trusted Platform Module. Es handelt sich hierbei um einen Mikrochip, der Computer oder \u00e4hnliche Ger\u00e4te um grundlegende Sicherheitsfunktionen erweitert, um die Plattformintegrit\u00e4t sicherzustellen. Sobald es auf einem System installiert ist, dient es zur sicheren Hinterlegung von Schl\u00fcsseln, Passw\u00f6rtern und digitalen Zertifikaten, um eine Plattform-Validierung zu erm\u00f6glichen, eine zentrale Vertrauensbasis einzurichten und die Voraussetzungen f\u00fcr das Management von Anwender-Legitimationen zu schaffen. Au\u00dferdem l\u00e4sst sich mit dem TPM verifizieren, dass an der Hardware keine Ver\u00e4nderungen vorgenommen wurden und am BIOS keine Manipulationen erfolgt sind. TPM-Chips werden grunds\u00e4tzlich nach der TCG-Spezifikation entwickelt. Die TCG-Spezifikation basiert auf einem offenen herstellerneutralen Industriestandard, der durch die Trusted Computing Group, einer Non-Profit-Organisation von Firmen, f\u00fcr das Trusted Computing entwickelt, definiert und gef\u00f6rdert wird. Das TPM ist laut TCG-Spezifikation ein passives Modul. Das bedeutet, dass jede Aktion einer TPM-Komponente von au\u00dferhalb des TPM \u00fcber eine entsprechende Schnittstelle angesto\u00dfen werden muss. Auf den ersten Blick ist es mit einer Chipkarte vergleichbar. Das hei\u00dft es enth\u00e4lt unter anderem logische Einheiten, Speicherbereiche und einen Ein-\/Ausgabekanal. Der signifikante Unterschied besteht jedoch darin, dass ein TPM-Chip an eine Plattform bzw. ein System gebunden ist, wogegen eine Chipkarte in aller Regel einen einzigen Besitzer hat. Die Sicherheitsfunktionen, die die TPM-Module bieten, sind umfassend. Dazu z\u00e4hlen: Versiegelung, Auslagerung, Bescheinigung, Schutz f\u00fcr kryptografische Schl\u00fcssel und sicherer Zufallsgenerator. Mit der Verschl\u00fcsselung, die auch als Sealing bezeichnet wird, k\u00f6nnen Daten an das Ger\u00e4t verbunden verschl\u00fcsselt werden. Die krypotgrafischen Schl\u00fcssel werden direkt im TPM Modul abgelegt. Damit wird die Sicherheitsfunktion 'Schutz f\u00fcr kryptografische Schl\u00fcssel' implementiert. Vor einem Hard- oder Softwareangriff sind die Schl\u00fcssel so sehr weitreichend gesch\u00fctzt. Durch die als Binding oder Wrapping bezeichnete Auslagerung lassen sich Schl\u00fcssel auf externe Speicher exportieren, wodurch die Zahl der Schl\u00fcssel bei TPMs nahezu unbegrenzt ist. Mittels Remote Attestation oder Bescheinigung sichert die Technik einer entfernten Partei F\u00e4higkeiten und Zustand des Systems zu. Meist kommen daf\u00fcr das Privacy CA (Trusted Third Party) Verfahren oder die Direct Anonymous Attestation zum Einsatz. \u00dcber das Sicherheitsfeature sicherer Zufallsgenerator garantiert Ihnen das TPM gem\u00e4\u00df der TCG-Spezifikation einen zuverl\u00e4ssigen Zufallsgenerator bereitzustellen, der f\u00fcr eine sichere Verschl\u00fcsselung unabdingbar ist. Au\u00dferdem sind im Trusted Platform Module diverse Zertifikate und Schl\u00fcsselpaare enthalten, die zum einen die Korrektheit des Herstellungsprozesses best\u00e4tigen sollen und zum anderen das Modul eindeutig identifizieren und zum Verschl\u00fcsseln oder digitalen Signieren von Daten dienen. Endorsement Zertifikat \u2014 Dieses Zertifikat best\u00e4tigt die Echtheit des TPM. Genaugenommen wird sichergestellt, dass das TPM von einem autorisierten Hersteller bereitgestellt wurde. Das TPM wird in dem Zertifikat durch ein 2048 Bit langes Schl\u00fcsselpaar, dem sog. Endorsement Key, eindeutig repr\u00e4sentiert. Dieses Schl\u00fcsselpaar wird entweder bei der Herstellung des TPM-Chips vom Hersteller erzeugt oder erst zu einem sp\u00e4teren Zeitpunkt im Chip gebildet. In beiden F\u00e4llen verl\u00e4sst der Endorsement Key das Trusted Platform Module niemals. Der Endorsement Key wird verwendet, um sog. Attestation Identity Keys, kurz AIK zu erzeugen. Der Attestation Identity Key sch\u00fctzt das Ger\u00e4t gegen unautorisierte Firmware und modifizierte Software. Daf\u00fcr wird ein Hash kritischer Sektionen der Firmware oder der Software erstellt, bevor sie ausgef\u00fchrt wird. Will sich das System mit einem Netzwerk verbinden, werden diese Hash-Werte zu einem Server geschickt, der sie mit gespeicherten, legitimen Daten abgleicht. Wurden Teile seit dem letzten Start modifiziert, schl\u00e4gt die \u00dcberpr\u00fcfung fehl und das jeweilige System erh\u00e4lt keinen Zugriff aufs Netzwerk. Platform Zertifikat \u2014 Das Plattform-Zertifikat wird vom Hersteller der Plattform \u2014 also etwa eines PCs, Laptops oder Mobiltelefons \u2014 ausgestellt. Es best\u00e4tigt, dass alle Plattform-Komponenten der TCG-Spezifikation gen\u00fcgen und dass die Plattform ein g\u00fcltiges Trusted Platform Module enth\u00e4lt. Es wird also bescheinigt, dass das aktuelle System eine vertrauensw\u00fcrdige Plattform darstellt. Conformance Zertifikat \u2014 Dieses Zertifikat best\u00e4tigt, dass das TPM-Design in der Plattform der TCG-Spezifikation gen\u00fcgt und das TPM korrekt implementiert ist. Validation Zertifikat \u2014 Dieses Zertifikat stellt f\u00fcr Komponenten oder Komponentengruppen wie beispielsweise Grafikkarten oder Eingabeger\u00e4te die \u00dcbereinstimmung und Korrektheit der Implementierung gegen\u00fcber der TCG-Spezifikation sicher. Die genannten Zertifikate dienen dem Nachweis der Vertrauensw\u00fcrdigkeit des Computersystems im Auslieferungs- bzw. Herstellungszustand. Alle entsprechenden Schl\u00fcssel befinden sich an ausgezeichneten Speicherpl\u00e4tzen innerhalb des TPMs. Neben diesen Zertifikaten und Schl\u00fcsseln enth\u00e4lt jedes Trusted Platform Module einen eindeutigen Storage Root Key, kurz SRK. Der SRK dient zur Ableitung weiterer Schl\u00fcssel, so dass eine Schl\u00fcssel-Baumstruktur entsteht. Die Bl\u00e4tter dieses Baumes werden zur Verschl\u00fcsselung von Daten herangezogen. Der SRK wird erzeugt, sobald die Plattform durch ihren Eigent\u00fcmer in Besitz genommen wird. Als weitere fundamentale Basiskomponenten des Trusted Platform Module sind die Roots of Trust zu nennen. Die Roots of Trust for Measuring Integrity Metrics (RTM) sind f\u00fcr das Messen und Aufzeichnen von bestimmten sicherheitsrelevanten Zust\u00e4nden und das Protokollieren der Zust\u00e4nde im Trusted Platform Module verantwortlich. Durch die Roots of Trust wird sichergestellt, dass sich das Computersystem in einem vertrauensw\u00fcrdigen Nachfolgezustand befindet, wenn eine das System ver\u00e4ndernde Aktion ausgef\u00fchrt wurde. In einem PC hei\u00dft die RTM auch CRTM. Bevor wir nun zum Ende unseres heutigen Podcast kommen, m\u00f6chte ich kurz die wichtigsten Punkte noch einmal zusammenfassen. Mit einem Trusted Platform Modul k\u00f6nnen Sie ihre Ger\u00e4te wie Mainboards von PCs, Notebooks und Mobiltelefone um grundlegende Sicherheitsfunktionen erweitern.  Zusammen mit einem angepassten Betriebssystem und einer geeigneten Software erstellen Sie mit einem Trusted Platform Modul eine Trusted Computing Plattform. Diese erm\u00f6glicht eine weitreichende und umfangreich konfigurierbare Zugriffs- und Verwendungskontrolle, die typischerweise in Bereichen wie dem Lizenzschutz und dem Datenschutz genutzt wird. TPM-Chips stellen Ihnen verschiedene Sicherheitsfunktionen bereit um die Plattformintegrit\u00e4t zu gew\u00e4hrleisten. Kurzum: Auf ein TPM kann immer dann zur\u00fcckgegriffen werden, wenn es gilt, sichere kryptografische Operationen durchzuf\u00fchren und\/oder ein sicheres Speichermedium bereitzustellen. Kontakt: Ingo L\u00fccker, ingo.luecker@itleague.de ","author_name":"IT Manager Podcast (DE, german) - Aktuelle IT-Themen vorgestellt und diskutiert","author_url":"https:\/\/www.itleague.de","html":"