Berta Sándor

Kiskaput hoz a Windows 8 TPM támogatása

Szakértők egy vírusok ellen létrehozott biztonsági chip miatt aggódnak, mely kiskaput jelent a távolról a számítógépek működésébe beavatkozni kívánók számára és letilthatók vele a telepítések.


A Windows csupán támogatja a chipet
A probléma nem az operációs rendszerben van, hanem hardveres gondról van szó. A titkosítási kulcsokat tároló Trusted Platform Module (TPM) nevű chip használatát az operációs rendszer támogatja, de egy olyan kiskaput tartalmaz, amit nem lehet bezárni. Az Intel és több más gyártó által gyártott TPM miatt alapesetben minden Windows 8-as számítógép irányítható és ellenőrizhető a távolból. A technika már tíz éve jelen van a piacon, létrehozásával a cél az volt, hogy megvédjék a számítógépeket a harmadik fél által kezdeményezett manipulációktól, valamint a vírusoktól és a trójaiaktól.

A védelemhez a TPM-re és egy kompatibilis operációs rendszerre egyaránt szükség van. A két megoldás együtt szabályozza például, hogy melyik felhasználó telepíthet valamit az adott számítógépre és melyik nem. A TPM és a szoftver együttműködését a Trusted Computing Group (TCG) által kidolgozott specifikációkban szabályozzák. A TCG-t tíz évvel ezelőtt alapította a Microsoft, az Intel, a Cisco, az AMD, a Hewlett-Packard és a Wave Systems.

Az új szabvány a TPM 2.0, ebben szabályozzák, hogy mely programok telepíthetők a PC-kre és a notebookokra. Elviekben a Microsoft megszabhatná, hogy egy Windows 8-as laptopra senki sem telepíthet más szövegszerkesztő programot, csak a Wordöt. Mindez természetesen a gyakorlatban nem megvalósítható, de jelzi azt, hogy a felhasználóknak nincs befolyásuk arra, hogy a Microsoft mit engedélyez és mit nem. A TPM már a számítógép első bekapcsolásakor aktiválódik, aki tehát használja a PC-t vagy a notebookot az nem tudja maga eldönteni, hogy használja-e ezt a funkciót vagy sem. A TPM nem kapcsolható ki.

Legkésőbb 2015-től gyakorlatilag minden számítógépen a TPM 2.0 és a Windows 8.x operációs rendszer működhet. A felhasználók akár olyan helyzetbe is kerülhetnek, hogy nem fogják tudni mit csinálnak a távolból a gépükkel. A lehetőségek között van a telepíthető szoftverek meghatározása, a jelenleg működő és telepített alkalmazások frissítéseinek megakadályozása vagy akár a titkosszolgálatok segítése azért, hogy ellenőrzést gyakorolhassanak idegen számítógépek felett. Rüdiger Weis, a berlini Beuth Műszaki Főiskola professzora, kriptográfiai szakértő szerint az NSA mellett akár a kínaiak is hozzáférhetnek a kiskapuhoz, amennyiben a TPM chipek az ázsiai országban készülnek, éppen ezért a szakértők nem javasolják a TPM új szabványának használatát. Megoldást jelenthet, hogy a Windows 7 egészen 2020-ig biztonsággal használható.

A TPM alapvetően aktiválva van, mert a legtöbb felhasználó elfogadta az előzetes beállításokat. A Microsoft álláspontja szerint amennyiben a funkciót az embereknek külön kellene bekapcsolniuk, akkor a rendszer kevésbé lenne biztonságos. Van még egy lehetőség: a hardvergyártók építhetnének olyan termékeket, amelyekben a TPM chip ki van kapcsolva. Azok, akik szeretnének maguk ellenőrzést gyakorolni a számítógépük felett, keressenek és vásároljanak ilyen konfigurációkat.

Hozzászólások

A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
Bejelentkezéshez klikk ide
(Regisztráció a fórum nyitóoldalán)
  • msnforever2 #11
    Más kérdés hogy ha kikapcsolod BIOS-ból akkor valóban kikapcsolódik-e... Ugye hallottunk már olyat hogy a BIOS-ból lekapcsolt webcam mégis visszakapcsolható távolról, meg hogy egyes okostévékben a hasztnálati statisztikák küldésének kikapcsolása sem változtatott semmit, a háttérben ugyanúgy küldte tovább csak a menüben OFF-ra változott...
  • kvp #10
    Az elso TPM kompatibilis operacios rendszer a macos volt. Aztan jott a linux, de ott csak opcionalis, tehat a gyarto donti el, hogy be van-e kapcsolva. A gyarto pedig idealis esetben a tulaj. Innen orokolte a tamogatast az android is, itt is a keszulek gyartok dontik el, hogy zarolva van-e a rendszer vagy nem es tobbnyire ki lehet kapcsolni a gui-bol egy mozdulattal (other sources opcio). Most vegre a microsoft is megoldotta a tamogatast, de ettol mar nem lett sokkal rosszabb a helyzet.

    "Egy kérdésem azért még volna, amelyik alaplapon van ilyen chip, azt ki lehet-e forrasztani károkozás nélkül?"

    Regebbi rendszereken igen, de a maiak mar ugy vannak megepitve, hogy a tpm chip nelkul el se induljon az alaplap, tehat a processzor elott indul es ha minden rendben van, akkor engedelyezi a processzort, majd ellenorzi a betoltott bios es utanna a betoltott os digitalis alairasat, ami ha nem egyezik meg a tarolt licenszkulcsokkal, akkor nem engedelyezi a futasukat. Ilyen rendszereknel a leforrasztas tonkrevagja a teljes alaplapot. Egyebkent a modernebb architekturaknal (pl. xbox360, ps3) mar a cpu-ban van a teljes tpm funkcionalitas, sot az xbox360 kepes sajat magat tonkretenni par belso biztositek kisutesevel ha a tpm rendszer tamadast erzekel.

    Egyebkent idealis esetben olyan hardvert kell venni, amin vagy nics tpm, vagy kikapcsolhato, majd felrakni egy olyan os-t ami megbizhato, tehat vagy sajat forditas vagy megbizhato csapat keszitette. (tipikusan ilyenek a linux nem kereskedelmi valtozatai, pl. a debian) A tpm chipnel meg meg kell nezni, hogy melyik allam es/vagy maganceg rendelkezik a root kulccsal, az allam tipikusan lehet az usa vagy ujabban kina. (az utobbiak pl. a pentagonbol kitiltott gepek es telefonok)
  • Armagedown #9
    Egy kérdésem azért még volna, amelyik alaplapon van ilyen chip, azt ki lehet-e forrasztani károkozás nélkül ?
  • item #8
    Az asztali számítógépekbe készülő alaplapokon kikapcsolható a TPM, (alapban nincs is engedélyezve) a notinál pedig gyártótól függ,hogy van-e benne opció vagy nincs.
    Mind a kettővel találkoztam már.
  • mr9 #7
    "A TPM alapvetően aktiválva van, mert a legtöbb felhasználó elfogadta az előzetes beállításokat."

    Azaz eddig még ki is lehetett kapcsolni (BIOS), ha így marad a jövőben is akkor nincs ezzel gond.

    "Linuxok vajon TPM kompatibilisek? Nem hinném."

    http://www.infineon.com/dgdl/Linux+and+Open+Source+activities+for+Trusted+Computing+and+TPM+applications.pdf?folderId=db3a304412b407950112b41656522039&fileId=db3a304412b407950112b4165abb2043
  • Magiszter #6
    Elvileg a Win7 SP1 TMP kompatibilis....
  • AgentKis #5
    "A védelemhez a TPM-re és egy kompatibilis operációs rendszerre egyaránt szükség van."
    Tehát ha win7-et teszel rá, ami (még) nem TPM kompatibilis akkor egyenlőre ettől meg vagy mentve (majd a következő szervízcsomag...).
    Linuxok vajon TPM kompatibilisek? Nem hinném. Még egy ok lesz a váltásra, az M$ leváltására...
  • end3 #4
    Világméretű totális ellenőrzést akarnak az emberiség felett, - olyat, amilyen még Istennek, a nagy programozónak sem sikerült soha. Nem tudom, miért is menekültünk el a demokráciára szavazva egy TOTÁLIS (!) kontrollra törekvő rendszer, azaz a kommunizmus elől, ha a kapitalizmus által az egyénnek biztosított szabadságjog, lassan a kötelezően beépített RFID chip-eket, és a polgárok TOTÁLIS lehallgatását foglya jelenteni?

    Emberek! Meg kéne állítani ezt a TOTÁLIS őrületet.!!! Különben a GYEREKEINK - UNOKÁINK már csak "rabláncra" fűzött rabszolgái lesznek ennek az agyament és hatalom- és pénzmániás "gépezetnek" ahol a döntéseiket a hatalmi pozícióban lévők egyre inkább már csak az egyáltalán nem bölcs, számítógépes "inteligenciára" alapozzák. (Mert a fejekben anélkül (is!) nagy a zűrzavar és egyébként meg fárasztó a gondolkodás)

    Miért van az, hogy az emberek számára alapvetően jól használható dolgokat "egyesek" a emberi történelem folyamán mindíg az emberek ellen tudták és tudják fordítani? Miért nincs a többségnek szavazata ez ügyben? Vagy ha mégis szavazhat valamilyen módon, akkor miért a "rosszra" adja a voksát? - Kemény pénzekért NEM vásárolunk trójait? (Dehogynem...! :-( )
  • Magiszter #3
    Újabb Microsoftos Fail. Ahelyett hogy úgy írnának meg egy OS-t, ne lehessen betörni és megfertőzni, inkább beraknak egy dedikált Hardver egységet ami még rá is segít erre. Majd közlik hogy "hupsz nem ezt akartuk".

    Az MS mostanság nem szerepel túl jól. Win8, Metro, WinRT, Surface, TPM...stb.
  • Armagedown #2
    egy átlag felhasználónak miárt jó ha benne van a tpm chip ?Ráadásul így lekorlátozzák a gépet, csak Windowst lehet rá telepíteni