10
-
#2
Szerintem nem. Megoldják ez frissítésből. -
#3
Milyen okos mérnök volt az, aki kitalálta a TPMet. -
Csucse #4 Újabb szánalmas átlátszó erőszakos biznisz-kicseszés... -
kvp #6 Ez "csak" egy implementacios hiba az AMD oldalan. Valami ertelmes ember blokkolora irta meg a TPM firmware SPI-s muveleteit. Altalaban ez nem gond, mert ha nem egy kernel lock-ban hivjak, akkor max. a medialejatszot vagy a bongeszot fogja meg, abban is csak 1-1 felhasznaloi szalat.
Na a windows 11-ben a kernel is hasznalja TPM szolgaltatasokat es nem csak alairasokat ellenoriz (amit lehet szoftverbol is), hanem ala is irogat dolgokat, kernel lock mellett. Nem tudom minek, de ez van.
Igazabol "csak" at kell irni az AMD TPM architekturajat szinkron mukodesrol aszinkron mukodesre. Es nem csak a szokas szerint lassu alairas generalast, hanem az altalaban minden muveletet, ugyanis egy kulso SPI busz eleg lassu a mai procikhoz kepest. Tehat egy par orajeles SPI-s muvelet is tobb millio CPU orajel-nyi idore blokkolja a teljes CPU-t. Fo kernel lock eseten az osszes mag osszes szalat. Ami egy Arduino-n meg belefer, az egy PC-n mar tul sok.
Szoval kell egy uj firmware, kell egy uj efi bios, kell egy uj kernel driver es kell egy uj alkalmazas szintu programkonyvtar, ugyanis minden API hivas valtozik. /fuggveny(adat)->eredmeny-rol fuggveny(adat,celfuggveny), .... celfuggveny(eredemeny) formatumra/
ps: Ha ennyit hivogatja a windows 11 a TPM-eket, raadasul a flash-t is piszkalja, akkor ezek a kis SPI-s flash-ek idovel ki fognak egni. Na most a legujabb intel es ARM procik eseten ezek a procikban vannak. (amitol persze sokkal gyorsabbak, viszont nem lehet oket cserelni) -
DeviloftheHell #7 na, ha tényleg ezt berakták a prociba, mint része a szilicium lapkának, akkor gratula nekik tervezett elavulás a köbön a microsoft segitségével, azonfelül boot után, mi az isten haragjának hivja meg ezt a funkciot? -
kvp #8 A TPM aramkor kezeli elvileg az osszes digitalis alairast (marmint ami nem csak ellenorzes). Tehat ezzel kell(ene) alairni az osszes HTTPS kapcsolatot is, darabonkent kulon-kulon. Ezek egy kulso 2.0-as TPM chipen nem tul gyors muveletek (lassuak a chipek), belso (CPU-ba integralt) TPM eseten pedig a kulcs betoltesehez kell csak a kulcstarolo flash es csak olvasasi celbol, ami nem koptatja. Ha ez a flash kulso, foleg ha meg raadasul soros eleresu is, akkor ez a muvelet eleg lassu lesz, kb. mintha az egesz TPM chip SPI-n lenne. (csak a kulso SPI-s regi TPM-ekhez altalaban van aszinkron driver, mert mindenki tudja, hogy csigalassuak)
Azt viszont en is szeretnem tudni, hogy a kernel mi a fenet ir ala az elvileg idokritikus kernel lock-os utvonalon. -
Caro #9 Ebben a HTTPS-ben biztos vagy? Én azt a részét kizártnak tartom.
Nem valami storage encryption-re használja? De valószínűleg ott is csak a kulcsok közlekednek a TPM modul felé, különben használhatatlanul lassú lenne. -
kvp #10 A HTTPS eseten a felhasznaloi program hasznalna es illene TPM-et hasznalnia, de nem szoktak, max. anno az IE.
A bitlocker viszont hasznalja. Meg mint azota kiderult szamomra a swap / suspend save is titkositott.
A TPM modul viszont nem adja ki a kulcsokat, szoval o titkosit le egy session kulcsot, amit utanna felhasznalnak a stream, file vagy drive titkositasahoz (tobbnyire offset indexed modban). Es igen, hasznalhatatlanul lassu, a cikk is irja. (ha a TPM es a kulcstarolo flash is a CPU resze, akkor persze nincs gond, minden muvelet az L1 cache-ben fut) Egyebkent HTTPS eseten is egy TCP kapcsolathoz egy kripto muvelet kell, ami az SSL session kulcsot letrehozza, onnantol mar csak a CPU-n futo szimmetrikus stream ciper kell csak.
Az AMD eseten a kulcstarolo van kivul, amit igy eloszor be kell tolteni egy lassu SPI-s kapcsolaton at, aztan dekodolni kell a sajat mester kulcsaval es csak utanna tudjak elvegezni a kert muveletet.
A feloldott kulcsokat erhetoen nem akarja a windows 11 ram-ban tarolni, de a session kulcsokat siman le lehetne menteni egy biztonsagos helyre RAM-on belul es akkor TPM hozzaferes csak uj titkositott drive mount-nal lenne (vagy uj HTTPS kapcsolat nyitasakor ha a bongeszo nem teljesen sajat szoftveres SSL implementaciot hasznal).
Utoljára szerkesztette: kvp, 2022.03.09. 11:42:37