kvp#10
A HTTPS eseten a felhasznaloi program hasznalna es illene TPM-et hasznalnia, de nem szoktak, max. anno az IE.
A bitlocker viszont hasznalja. Meg mint azota kiderult szamomra a swap / suspend save is titkositott.
A TPM modul viszont nem adja ki a kulcsokat, szoval o titkosit le egy session kulcsot, amit utanna felhasznalnak a stream, file vagy drive titkositasahoz (tobbnyire offset indexed modban). Es igen, hasznalhatatlanul lassu, a cikk is irja. (ha a TPM es a kulcstarolo flash is a CPU resze, akkor persze nincs gond, minden muvelet az L1 cache-ben fut) Egyebkent HTTPS eseten is egy TCP kapcsolathoz egy kripto muvelet kell, ami az SSL session kulcsot letrehozza, onnantol mar csak a CPU-n futo szimmetrikus stream ciper kell csak.
Az AMD eseten a kulcstarolo van kivul, amit igy eloszor be kell tolteni egy lassu SPI-s kapcsolaton at, aztan dekodolni kell a sajat mester kulcsaval es csak utanna tudjak elvegezni a kert muveletet.
A feloldott kulcsokat erhetoen nem akarja a windows 11 ram-ban tarolni, de a session kulcsokat siman le lehetne menteni egy biztonsagos helyre RAM-on belul es akkor TPM hozzaferes csak uj titkositott drive mount-nal lenne (vagy uj HTTPS kapcsolat nyitasakor ha a bongeszo nem teljesen sajat szoftveres SSL implementaciot hasznal). Utoljára szerkesztette: kvp, 2022.03.09. 11:42:37