Trusted Platform Moduleを使用した改ざん防止BIOSパスワードおよび設定ストレージ?
昔は、BIOSバッテリーを取り外して [〜#〜] cmos [〜#〜] をクリアすることで、ほとんどのPCでBIOSパスワードを簡単にバイパスできました。
私の質問は:Trusted Platform Module(TPM) を搭載した最近のPCでは、BIOSパスワードとBIOS設定は一般的にどのように改ざんされにくいですか?TPMの設計仕様では、BIOSパスワードの削除、プレーンテキストでのBIOSパスワードの取得、またはドライブの起動順序の変更に対する一定レベルの抵抗が必要ですか?
(私は、TPMがコア機能としてアドバタイズされ、攻撃者がPCマザーボードに物理的にアクセスできるビジネスクラスのHP/Dellラップトップを想定しています。)
TCG Trusted Computingコンセプトは、BIOSを2つの部分にデバイス化します。最初のBIOSは安全であると想定され、TPMを初期化します。このいわゆるCRTMは、残りのBIOSコンポーネントを測定し、それらの値をTPMに記録します。仕様から、CMOSデータはその測定の一部であり、PCR1に保存されているようです。しかし、変更されたBIOSパスワードまたは他の設定はBitlockerのようなものを無効にするため、このレジスターは考えていません実際に使用されています。または、実装が実際にこの構成スペースを測定していない場合。実際に試して何が起こるかを確認してください。If測定された場合、Bitlocker(またはLinux initrd plusなどのシステムを使用できます。 shellscript)操作されたBIOSからOSデータを保護します。
ただし、TCG仕様ではハードウェア攻撃が明示的に除外されていることに注意してください。また、TPMは常にBIOSに依存しており、SMMおよびTXTを正しくプログラムおよび保護するため、常にBIOSの測定値を確認する必要があります。
また、フルディスク暗号化とブルートフォース攻撃に対するパスワードの保護が、現在のTPMの唯一の実用的なケースであることにも注意してください。それ以外はすべて、OSの巨大な構成スペース(無限の有効な測定値)のために実用的ではないか、または思ったほど安全ではありません(SVM/TXT/VT、ただし、最新の状況を超えています)アート)。
---これは回答ではなくコメントです---
http://www.intel.com/design/mobile/platform/downloads/Trusted_Platform_Module_White_Paper.pdf
BIOSコードTCPAは、システム起動時のBIOSコードの整合性の測定を指定します。このような完全性の測定とレポートを実行するには、システムBIOSに完全性測定機能を追加する必要があります。
既存のBIOSアーキテクチャによっては、このような拡張は複雑な作業になる場合があります。
プラットフォームベンダーは、TPMを使用してさまざまなプリブートセキュリティ機能を提供したい場合があります。このような機能を提供するために必要なコードは、システムBIOS内に直接実装されるか、オプションROMとして提供されます。
プラットフォームでプリブート機能が提供されているかどうかに関係なく、BIOSコードに最小限の変更を加えて、TPMがACPI記述子テーブル内のマザーボードデバイスとして定義されていることを確認する必要があります。これにより、オペレーティングシステムはデバイスを識別し、リソースをデバイスに割り当て、必要なデバイスドライバーを読み込むことができます。
...
ノートブックPCでのTPMの実装
機械的要件
TPMは、はんだ付けしてマザーボードに永久的に取り付ける必要があります。これにより、TPMは、TPMとそれが接続されているプラットフォームとの間に1:1のバインディングを提供するという事実が強化されます。この要件があるため、マザーボードの設計とレイアウトプロセスの早い段階でTPMに必要な面積を考慮することをお勧めします。 TCPAは、改ざんの証拠を提供できる改ざん検出メカニズムの提供も推奨しています。改ざん検出メカニズムの例は、改ざんテープの使用です。
毎日改ざん防止テープに損傷の兆候がないか、ラップトップのマザーボードをチェックしますか?