TPM安全概述:TPM設備的優勢
信息安全行業面臨著各種攻擊,這些攻擊對象包括Web瀏覽器、身份驗證過程和Adobe軟件等。面對這么多的攻擊面,即使是實力雄厚經驗豐富的企業,都可能束手無策。
然而,很多安全專家可能沒有意識到的是,多年來,他們身邊一直隱藏著一個沒有得到充分利用的防御工具:可信平臺模塊(TPM)。
國際行業標準組織可信計算組(其中包括微軟、英特爾和惠普等公司)發布了TPM規范,其中介紹了什么是安全加密處理器--該處理器可以存儲加密密鑰。TPM是基于ISO/IEC標準11889而發布,雖然TPM 2.0目前正在開發中,我們預計它將通過FIPS 140-2或140-3認證。與很多其他信息安全防御方案不同,TPM被內置到現在很多端點計算設備中,這提供了不同的好處,同時也存在潛在缺陷。
在本文中,我們將詳細介紹TPM規范、企業能夠從TPM安全獲得什么優勢以及TPM的潛在缺點。
TPM設備幫助提高企業安全性
現在很多設備(從計算機到手機,甚至到汽車系統)都包含可信平臺模塊加密處理器。這些安全集成電路(通常安裝在設備的主板上)提供了基于硬件的加密和安全功能,例如系統完整性檢查、磁盤加密和密鑰管理,并且都是以機器速度進行。
TPM的主要作用是利用安全的經過驗證的加密密鑰帶來強大的設備安全性。TPM功能的核心是簽注密鑰,這是在生產過程中內置到TPM硬件的加密密鑰。這個簽注密鑰的私鑰部分絕不會出現在TPM外部或暴露給其他組件、軟件、程序或個人。另一個關鍵密鑰是存儲根密鑰,該密鑰也存儲在TPM內;它被用來保護其他應用程序創建的TPM密鑰,使這些密鑰只能由TPM通過被稱為綁定的過程來解密,TPM也是通過該過程鎖定數據到設備。與簽注密鑰不同,只有當TPM設備第一次被初始化或新用戶獲得所有權時,存儲根密鑰才會被創建。
由于TPM使用其自己內部固件和邏輯電路來處理指令,這能夠抵御針對操作系統的基于軟件的攻擊,這意味著它可以為需要加密服務的任何進程提高安全保護。全磁盤加密應用程序(例如微軟的BitLocker Drive Encryption和WinMagic的SecureDoc)也利用TPM,同時,雙因素身份驗證中使用的與指紋和智能讀卡器相關的密鑰可以存儲在TPM芯片中。
除了安全生成和存儲加密密鑰外,TPM還可以通過平臺配置寄存器(PCR)機制來記錄系統的狀態。這允許TPM進行預啟動系統完整性檢查,也被稱為遠程證明,這是一個功能強大的數據保護功能。通過將數據加密密鑰存儲在TPM中,數據可以有效地受到保護,其中TPM有一個參考值來檢查PCR狀態。只有系統狀態與存儲的PCR值匹配,這些密鑰才會啟封和使用,并且,只有在滿足特定硬件和軟件條件時,才能夠訪問系統。
遠程證明也可用于自修復系統。例如,當谷歌Chromebook通電時,TPM會測量BIOS。如果這個測量和PCR值不匹配,Chromebook會在繼續啟動之前回到上一個已知信任狀態,這顯著降低了設備遭受物理盜竊或軟件攻擊的風險。
TPM設備獨特的簽注密鑰也意味著,它可以被用來驗證設備,而不是用戶。這個功能可以結合所有802.1x兼容的網絡政策執行點(例如防火墻、交換機和路由器)來提供基于硬件的身份驗證。無線和虛擬私有網絡也可以配置為執行基于硬件的身份驗證。利用硬件水平的安全服務能夠提供比純軟件機制更好的保護;根據Aberdeen公司2012年的報告顯示,利用這種身份驗證機制創建硬件信任根基的企業遭遇的安全事故要比其他企業低50%。基于TPM的這些安全優勢,TPM沒有被廣泛應用以及得到廣泛支持,這很讓人詫異。
TPM并不是萬能解決方案
再好的信息安全方法也有缺點,TPM同樣如此。例如,雖然數字版權管理(DRM)并不是TPM的預定用途,但一些企業還是擔心隱私問題,因為它可以用來提供強大的DRM和執行軟件授權來鎖定內容到特定機器和識別用戶活動。對于企業來說,這里的主要缺點是,通過存儲密鑰在終端的TPM芯片中,基于TPM的身份驗證會綁定用戶到單臺電腦。這使得多設備使用(例如在線辦公桌面)變得不可能,所以,很多企業會選擇使用第三方軟件進行磁盤加密,特別是當法規沒有要求使用TPM提供的額外安全時。
還需要注意的是,TPM的主要目的是為密鑰提供安全存儲,這意味著,數據只有在靜態才會受到保護,在使用過程中則沒有保護。一旦啟封,數據就是純文本格式;雖然TPM可以存儲預運行時配置參數,但在設備完成開機后,它不能控制已經執行的惡意軟件。在加密和解密過程中,密鑰也容易受到攻擊,這個問題已經通過冷啟動攻擊得以證明。TPM的另一個問題(對于任何PKI加密都是如此)是密鑰管理。密鑰管理通常很復雜,對于TPM更是如此;它需要整合TPM密鑰管理與更廣泛的企業加密管理計劃,并最大限度地減少TPM給日常系統支持任務帶來的復雜性,例如丟失或遺忘身份驗證憑證,或者安裝更改終端默認狀態的軟件補丁。
與所有其他安全控制一樣,TPM的缺點可能給企業帶來潛在安全問題,所以,只有與其他現有端點控制(例如多因素身份驗證、網絡訪問控制和惡意軟件檢測)結合使用,它才是最有效的。
TPM的未來?
對于TPM設備的未來發展,我們將看到Wave Systems等供應商發布新產品,以及TPM部署作為微軟Windows 8和Server 2012的核心組件,相關的安全部署可能會增加,特別是隨著密鑰管理變得更加簡化。事實上,微軟已經要求在運行Windows 8的設備(包括手機和平板電腦)以及運行Server 2012的服務器包含TPM芯片,這將推動TPM發展成為無處不在的安全保護機制。隨著越來越多的企業想要提供內置安全性,同時確保不會給用戶造成不便,TPM還將繼續發展壯大,最終成為更具影響力的技術。
