Server Notice:

hide

36c3-talk-10564 Latest text of pad 36c3-talk-10564 Saved Feb 5, 2022

00:00 Subtitles created by Musa Jallow (ITKST56 course assignment at JYU.fi)

00:09 Resurssien loppuminen

00:13 Hakkerointi TMP:llä

00:21 Seuraava puhe on hakkerointi TMP:llä. Älkää kysykö mitä voitte tehdä TMP:llä. Sen sijaan kysykää mitä TMP voi tehdä sinulle

00:29 Ja se toimii tietyllä tavalla johdantona siihen, mitä TMP on ja mitä sillä voi tehdä

00:34 Ja vieraileva juontaja on Andreas ja tässä hän on. Antakaa suuret aploodit. Kiitos

00:49 Tervehdys kaikille. Minun nimeni on Andreas. Aion esitellä joitakin asioita TMP:stä. Tässä on minun GitHub-kahva ja nimi josta voit löytää osan asioiasta joiden parissa työskentelen

01:02 Ja kaikista tärkeimmät lähteet joista puhun on tämä. Näet sen loppuyhteenvedossa uudestaan

01:10 Jotenka, kuka minä olen. Työskentelen TMP:n parissa, jotenka olen löytänyt jonkun joka on valmis maksamaan minulle työskennelläkseni tämän asian parissa.

01:20 Ja olen jäsenenä luotto tietokoneryhmässä, joka tekee paljon näiden asioiden määrittelyä

01:27 Aloitin työskentelyn TMP:n parissa 13 vuotta sitten, jolloin se oli 1.2\\. Yritin saada asiat toimivaan itselleni, mikä ei kuitenkaan onnistunut järjestelmä ei ollut hyvin ylläpidetty, API oli ikävä

01:49 Jotenka 5 vuotta sitten, kun osallistujia rekrytoitiin työskentelmään TSS 2.0 parissa. Hyppäsin kanin koloon välittömästi

02:03 Määrittelyä, kirjoittamista ja mitä muuta TSS toteuttamiseen ja ylläpitoon tarvittiin.

Github tuli myöhemmin kuvioihin

02:15 Tätä lopputulosta aion esitellä teille. Aion käydä läpi esittely lyhyesti mitä TMP:t ovat

02:25 Ja sitten siirrymme kahteen aiheeseen tietojen suojaaminen ja käynnistyksen suojaaminen. Ja sitten informaatiota siitä miten voit aloittaa työskentelyn itse

02:40 Ja tässä tulee hauska osuus. Jotenka teidän huviksi ja minun henkilökohtaisen yöllisen adrenaliinin vuoksi ajattelin sisällyttää joitakin demoja

02:50 Se mitä aion nyt tehdä on, että kopion kaiken tämän

02:54 Siirryn omistamaani ja luotettavaan virtuaalikoneeseen

02:59 Ja tietysti se ei toimi heti

03:05 Minun olisi pitänyt avata sudo ensiksi

03:08 Aion tehdä live demoja aina välillä

03:12 Pyydän, älkää DoS täällä olevaa internettiä tai esitys jää hyvin lyhyeksi

03:20 Mitä ovat TMP:t. TMP on turvallisuus-siru joka liitetään emolevyyn

03:26 Ja kiitso Microsoftin, kun antoivat TMP:s kaikille halvalla. Koska kiitos Microsoftin logo-ohjelman jokaisessa kuluttajatietokoneessa on nykyään TMP

03:40 Jotenka miksi ei käyttäisi niitä. Ne ovat melko tietoturvallisia. Niissä on tiety kriteerisertifikaatit joihin voitte luottaa

03:59 Tottakai on ollut joitain TMP.failed ja Tanja ja David puhuivat tästä kaksi, kolmetuntia sitten mikä oli mielenkiintoista

04:12 Ja mihin se pystyy? Se pystyy tekemään Cryptoa, varastointia ja tallentamaan boot has -arvoja

04:22 Ja se on periaattessa kaikki mihin se pystyy. Jotenka se on täysin passiivinen laite

04:26 Mikä on kaikista tärkein pointti. Ja oikealla näette vanhoja 1.2 versioita. Nykypäivänä se on paljon pienempi

04:37 Ovat TMP:t vaarallisia? Mielestäni olemme kuullet keskusteluja menneisyydessä, että kongressissa ollaan väitelty molemmista suunnista

04:45 TMP:llä oli huono maine kun ne tulivat ensimmäistä kertaa myyntiin

04:54 Kuten sanoin ne ovat täysin passiivisia

04:57 Ja mitä TMP:t ovat oikeasti niin ne ovat upotettuja älysiruja

05:02 Jotenka sinulla on tietynlainen tietoturvaelementti tietokoneessa jota voit käyttää hyödyksi

05:07 Ja sitten on rehellisyys raportointi ja paikkaominaisuudet

05:12 Joihin menen vähän tarkemmin myöhemmin

05:17 Mutta älä vain ota minun sanaani asiasta vaan ota Richard Stormanin tai GNU säätiön, koska he määrittelivät että luottamus-alusta-moduuli, joka on saatavilla tietokoneisiin ei ole vaarallinen ja ei ole syytä sisällyttää sellaista tietokoneeseen

05:33 Sanoisin, että ne ovat saaneet "Storman hyväksyssän"

05:39 Ja täten miksi ei vain voisi käyttää niitä

05:44 Seuraavaksi siirrytään asian pihviin

05:46 Kirjautumistietojen suojaaminen. Kuka täällä käyttää julkista avain suojausta jollakin tavalla?

05:54 Odotan, että kaikki kädet nousevat

05:57 Kuka käyttää älykorttia tai "Yubi"-avainta tai TMP:tä suojaamaan tietoja?

06:03 Okei

06:05 Ja kuka on optimoinut tämän prosessin ja vain jättänyt alykortin sinne tai katkaissut osan siitä? Tai käyttäny Yubi-avain nanoa?

06:17 Okei. Vain muutama. Teille muutamille tämä on sama suoja minkä TMP tarjoaa

06:25 Ja muille älykortit. Voitte käyttää TMP:tä, koska se on kätevämpi. Lisäksi teillä on jo se niin miksi ette käyttäisi sitä?

06:42 Okei. Mikä on turvallisuus idea kirjautumistietojen suojaamisessa, joka tulee älykorttien ja TMP:n kanssa saman tyylisesti?

06:54 Periaatteessa haluamme jakaa autentikoinnin, todisteen hallussapidosta ja todisteen tiedosta

07:05 Jotenka meillä on kaksi tekijää jotka haluamme saavuuttaa autentikoinnissa

07:12 Todiste tiedosta on hyvin suoraviivainen. salasanan tai koodin laittaminen älykortin avaamiseksi.

07:18 Ja todiste hallussapidosta on toinen tekijä. Mitä tämä tärkoitta? Mitä tarvitset luodaksesi todisteen hallussapidosta tarvitset jotain mikä ei ole kopioitavissa tai kloonattavissa

07:30 Eli se on pääominaisuus mitä älykortti sinulle antaa

07:34 Mitä, esimerkiksi pehmeä merkki tai julkinen avain, joka hengailee sinun kovalevyllä ei anna sinulle

07:42 Koska voit vain CPttää sen ja tuoda sen eri koneelle

07:50 Ja ajaa sen samaan aikaan monella koneella

07:54 Jotenka jos sinulla on jotain mitä ei voi kopioida, voi olla vain yhdellä henkilöllä ja siten saat lisä turvaa.

08:07 Ja tästä tulee erityisen tärkeää kaikissa hakkerointi konferensseissa, täällä tai BlackHat tai missä ikinä

08:13 Koska näissä tapahtumissa olevat ihmiset ovat hyvä tallentamaan ja selvittämään salasanoja

08:19 Jotenka tämä on hyvä argumentti miksi sinulla tulisi olla toinen ominaisuus

08:28 Jotenka todiste hallussapidosta voi olla älykortti tai Yubi-avain nano voidaan muuttaa todisteeksi hallusapidosta tietokoneella joka sisältää TMP:n

08:40 Jotenka ainoastaan jos jollain on pääsy tähän koneeseen ja tieto koodista. Nämä kaksi tekijää mahdollistavat autentikoinnin

08:52 Tyypillisesti jos olet hakkeroinnin uhri. Tämä on ongelma siinä mitä todiste hallussapidosta tarkoittaa

08:58 Sama kuin jos sinulla on älykortti älykorttilukijassa siinä ajassa kun joku saa järjestelmäsi haltuun he ovat enemmän tai vähemmän kyvykkäitä käyttämään sinun kirjautumistietoja

09:15 Mutta on kaksi eroa. Ne ovat väliaikaisesti kiinnitettyjä aikaan joka hakkeroinnissa kestää eli jos siivoat järjestelmän voit jatkaa työskentelyä normaalisti jälkeenpäin

09:26 Toinen asia on, että ei ole mahdollista että hyökkäys, kuten "kova verenvuoto"

09:34 Koska kaikki haavoittuvuudet eivät ole kyvykkäitä saamaan täysiä oikeuksia. Joskus hyökkäys kuten "kova verenvuoto" voi saada vain tiettyjä osia haltuunsa

09:46 Sinulla ei ole kyseistä ongelmaa jos tietokone ei tiedä avainta ja sitä ei ole tallennettu RAM:lle tai levylle

09:54 Demon aika

09:56 Kuinka voit käyttää tätä kirjautumistietojen suojausta?

10:02 Yksinkertaisin tapa tehdä se on TPM 2 TSS koneen avulla

10:09 TPM ohjelmistoprojektilla

10:12 Minun ei pitäisi kertoa siitä täällä

10:14 Jotenka asensimme yhden näistä ohjelmistoista aikaisemmin ja se ei oikeastaan ladannut

10:24 Jotta voitte käyttää sitä tarvitsette vain nämä kolme komentoa ja aion näyttää ne teille nopeasti

10:33 Muuten...

10:39 En käytä TPM:tä vaan käytän laitteiston TPM:tä

10:45 Lähetin sen virtuaalikoneelle

10:58 Vaihdetaan virtuaalityöpöydälle

11:06 Jotenka mitä teemme ensimmäiseksi?

11:10 Ymmärrämme.. nyt se toimii

11:12 Luomme avaimen käyttämällä TPM:tä ja seuraava komento luo itse-asetetun sertifikaatin, ja kuten näette jotka ovat työskennelleet asian parissa niin ensimmäinen komento on mukautettu komento ohjelmistosta

11:26 Toinen on tavallinen OpenSSL luo sertifikaatti komento jossa nimetään moottori ja avain joka tulee sen mukana

11:39 Jotenka aiomme ottaa tämän

11:43 Laitetaan se tänne

11:47 Olemme Itävallassa nyt

11:49 Ketä kiinnostaa

11:53 Ja nyt meillä on curl ja curl pystyy yhditämään meidät... toimi nyt. Minun olisi pitänyt tuoda hiiri

12:08 Jotenka curl pystyy käyttämään OpenSSL moottoria ja älä ärsyynny kautta-kautta epävarmuudesta. Ajan tällä hetkellä EngineX serveriä isäntäjärjestelmässä

12:24 Ja virtuaalikoneenssa käytän curlia autentikoimaan ja käytän client -autentikointi keskustellakseni EngineX:n kanssa

12:39 Ja kuten huomaatte tämä on nettisivu ja ensimmäistä kertaa ajaessani komennon en meinannut uskoa näkemääni koska se oli niin nopea ja ajattelin että tein virheen

12:49 Jotenka verifioidakseni kaikille teille teen "trace loginnin"

12:55 Ja sitten näemme että meillä tapahtuu paljon kommunikointia TPM:n kanssa

12:59 Jotenka käytämme oikeasti TPM:tä tehdäksemme asiakas puolen autentikointia serverillä

13:07 (aploodit)

13:10 Kiitos

13:12 Seuraava asia. Tämä on.. ensiksi tämä on minun tapani tehdä asioita. Haluan käyttää TPM:ää kotona ja ehkä tehdä tyypillisiä bash skripti pohjaisia asioita

13:27 ja milloin ikinä teetkään bash skriptiä sinä et halua laittaa salasanaasi sinne, koska kun pusket skriptit Githubiin muut ihmiset voivat ladata ne

13:33 ja käyttää sinun salasanoja

13:35 Kyllä

13:37Jotenka tämä on toinen etu näissä

13:40 ja toinen asia jota haluan tehdä kotona. Minulla on Internet-verkkopalvelin, joka on käytännössä käänteinen välityspalvelin EngineX:llä

13:47 Se välittää tavarat kotiavustajalle ja muihin paikkoihin

13:51 ja haluan pystyä poistamaan tämän jotta pystyn tallentamaan kirjautumistietoja turvallisesti, jotta seuraavan kerran kun EngineX "heart bleeds" ei se pilaa kaikkea puolestani

14:02 ja EngineX:llä on erittäin helppoa tehdä se

14:12 Jos katsomme tätä sivustoa joka on merkitty tähän. Se on käytännössä vain oletussivusto

14:17 näemme että meidän on lähetettävä sertifikaatti ja ssh-sertifikaattiavain

14:22 voit käyttää tätä avainsanakonetta, joten toivottavasti et koskaan tallenna avaimesi

14:26 ja jos kutsun moottoria siitä tulee ongelman

14:29 ja me osoitamme tpm2tss -moottoria

14:33 ja koska jonkun ärsyttävän bugin vuoksi EngineX ja ihmiset EngineX foorumilla ovat puhuneet siitä

14:41 en löytänyt hyvää ratkaisua asian korjaamiseksi ja tästä syystä jouduin määrittelemään moottorin uudestaan täällä

14:47 jotenka nyt kun kaikki tämä on kunnossa voimme vain

14:53 käynnistää uudelleen

15:01 voimme vain käynnistää EngineX:n uudelleen ja tällä kertaa käännämme sen ympäri. Joten jatkan vain luotetun verkkopalvelimeni isäntäjärjestelmässä

15:11 yritä kirjautua siihen

15:15 kyllä, koska emme luota sen sertifikaattiin välittömästi yea,

15:19 mutta me voimme käyttää TPM:ää autentikoimiseen

15:26 jotenka molemmat puolet voivat nyt aloittaa skriptaamisen

15:29 Siisitä

15:33 Nyt mennään

15:35 Okei, joten se on helpoin tapa päästä alkuun kun yrität yhdistää TPM:n päivittäisiin bash-rutiineihin

15:44 seuraavaksi hieman monimutkaisempi tapa tehdä asioita on pkcs11

15:48 pkcs11on avoimen ryhmän standardisoitu API, jota Firefox käyttää esimerkiksi älykorttien kanssa kommunikoimiseen

15:58 ja tietysti me myös työskentelemme... kuten nämä yhteisöt ja teemme jotain sen eteen

16:06 meillä on jopa antenneja täällä huoneessa

16:10 paljasin heidät

16:11 Okei, olemme tällä hetkellä "orc0 face"

16:16 Tämä on myös syy siihen miksi on outoa että asennustyökalut eivät asennu aina kun kutsut niitä asentaaksesi

16:26 joten jos yrität ajaa näitä juttuja uudelleen kotoa käsin huomioi näiden diojen perusteella, että tämä on polku tpmp2-työkalun chekc.git arkistoon

16:38 ja ainoa asia, joka todella saa asennuksen on kirjasto jota pkcs11 käytämme myöhemmin

16:43 Joka tapauksessa

16:45 Otamme nämä muutamat käskyt täällä

16:46 ja periaatteessa teemme alustuksen. Ensin laitamme pythonpath-juttuja ja muuta sellaista

16:53 osoitamme tietokannan tallentamiseen kodin alle

16:58 alustamme ja lisäämme tokenin joka käytännössä luo uuden älykortin

17:04 ja sitten lisäämme avaimen

17:08 Okei

17:10 katsotaan toimiiko se oikein

17:16 Näyttää hyvältä

17:19 Joo

17:23 ja siinä se meillä on. Loimme juuri älykortin tällä satunnaisella älykorttitunnuksella, josta sinun ei tarvitse välittää

17:31 mitä hienoa tässä on? Olen menossa tähän ongelmaan koska haluan käyttää sitä todentaakseni ssh:n kautta

17:40 koska en tiedä kuinka moni teistä ssh-asiakastodennusta käyttävistä käyttää allekirjoittavia julkisia avaimia

17:49 Eli periaatteessa lähes kaikki

17:51 Siistiä

17:53 Hakkerikonferenssi

17:53 Niin, ja kuka teistä ei suojaa avaintansa salasanalla vaan käyttää siihen tyhjää salasanaa?

18:04 Okei. Teille kaikille tämä saattaa olla mielenkiintoista

18:10 joten aiomme kutsua ssh-keygenillä ja mitä se tekee on ainoastaan

18:19 Joo

18:20 Generoi ssh-avaimen ja te kaikki luultavasti näette tämän

18:24 Joten kopioin tämän

18:28 ja menee isäntäkoneeseeni

18:31 ja nyt menen

18:33 lisätty valtuutetut avaimet

18:35 ja lisään tämän avaimen

18:39 ja palaan virtuaalikoneeseen

18:44 Virtuaalinen työpöytä virtuaalisen työpöydän sisällä

18:48 Se on kuin "pimp my ride"

18:51 Okei, ja sitten voimme kirjautua sisään ssh:lla

18:54 ja

18:58 tämän pitäisi myös toimia nyt

18:59 ja tässä pyydämme PIN-koodia älykorttiin jota alun perin kutsuin merkiksi

19:05 jolle luultavasti löydät paremman nimen

19:08 ja nyt olen sisällä

19:10 eli se toimii myös

19:12 (apploodit)

19:17 mutta jotta asiat olisivat vielä siistimpi, mihin muuhun käytämme ssh:tä

19:21 no me käytämme sitä tai ainakin minä käytän sitä gitiin

19:28 otamme tämän avaimen uudelleen

19:32 ja siirrymme Github:iin

19:34 ja tämä on minun Github-tili

19:38 Nyt menee mielenkiintoiseksi

19:44 Lisään tämän ssh-avaimeksi

19:46 ja

19:47 Kyllä tallennan salasanoja

19:52 millään heistä ei ole asiakkaan todennusta...asiakkaan todennustodistus kanssamme mitä muuta minun pitäisi tehdä

19:58 joten asia jota teemme täällä on pohjimmiltaan että periaatteessa luon tämän siistin shell skriptin joka sisältää ssh-kutsun pkcss11-kirjastolla

20:07 ja sitten viemme sen git_ssh-ympäristömuuttujan alle, mikä tarkoittaa, että ssh:n sijaan

20:16 git kutsuu uutta ssh-juttuamme

20:19 ja tämä käännetään

20:24 kutsumalla pkcss11-palveluntarjoajaa

20:30 seuraavaksi kloonataan

20:33 ja täällä on uudelleen TPM-invokaatio

20:37 Analoginen enemmän TPM kutsu

20:39 ja täällä ollaan

20:40 ja voimme nyt jopa mennä eteenpäin ja kirjautua ulos haarasta

20:44 Luulen, että käytin tätä testeissäni, joten kutsun sitä

20:48 Nyt

20:50 Ei

20:53 Tietysti

20:58 Kirjaudutaan ulos uudesta haarasta

21:00 git push origin

21:11 ja se on puskettu ja voit mennä eteenpäin ja mennä nimiavaruuteeni Githubissa ja sinun pitäisi nähdä tämän mahtavan TPM-autentikoidun haaran pusku tuolla

21:22 (aplodit)

21:27 Okei

21:28 kuten sanoin tämä on rc0\\. Toivottavasti tulee pari bugia ennen lopullista julkaisua mutta

21:35 äyttää aika käyttökelpoiselta, sanoisin

21:38 Okei. Tulen seuraavaan asiaan joka on vielä kovasti työn alla

21:43 Tämä on bittilokero Linuxille

21:46 ja olen kirjoittanut tämän yli vuosi sitten

21:49 ja ryhmässä oli yhdistämispyyntö

21:55 ja olemme pohjimmiltaan uudelleen rakentaneet koko asian mutta ajattelin että olisi hauskaa tuoda tämä työ, jonka tein kauan sitten

22:04 Mitä tämä tekee niin perustaa lukot ja krypton

22:09 Idea on, että sinulla on äänenvoimakkuusnäppäin, jolla kokonaiset taltiot salataan, ja sitten sinulla on useita avaimia, jotka on tallennettu vetoomuksen lukko-otsikkoon

22:17 jossa tämä äänenvoimakkuusavain salataan yleensä avaimella, joka on syöttämäsi salasanan oikealla puolella

22:24 ja tämä sitten näyttää siltä, mitä näemme täällä keskellä

22:28 jossa meillä on tämän tyyppinen avainpaikka nolla

22:31 ja niinpä tein tuolloin, että jatkoin näitä

22:34 Tämä on json joten jos käytät lukkoa ainakin uusi alimuoto

22:38 Sinulla on json ja vetoomuksen otsikot

22:41 Se on jotenkin mahtavaa

22:44 Helpotti elämääni paljon tuolloin

22:47Meillä on siellä avainpaikka

22:49jotain sellaista ja me otamme äänenvoimakkuusnäppäimen ja käytämme yhtä TPM:n ei-volutaalista muistitilaa

22:58 ja tallennamme äänenvoimakkuusnäppäimen suoraan sinne ja niin on

23:03 ja kyllä vain muuta ei tarvita

23:05 ja sitten mitä teemme alustamattomille Luks-otsikoille, tallennamme vain metadataa

23:11 Esimerkiksi

23:13 Mikä on se "nvindex" numero jonka alle varastoimme tavaraa?

23:17 Okei

23:18 Demon aika jälleen

23:23 ja

23:31 joten tämä on haaramme ryhmä josta poistun

23:34 ja tulee olemaan

23:36 Kokoamalla tämän livenä

23:41 Samalla vielä yksi huomautus. Käyttöjärjestelmä jota ajetaan virtuaalikoneella on vakio Ubuntu-asennus

23:49 ja

23:51 valitsin juuri tämän salauksen LVM Ubuntun ohjatun asennustoiminnon aikana

23:59 ja kuinka koskaan, valitettavasti se käyttää edelleen Luks1:tä tässä muodossa joten mitä sinun täytyy tehdä asennusmedialle jos haluat tehdä sen sinun on kutsuttava tämä "cryptsetup conver"

24:10 joka muuntaa Luks1-muodon luks2-muotoon

24:14 kaiken pitäisi olla nyt valmista

24:17 Okei

24:19 Kyllä vain. Me kokosimme ja asensimme nyt päivitämme nopeasti

24:23 korvaamme cryptolabin joka ei tee sitä kokoajan

24:28 ja

24:29 seuraava komento jota olemme suorittamassa, ja näette että ainoa ero on komennon "--tpm" lisääminen tähän

24:35 Joka. Kyllä

24:37 kutsuu käyttämään TPMää

24:40 tila sille

24:42 ja syötämme olemassa olevan salasanan

24:47 syötämme uuden salasanan ja tätä uutta salasanaa käytetään TPMn todentamiseen

24:54 ja

24:56 meillä on vain 5 minuuttia, joten hyppään suoraan eteenpäin

25:00 Kaiken pitäisi nyt olla kunnossa ja seuraavan uudelleenkäynnistyksen yhteydessä järjestelmä kysyy minulta

25:05 TPM pohjaista salasanaa ja sitten

25:09 pääsemme näkemään

25:14 joten näemme tässä, että toinen avainpaikka on nyt TPM2-tyyppinen

25:19 Okei

25:29 Vielä yksi asia jonka haluan esitellä varhaisessa käynnistyksessä on eheyden tarkistus joka perustuu siihen mitä Matthew Garret puhui "@32c3"

25:38 ja tämä on linkki hänen puheeseensa

25:41 Kannattaa ehdottomasti käydä katsomassa se

25:43 Joten tässä on kyse varhaisen käynnistyksen eheyden varmistamisesta jakamalla salaisuu TPMn ja älypuhelimesi välillä

25:50 ja

25:52 Kyllä. Tein juuri uudelleentoteutuksen ja aion esitellä myös sen

25:56 Valmistautuessamme siihen on teidän kaikkien aika ottaa älypuhelimet esiin ja avata ilmainen TOTP-sovellus tai

26:05 Google autentikaattori jotta voit varmistaa että kaikki toimii tarkoituksen mukaisesti

26:13 ja tämän olen itse asiassa koonnut valmiiksi

26:16 Muuten jos yleisössä on jok, joka on hyvä gtk-gui-suunnittelussa tule juttelemaan minulle

26:22 Tässä näette minun tuotokseni

26:25 Okei

26:26 Aiomme suojella

26:29 Pyörittämällä komennon pcr027 ja tämä varmistaa jokaisen käynnistyksen yhteydessä että tämä PCR-arvo on

26:39 olivat samat kuin nyt kun käännämme tätä järjestelmää joten se tarkoittaa että jos sinulla on ydinpäivitys tai

26:46 tai päivitä sisäinen RDM jälkeenpäin PCR-arvot vaihtelevat joten sinun täytyy käydä läpi tämä prosessi uudelleen

26:52 Joten kaikki ovat skannatneet tämän toivottavasti omassa ilmaisessa TOTPssaan

26:56 tai Google autentikaattorilla

26:58 sitten voimme jatkaa ja voimme itse asiassa aloittaa järjestelmän uudelleenkäynnistyksen

27:07 ja toivottavasti tämä toimii nyt

27:09 koska monimutkaisin osa kaikissa näissä demoissa oli itse asiassa etäasetus "crap"n ja "implens"sin välillä.

27:17 uskokaa tai älkää

27:20 Okei ja näytöllä on tämä numer, joka on todella suuri

27:23 828688\\. Pitikö tämä paikkansa?

27:27 Yleisö: Kyllä

27:28 Hienoa

27:31 (aplodit)

27:32 ja toinen asia jonka teen nyt erittäin suojatun salasanan sijaan ja kirjoitan 1234

27:40 Teidän täytyy uskoa minua ja mikä on TPM-salasana

27:44 ja se itseasiassa käynnistyy käyttäen TPMää

27:48 Mikä on

27:50 Tässähän se on

27:51 joten se toimii myös Luksien kanssa

27:54 Okei

27:57 Toivottavasti tämä antoi teille vaikutelman mitä voitte tehdä TPMllä jo tänään

28:03 Jos haluat liittyä kehitykseen mukaan, liittyä hackroom-juttuihin tämä sivusto sisältää yhteisösivumme

28:10 Missä meillä on gitter joten voit tulla puhumaan meille, minulle ja muille kehittäjille

28:17 Voit katsoa niitä kahta otsikkotiedostoa jotka ovat tärkeimmät tällä hetkellä joten se on aivan uutta

28:24 Julkaisimme sen juuri tai yhdistimme sen juuri masteriin

28:28 Muistaakseni viikko sitten

28:31 Olkaa hyvä ja katsokaa, testatkaa sitä

28:34 Katsokaa myös

28:38 työkalut. Kaikki työkalut jotka alkavat kirjaimella tpm2_ ovat periaatteessa "esapi" tai "eses" peilejä ja kaikki työkalujen etuliite tss_ ovat yksi yhteen "thappy" -sovituksia

28:52 ja tässä on vielä yksi pro vinkki kun kehität ja jokin epäonnistuu yhtäkkiä se liittyy yleensä TPM-resurssien loppumiseen

29:02 ja tämä komento siellä alhaalla jäädyttää TPMn sisäisen RAMin uudelleen jotta voit jatkaa työskentelyä

29:08 Okei

29:09 Kiitos

29:15 "Kysymysten aika"

29:17 Kiitos

29:19 Se oli Andreas

29:21 Ja nyt on kysymysten aika. Meillä on kysymyksiä internetissä ja meillä on kysymyksiä täällä

29:29 Ja

29:32 Katsokaa. Teillä kahdella on sama paita

29:36 Hieno paita research exhaustion

29:39 Okei, voisimme aloittaa numerosta neljä

29:45 Henkilö yleisöstä: Okei. Oletetaan että sinulla on salausavaimet TPMssä ja hallituksesi vaikuttaa jollain tavalla TPMn tarjoajaan

29:54 Henkilö yleisöstä: Joten ehkä voisi olla jokin tapa saada salausavain joten tämä ei ole hyvä lähestymistapa joten olisi mukavampaa antaa sinulle iso lihava mandaatti saadaksesi avaimet

30:03 Henkilö yleisöstä: ja siellä on joitain muita avaimi jotka ovatTPMssä joten sinulla on oltava molemmat jotta voit salata tavarasi

30:11 Henkilö yleisöstä: joten se pitäisi tehdä näin. Jotta ei voida sanoa että henkilöä kidutetaan salauksen avaamiseksi

30:21 Henkilö yleisöstä: tiedot toisella tietokoneella koska sillä on eri TPM salaisuuteen

30:25 Henkilö yleisöstä: joten sinulla pitäisi olla todellinen kaksiosainen todennus ilman näitä avaimia TPMssä koska en luottaisi siihen

30:33 Okei. Riippuu vainoharhaisuudestasi mutta se on varmasti hyvä idea

30:37 Kiitos

30:40 Vain kysymyksiä. Ei kommentteja

30:45 En pahastu

30:46 Kysymyksiä. Tämä on sääntö.

30:49 Numero kaksi

30:51 Henkilö yleisöstä: Minun on käytettävä Windowsia joka on salattu "bitlockerilla" ja toisella sijalla

30:55 Henkilö yleisöstä: Kuinka todennäköistä on että bitlockerin tunnistetiedot tuhotaan tahattomasti näiden työkalujen kanssa työskennellessäni?

31:04 Se riippuu paljolti siitä mitä työkaluja käytät ja mihin tarkoitukseen

31:08 Tässä käyttämäni työkalut ja kaikki mitä näytin eivät asenna estäviä avaimia

31:16 Luulen että oikeastaan pkcs11 asentaa presistan-avaimia, joten se kuluttaa osan resursseistasi ja myös crypto-jutuistasi

31:24 ja huippujutut vievät jonkin verran "envy" -tilaa, ja jos uskot kuinka paljon TPM-resursseja Windows haluaa vaatia itselleen saatat törmätä resurssien loppumiseen.

31:36 Mutta ei ole muita avaimia joita nämä työkalut tai demot poistavat

31:42 Eli voit mennä huoletta ja käyttää noita

31:47 Okei. Kiitos.

31:49 Ehkäpä meillä on kysymys internetistä

31:54 Henkilö yleisöstä: Joo muut laitteisto tokenit kuten "ubi-avain" heillä saattaa olla esimerkiksi painike jota sinun täytyy painaa saadaksesi jonkinlaisen todisteen läsnäolosta jotta ohjelmisto ei voi käyttää sitä

32:04Henkilö yleisöstä: taustalla ilman että tiedät siitä

32:06Henkilö yleisöstä: Kuinka tehdä sama käyttäen TPMää?

32:09 Tällä hetkellä ei pysty

32:11 Mutta toivon tai olen toivonut että TPM voisi käyttää lediä kymmenen vuoden päästä

32:18 Todennäköisemmin näemme jossain vaiheessa tulevaisuudessa joitain gpio-käyttöisiä TPM-laitteita ja riippuen siitä mitä voimme tehdä niillä

32:27 mahdollisesti pystymme sisällyttämään tämän

32:29 tai saman tyylisiä ominaisuuksia tulevaisuudessa

32:32 mutta toistaiseksi uskon että on ollut vain tutkimusprototyyppejä joita olen itse päässyt toteuttamaan TPMlle "cortex-r3" -laitteessa

32:41 "gpion" hyödyllisyyden osoittamiseksi suoraan tpm:stä. Mutta se on ensin kehitettävä

32:50 Okei. Kiitos

32:52 Numero viisi kiitos

32:54 Henkilö yleisöstä: Kyllä. Moi

32:55 Henkilö yleisöstä: Voitko toteuttaa tämän universumin jatko-osan syötettynä edelleen TPMlle? Aiotteko tehdä sen?

33:06 Kyllä ja ei. Voit toteuttaa osia fidosta käyttämällä TPMää joka on salauksen perustoiminto mutta fido sisältää myös mukautettuja tietomuotoja

33:16 joita yleensä käsitellään myös fido-tunnuksella

33:20 jossa sinulla on laskureita, jotka lisäävät jotain sellaista

33:25 jota TPM ei tallenna sisäisesti koska TPM ei tiedä fido-tietorakenteista ja päinvastoin

33:31 Kuitenkin fido2lle mielestäni oli tämäTPM-metastaattinentila

33:37 mutta se olisi jonkun toteutettava

33:42 Haluatko aloittaa työskentelyn sen parissa tule puhumaan minulle ja olen varmasti apunasi

33:49 Joten tekemistä on paljon ja kyllä

33:53 Jos joku teistä etsii tekemistä

33:57 Voit vain mennä eteenpäin ja katsoa tätä github.io-yhteisösivua jos siirryt ohjelmistoon

34:03 välilehti yläreunassa ja vierität alas

34:06 on luettelo ohjelmista. Aloitamme siis ohjelmista joilla on jo TPM-tuki ja sitten meillä on

34:11 vielä pidempi lista ohjelmista joissa oli TPMn suunnitteilla. On myös paljon asioita kuten

34:17 Weboht ja Cryptoki ja vaikka mitä muita missä toivoisin näkevän TPM tuen

34:24 Jopa niinkin yksinkertainen kuin "gpt"

34:27 Mikä. Kyllä.

34:29 Okei. Numero kaksi kiitos

34:31 Henkilö yleisöstä: Kuinka monta erilaista avainta tai älykorttia voit tallentaa TPMään?

34:38 Henkilö yleisöstä: Onko se vain yksi vai voitko tallentaa useampia?

34:41 On hienoa, että TPMn perusperiaate on että TPM tallentaa vain hyvin vähän avaimia

34:49 yleensä se on vain yksi tässä tapauksessa

34:51 ja sitten kaikki muut avaimet salataan tällä avaimella ja tallennetaan kiintolevylle

34:57 Tällä pkcs11llä joka meillä on täällä sinulla voi olla niin monta avainta kuin sinulla on vapaata kiintolevytilaa

35:03 tai niin monta avainta "sql-lite" -työkalun avulla voit tallentaa tietokantaan

35:11 Kiitos. Numero neljä kiitos.

35:14 Henkilö yleisöstä: Hei. kiitos esityksestä. Minulla on ytimen päivityksiin liittyvä kysymys

35:20 Jos päivitän ytimeni voinko mitata mikä kernal on seuraavassa käynnistyksessä

35:27 ja kertoa TPMlleni että tämä uudelleensinetöi tällä hetkellä sinetöidyt avaimet tuleville ptr-arvoille,joita sen pitäisi odottaa seuraavassa käynnistyksessä?

35:37 Teoriassa ehdottomasti kyllä

35:39 Se on täysin yksinkertaista joten tutkija kertoo sinulle että se ei ole haaste

35:44 Insinööri sen sijaan kertoo että tämä on eräänlainen ongelma

35:48 ja

35:49 ongelma on että sinun on jotenkin tiedettävä viitearvot

35:53 etukäteen ja sitten sinun on laskettava uudelleen koko siihen mennyt mittausketju

35:57 joten tässä on kyse lähestymistavasta

36:02 referenssi- ja eheysmittausjakelu että Linux-promot -konferenssissa oli osio jossa tätä ongelmaa käsiteltiin

36:09 Jotenka tämä on siis

36:11 Lähinnä infrastruktuuriongelma

36:14 pikemminkin kuin itse asiassa TPMn ongelma

36:18 tai TPMn-perusohjelmiston

36:21 Okei. Kiitos.

36:23 Joten meillä on vielä yksi minuutti joten olen erittäin pahoillani emme voi ottaa enempää kysymyksiä huoneesta

36:26 mutta minulla on vielä yksi kysymys internetistä

36:30 Henkilö yleisöstä: Jos en luota TPMään ja koneeseeni voinko saada toisenlaisen luotettavalta palveluntarjoajalta? Ovatko ne yhteensopivia siinä mielessä?

36:40 Kyllä. Tietääkseni heillä on yhteensopiva pin-out ja yhteensopiva cpi-protokolla ja

36:45 se on hieno asia että

36:48 ne ovat yhteensopivia

36:51 Varmasti

36:52 Eteenpäin

36:54 Paitsi ehkä intel ttp ftp joka toimii hallintamoottorilla

37:00 Niillä tietysti jos myit ne RITllä ei ole niillä ole enään IOta

37:06 Okei. Kiitos paljon.

37:08 Jos haluat ottaa yhteyttä Andreaan mene verkkosivustolle. Olette nähneet sen aikaisemmin

37:13 ja kiitos

37:15 ja ehkä vielä yhdet raikuvat aplodit Andreakselle

37:17 (aplodit)