Äldre TPM lättknäckt ?

Tydligen inte helt ny vetskap, men nytt i alla fall för mig...

Detta verkar var HW-relaterat, och alltså inte något som kan "uppdateras" bort, vilket i förlängningen kan komma att resultera i stora kostnader till inköp av ny hardware tidigare än planlagt ?

https://www.youtube.com/watch?v=wTl4...=stacksmashing


Några tankar om konsekvenser av detta "hack" ?

Ingen ny nyhet.
https://www.sweclockers.com/nyhet/38...pa-43-sekunder

Nä, det skrev jag också...
Men jag hittade inge tråd, kunde vara intressant att höra vad andra gör sig för tankar. Är berörda enheter så gamla att de utgör en försvinnande liten del, eller är sårbara maskiner fortfarande ute i produktionslandskapet ?

Vilka (praktiska/ekonomiska) altenativ finns till rådighet ?

(Där jag har min dagliga arbetsgång är Bitlocker ett krav för att "komma på" något som helst, men några maskiner av äldre dato, vill jag minnas kör med dTPM, vilka altså skulle vara sårbara ?)

"I moderna datorer ingår TPM-modulen oftast i processorn och går inte att läsa av utifrån, så där är detta inget problem. Tekniken Youtube-kontot demonstrerar kräver dessutom att Bitlocker används utan lösenord och enbart med TPM-modulen – det rekommenderade sättet är med lösenord som användaren måste fylla i innan den låser upp krypteringsnyckeln. Dessutom krävs så klart tillgång till hela datorn och inte bara hårddisken eller ssd:n."

Windows standard är väl utan PIN ?

Vad jag förstår (Läser möjligen som en kratta !), är också "nyare" (Vad som nu menas med det...) Lenovo t.ex. utrustade med en dedikerad TPM-chip, vilket då skulle möjligöra att nosa på trafiken vid t.ex. en kallstart, om man inte manuelt också tvingar på en pinkod när man använder sig av Bitlocker, "Out-of-the-Box" ?
Vi har en normal "cyklus" på 4 år (med några få undantag), för vår maskinpark, men frågan är var jag skall leta rätt på om jag har några som inte duger ? Jag antar att man kan generera en lista via en gpo eller kanske via det centrala deployment-systemet, som visst nog suger ut det mesta som kan vara relevant ?

Det finns en ganska färsk tråd där detta diskuteras:

(FB) Slänga dator i soprummet?

Detta hack fungerar bara när TPM inte är integrerat och om man inte har använt en PIN med BitLocker, bara en nyckel. Så gott som alla datorer gjorda de senaste fem åren har TPM integrerat. Man är inte heller berörd om man kastar hårddisken separat från datorn (eftersom datorns unika hårdvara krävs för att dekryptera disken).

Ungefär så som jag förstått det... Men jag vill minnas jag har sett maskiner med dTPM i vår maskinpark, och med få undantag är vår cyklus 4 år. Vi använder inte PIN, det ville bli oöverskådligt, och användarna ville i alla fall rista in den någonstans i närheten av musplattan !
(De kan med näppe komma ihåg ett enkelt password, och har stora problem vid varje passwordbyte. Jo, vi är i gång med att byta över till någon form för MFA, med Authenticator, SMS motsvarar inte längre kommande krav har chefen meddelat oss.)

Min bekymring står väl egentligen på att Lenovo pekas ut, mer än andra, som en producent som lite längre hållt fast i dTPM... I princip alla våra bärbara är Lenovo, med ganska få HP som undantag.

Hur tror du att folket inom brottsbekämpning har kunnat dekryptera Windowsdiskar?

Här har du något som är roligare att hålla på med:
DEF CON 20 - Chris Tarnovsky - Attacking TPM Part 2 A Look at the ST19WP18 TPM Device

TPM var en väldigt dålig form av säkerhet som utsatte användarna av datorn för stora risker.

Att TPM1 och även TPM2 baserat på externt chip är sårbart för skolpojkar med en lödkolv har väl varit känt länge.
Tveksam till alla metoder som enbart "safeguardar en hemlig krypteringsnyckel på ett chipp". Då handlar det bara om att få ut den från hårdvaran, vilket någon tillräckligt avancerad utrustning kommer att kunna göra. Krypteringsnyckeln ska optimalt vräkas från hårdvaran helt så fort ett jobb är gjort.

Slår man även på boot-PIN/lösenord för TPMen försvåras denna attack kraftigt då den verkliga nyckeln blir något i stil med (hash(deriveringsfunktion(PIN)) XOR (det_som_är_lagrat_i_TPM). Då måste man knäcka pinkoden också vilket kan vara riktigt svårt om den är över 7-8 tecken pga keystretching i deriveringsfunktionen mm.