bencede
New member
Linux altında verileri korumak için şifreleme teknikleri konusunda hiçbir eksiklik yoktur: dosya kapları, şifrelenmiş bölümler veya tek tek dosya şifreleme, güvenli dosya depolama sağlar. Donanım belirteci için akıllı kart araçları da vardır. Şifreleme için neden mevcut özel bir donanım parçasını kullanmıyorsunuz? Güvenilir Platform Modülü sürüm 2 (TPM 2), son dokuz yılda çoğu anakart ve dizüstü bilgisayarda kripto işlemci olarak ayrı bir çip olarak veya ürün yazılımının bir parçası olarak bulundu. IBM Research'ten ve SCSI alt sistemi için Linux çekirdeğinin sorumlusu James Bottomley, bir konuşmasında TPM 2'nin SSH ve GnuPG ile Linux altında özel anahtarlar için bir veri deposu olarak nasıl hizmet verebileceğini gösterdi.
Duyuru
TPM 2 yeni bir spesifikasyon değildir ancak tarihi 2014'e kadar uzanır. Ancak Linux topluluğunun artık geçerliliğini yitirmiş TPM 1.2'nin halefi olan TPM 2'ye alışması biraz zaman aldı. Spesifikasyon orijinal olarak Microsoft'tan gelir, BSD lisansı altındadır ve referans uygulaması Github'da yayınlanmıştır. Ancak TPM'nin gerçekten güvenli olup olmadığı veya üreticiler ya da yetkililer tarafından arka kapılar tarafından korunup korunmadığı konusunda bazı şüpheler vardı. Ancak artık TPM 2 ürün yazılımı için TPM çip üreticilerinin açıkça uyması gereken, tekrarlanabilir yapılar biçiminde standart bir şablon var.
TPM 2 Linux kullanıcıları için ilgi çekici hale geliyor
James Bottomley'e göre bu, tehlikeye atılan uygulamalarla ilgili endişeleri ortadan kaldırıyor. TPM standardını korumak artık diğerlerinin yanı sıra IBM, Intel, AMD, IBM, Microsoft ve Cisco'nun da temsil edildiği bir endüstri konsorsiyumu olan Trusted Computing Group'un sorumluluğundadır. Başlangıçtaki şüphecilik yerine, Linux topluluğu artık genellikle mevcut olan TPM-2 yongasını akıllı kart olarak mantıklı bir şekilde kullanma arzusuna sahip. Bu yılki FOSDEM programı, Güvenilir Platform modülünün Linux altında kullanımına ilişkin bir düzineye yakın konferans içeriyor.
TPM-2 şifreleme işlemcisi genellikle, örneğin Microsoft Windows'ta, aşağıdaki beş görev için kullanılır: sistem önyükleme işleminin izlenmesi (ölçülen önyükleme), lisans anahtarlarının saklanması, anahtarların belirli koşullar altında serbest bırakılması, anahtar çiftlerinin oluşturulması ve son olarak depolanan imza verilerinin oluşturulması orijinalliğini onaylamak için. Bu şifreleme özelliklerinin birçoğu Linux'ta da kullanışlıdır ve akıllı kartlar ve şifreli USB bellekler gibi ayrı donanımların yerini alabilir. Sürüm 3.2'den bu yana Linux çekirdeği, benzer bir aygıt dosyası aracılığıyla mevcut bir TPM-2 yongasını sağlıyor /dev/tpm0 hazır. Ancak başlangıçta TPM 2'yi Linux altında yönetmek için uygun araçlar yoktu. En azından şimdi yapabilir systemd-cryptsetup Sürüm 248'den itibaren Systemd'nin bir bileşeni olarak, Linux sistemini Microsoft'un Bitlocker tarzında başlatırken otomatik kilit açma işlemi için LUKS bölümlerine yönelik bir anahtar kripto işlemcide saklanır. James Bottomley iki ek Linux şifreleme aracı sunuyor: Özel anahtarların mühürlenmesi ve yüklenmesi için GPG'ye yönelik bir TPM-2 alt sistemi zaten günlük kullanıma uygundur. OpenSSH, bir yönlendirme yoluyla daha önce TPM-2 çipi tarafından kilidi açılmış özel anahtarları yükleyebilir.
Öğretici: GnuPG ve OpenSSH
GPG özel anahtarını korumak için GnuPG, James Bottomley'in kendisinden gelen 2.3 sürümünden itibaren gerekli yamaları aldı. GnuPG'de komut gereklidir keytotpm TPM-2 yongasındaki anahtarları yeni belirlenen parolayla dönüştürmek ve mühürlemek için. Anahtarlar daha sonra imzalama ve şifreleme için GnuPG'de her zamanki gibi kullanılmaya devam edebilir, ancak artık şifreleme işlemlerini de gerçekleştiren kripto işlemciye sıkı sıkıya bağlıdırlar. Dizüstü bilgisayar başkasına verilecek veya atılacaksa TPM-2 yongasını tamamen silmek için silme komutu da kullanılır. Bir dezavantaj, TPM 2'nin artık bunları yayınlamaması nedeniyle orijinal anahtarları güvenli depolama ortamında yedek olarak saklama ihtiyacıdır.
Yavaş yavaş tüm Linux dağıtımlarına ulaşan GnuPG 2.3, anahtarları depolamak için zaten akıllı kart benzeri bir TPM-2 yongası kullanabiliyor.
(Resim: FOSDEM/James Bottomley)
OpenSSH'nin kripto işlemciyle çalışmasını sağlamak daha zordu. Çünkü OpenSSH, anahtar yöneticisi olarak SSH Aracısı ile TPM 2 ile uyumlu olmayan bir şekilde iletişim kurar. James Bottomley, OpenSSH sürümlerini manuel olarak yamalar, böylece SSH Aracısı daha önce TPM -2 aracılığıyla kilidi açılmış bir anahtar dosyasını doğrudan yükleyebilir. Ancak OpenSSH geliştiricileri bu yamayı içermeyecek. Bunun yerine, oluşturulan bir SSH anahtarını, hem Linux için mevcut TPM 2 araçlarının hem de OpenSSH'nin işleyebileceği PKCS#11 biçimine dönüştürebilirsiniz. Kurulum, Python betiği tpm2-pkcs11.py için Github web sitesinde açıklanmaktadır. Bu durumda, anahtar dosyası kriptografik çipte bulunmaz, bilgisayarın veri ortamında şifrelenir. Ancak bu sistemde yalnızca TPM 2 kullanılarak şifreleri çözülebilir.
(Bilmiyorum)
Haberin Sonu
Duyuru
TPM 2 yeni bir spesifikasyon değildir ancak tarihi 2014'e kadar uzanır. Ancak Linux topluluğunun artık geçerliliğini yitirmiş TPM 1.2'nin halefi olan TPM 2'ye alışması biraz zaman aldı. Spesifikasyon orijinal olarak Microsoft'tan gelir, BSD lisansı altındadır ve referans uygulaması Github'da yayınlanmıştır. Ancak TPM'nin gerçekten güvenli olup olmadığı veya üreticiler ya da yetkililer tarafından arka kapılar tarafından korunup korunmadığı konusunda bazı şüpheler vardı. Ancak artık TPM 2 ürün yazılımı için TPM çip üreticilerinin açıkça uyması gereken, tekrarlanabilir yapılar biçiminde standart bir şablon var.
TPM 2 Linux kullanıcıları için ilgi çekici hale geliyor
James Bottomley'e göre bu, tehlikeye atılan uygulamalarla ilgili endişeleri ortadan kaldırıyor. TPM standardını korumak artık diğerlerinin yanı sıra IBM, Intel, AMD, IBM, Microsoft ve Cisco'nun da temsil edildiği bir endüstri konsorsiyumu olan Trusted Computing Group'un sorumluluğundadır. Başlangıçtaki şüphecilik yerine, Linux topluluğu artık genellikle mevcut olan TPM-2 yongasını akıllı kart olarak mantıklı bir şekilde kullanma arzusuna sahip. Bu yılki FOSDEM programı, Güvenilir Platform modülünün Linux altında kullanımına ilişkin bir düzineye yakın konferans içeriyor.
TPM-2 şifreleme işlemcisi genellikle, örneğin Microsoft Windows'ta, aşağıdaki beş görev için kullanılır: sistem önyükleme işleminin izlenmesi (ölçülen önyükleme), lisans anahtarlarının saklanması, anahtarların belirli koşullar altında serbest bırakılması, anahtar çiftlerinin oluşturulması ve son olarak depolanan imza verilerinin oluşturulması orijinalliğini onaylamak için. Bu şifreleme özelliklerinin birçoğu Linux'ta da kullanışlıdır ve akıllı kartlar ve şifreli USB bellekler gibi ayrı donanımların yerini alabilir. Sürüm 3.2'den bu yana Linux çekirdeği, benzer bir aygıt dosyası aracılığıyla mevcut bir TPM-2 yongasını sağlıyor /dev/tpm0 hazır. Ancak başlangıçta TPM 2'yi Linux altında yönetmek için uygun araçlar yoktu. En azından şimdi yapabilir systemd-cryptsetup Sürüm 248'den itibaren Systemd'nin bir bileşeni olarak, Linux sistemini Microsoft'un Bitlocker tarzında başlatırken otomatik kilit açma işlemi için LUKS bölümlerine yönelik bir anahtar kripto işlemcide saklanır. James Bottomley iki ek Linux şifreleme aracı sunuyor: Özel anahtarların mühürlenmesi ve yüklenmesi için GPG'ye yönelik bir TPM-2 alt sistemi zaten günlük kullanıma uygundur. OpenSSH, bir yönlendirme yoluyla daha önce TPM-2 çipi tarafından kilidi açılmış özel anahtarları yükleyebilir.
Öğretici: GnuPG ve OpenSSH
GPG özel anahtarını korumak için GnuPG, James Bottomley'in kendisinden gelen 2.3 sürümünden itibaren gerekli yamaları aldı. GnuPG'de komut gereklidir keytotpm TPM-2 yongasındaki anahtarları yeni belirlenen parolayla dönüştürmek ve mühürlemek için. Anahtarlar daha sonra imzalama ve şifreleme için GnuPG'de her zamanki gibi kullanılmaya devam edebilir, ancak artık şifreleme işlemlerini de gerçekleştiren kripto işlemciye sıkı sıkıya bağlıdırlar. Dizüstü bilgisayar başkasına verilecek veya atılacaksa TPM-2 yongasını tamamen silmek için silme komutu da kullanılır. Bir dezavantaj, TPM 2'nin artık bunları yayınlamaması nedeniyle orijinal anahtarları güvenli depolama ortamında yedek olarak saklama ihtiyacıdır.
Yavaş yavaş tüm Linux dağıtımlarına ulaşan GnuPG 2.3, anahtarları depolamak için zaten akıllı kart benzeri bir TPM-2 yongası kullanabiliyor.
(Resim: FOSDEM/James Bottomley)
OpenSSH'nin kripto işlemciyle çalışmasını sağlamak daha zordu. Çünkü OpenSSH, anahtar yöneticisi olarak SSH Aracısı ile TPM 2 ile uyumlu olmayan bir şekilde iletişim kurar. James Bottomley, OpenSSH sürümlerini manuel olarak yamalar, böylece SSH Aracısı daha önce TPM -2 aracılığıyla kilidi açılmış bir anahtar dosyasını doğrudan yükleyebilir. Ancak OpenSSH geliştiricileri bu yamayı içermeyecek. Bunun yerine, oluşturulan bir SSH anahtarını, hem Linux için mevcut TPM 2 araçlarının hem de OpenSSH'nin işleyebileceği PKCS#11 biçimine dönüştürebilirsiniz. Kurulum, Python betiği tpm2-pkcs11.py için Github web sitesinde açıklanmaktadır. Bu durumda, anahtar dosyası kriptografik çipte bulunmaz, bilgisayarın veri ortamında şifrelenir. Ancak bu sistemde yalnızca TPM 2 kullanılarak şifreleri çözülebilir.
(Bilmiyorum)
Haberin Sonu