Discrete TPM oder Firmware TPM

[Chibi88]

Hallo,

mein Mainboard bietet beide Optionen im BIOS. Ich konnte noch nicht genau die Unterschiede in Erfahrung bringen außer das der eine physisch vorhanden ist und der andere, also Firmware TPM „simuliert“ wird.

Wie dem auch sei: gibt es eine Einstellung die zu bevorzugen ist, weil sie performanter oder sicherer ist als die andere?

 

[cloudman]

Nein ist ziemlich egal

 

[whats4]

einmal gibts nen eigenen chip dafür
beim anderen kommt der prozessor ran.

 

[Joc]

Ist denn ein eigenes TPM Modul vorhanden? Wenn nicht, bleibt nur Firmware (bei passender CPU).

 

[AEonVi]

Ich würde das TPM im CPU (im Bios) aktivieren und gut ist.

 

[cloudman]

einmal gibts nen eigenen chip dafür
beim anderen kommt der prozessor ran.

Jein - das tpm ist in Intel ME implementiert und hat einen eigenen Microprozessor
https://en.m.wikipedia.org/wiki/Intel_Management_Engine

 

[DaZpoon]

Hat beides seine Vor- und Nachteile. Beim fTPM besteht durchaus die Gefahr, dass es durch Lücken in der CPU angegriffen werden kann. Dafür kann man es physisch nicht abhören wie bspw. ein diskretes TPM. Wo ich mir beim fTPM nicht ganz sicher bin ist, ob die dort drin gespeicherten Schlüssel ein BIOS Update überleben. Das wäre recht fatal.

 

[Wishbringer]

Solange Du nicht so ein Modul eingebaut hast
Liste
bleibt Dir eigentlich nur fTPM über die CPU.

Ergänzung (6. Dezember 2021)

Jein - das tpm ist in Intel ME implementiert und hat einen eigenen Microprozessor
https://en.m.wikipedia.org/wiki/Intel_Management_Engine

• Intel Platform Trust Technology (PTT), a firmware-based Trusted Platform Module (TPM)[29][35]

 

[whats4]

ich sitze grade an einem t430, "1vy rain" behandelt, was bedeutet: die ME ist tot.
tpm modul ist verbaut, für das betriebssystem (10/11) sichtbar und im gerätemanager present, wird aber nicht verwendet.

 

[cvzone]

@Wishbringer Ich kann es jetzt nur für AMD sagen und kenne die technische Implementation von fTPM in der Intel ME nicht, aber AMD verwendet für fTPM einen eigenen kleinen ARM Prozessor mit eigenem Speicher innerhalb der CPU.

 

[Wishbringer]

...Wo ich mir beim fTPM nicht ganz sicher bin ist, ob die dort drin gespeicherten Schlüssel ein BIOS Update überleben. Das wäre recht fatal.

Wenigstens bei AM4 ASrock-Mainboards ist ein BIOS-Update nicht mit aktivierten fTPM möglich,
die Option ist ausgegraut, Tooltips weisen darauf hin, dass man erst TPM ausschalten muss.

Nach Aussschalten, Update, wiedereinschalten, sagt Windows (z.B. bei Hello oder Webcam oder bei der Option PIN), dass sich die TPM Einstellungen geändert haben, und dass PIN oder Hello neu eingerichtet werden müssen.
Da ich mein Bootlaufwerk nicht mit Bitlocker verschlüsselt habe, kann ich dazu nichts sagen...

 

[Chibi88]

Wie kann ich „physisch abhören“ verstehen?

 

[Wishbringer]

@cvzone:
Die Frage von @Chibi88 war, ob man im Bios dediziertes TPM (= externes Modul) oder fTPM (= firmware based TPM) einstellen sollte.

AMD hat in der CPU einen Cortex-A5 Kern implementiert.
Intel mit ME vielleicht auch (da aber im ME so viele Sicherheitslücken sind, sollte man aber ggfls. bei Intel auf fTPM über ME verzichten - da sich das irgendwie widerspricht).
Im Intel mit vPro kann ich es mir eher als eigenen Chip vorstellen, da vPro wie IPMI auch Zugriff auf Rechner zulässt, die ausgeschaltet sind (wo bei IPMI meist nur ein AST2400/2500 im idle läuft).

Beides gilt aber als fTPM (firmware-based)

Solange nicht ein externes Modul eingebaut wurde, sollte man daher fTPM im BIOS auswählen.

 

[DaZpoon]

Wie kann ich „physisch abhören“ verstehen?

Die Kommunikation zwischen TPM und Prozessor. Ist bei Bitlocker ohne weitere Authentifizierung nicht verschlüsselt. Siehe https://www.golem.de/news/verschlue...er-trotz-tpm-schutz-umgangen-2107-158524.html

 

[Chibi88]

Ich habe beides eingebaut. Ergo sollte ich discrete nehmen, wenn dieser vorhanden ist, habe ich das richtig verstanden? Dachte dies sei uU unsicherer, aber das war nur eine Vermutung.

 

[cvzone]

Wie kann ich „physisch abhören“ verstehen?

Hat aber für dich alles keine Relevanz. Fast alle dieser Angriffe sind aus der Ferne nicht möglich und haben reine Laborrelevanz, wenn das Gerät einem fremden Geheimdienst in die Hände fällt.

 

[Mickey Mouse]

mein Mainboard bietet beide Optionen im BIOS. Ich konnte noch nicht genau die Unterschiede in Erfahrung bringen außer das der eine physisch vorhanden ist und der andere, also Firmware TPM „simuliert“ wird.

Wie dem auch sei: gibt es eine Einstellung die zu bevorzugen ist, weil sie performanter oder sicherer ist als die andere?

das stimmt so nicht zu 100% und auch viele Antworten hier sind missverständlich bis falsch...

beim fTPM wird in dem Sinne nichts "simuliert" sondern statt eines separaten Moduls steckt die ganze Technik einfach nur an anderer Stelle.

um die Performance brauchst du dir auch keine Sorgen machen. Das TPM selber dient "nur" zur sicheren Ablage der Schlüssel. Nur damit das klar ist: z.B. beim Bitlocker werden die Daten nicht direkt vom TPM ver/entschlüsselt, sondern das TPM liefert nur den "Tresor für die Schlüssel". Da ist es ziemlich egal, wie schnell/langsam die Kommunikation da ist.

 

[DAASSI]

@cvzone:
Die Frage von @Chibi88 war, ob man im Bios dediziertes TPM (= externes Modul) oder fTPM (= firmware based TPM) einstellen sollte.

AMD hat in der CPU einen Cortex-A5 Kern implementiert.
Intel mit ME vielleicht auch (da aber im ME so viele Sicherheitslücken sind, sollte man aber ggfls. bei Intel auf fTPM über ME verzichten - da sich das irgendwie widerspricht).
Im Intel mit vPro kann ich es mir eher als eigenen Chip vorstellen, da vPro wie IPMI auch Zugriff auf Rechner zulässt, die ausgeschaltet sind (wo bei IPMI meist nur ein AST2400/2500 im idle läuft).

Beides gilt aber als fTPM (firmware-based)

Solange nicht ein externes Modul eingebaut wurde, sollte man daher fTPM im BIOS auswählen.

Halt Stop!

vPro und Intel ME sind praktisch das gleiche. bzw korrekter: vPro ist die Plattform die zwingend Intel ME voraussetzt und eventuell auch noch Intel AMT zur Verfügung stellt.

Intel ME läuft im Chipsatz und ist praktisch eine Soft- und Hardware die komplett unabhängig von der eigentlichen CPU sein kann (praktischerweise ist sie das nicht mehr, seit Northbridges in CPUs integriert sind).

Und aus diesen Gründen kann man kein vPro ohne ME nutzen und es ist auch komplett sinnlos das ME versuchen abzuschalten, weil man dadurch viele Funktionen, wie etwa das fTPM, praktisch alle Securityfeatures und eben auch AMT (besagt ein und ausschalten eines ausgeschalteten PCs, gerne auch per VNC) verliert.

Ach und auch wenn @whats4 hier mit einem gemoddeten BIOS unterwegs ist, es ist praktisch nicht möglich, die Management Engine komplett abzuschalten, da diese wie angesprochen auch aus Hardware besteht. Das hat Google wohl auch schon probiert und es nach meinem letzten Stand nicht zum Laufen gebracht. Bisher war glaube ich nur Teile der Software abschaltbar.
https://www.heise.de/security/meldung/Intel-Management-Engine-ME-weitgehend-abschaltbar-3814631.html

 

[Marco01_809]

beim fTPM wird in dem Sinne nichts "simuliert" sondern statt eines separaten Moduls steckt die ganze Technik einfach nur an anderer Stelle.

Doch das kann man schon so sagen, das fTPM wird durch in der CPU integrierte Coprozessoren emuliert. Bei Intel die Management Engine, bei AMD der Platform Security Processor (PSP). Beides sind vollwertige CPUs die ein eigenes Betriebssystem haben. Die Funktion des fTPM wird durch eine Software-Implementation bereitgestellt.

Ein Vorteil der dTPMs ist das man sie entfernen, zerstören und danach leicht ersetzen kann. Die Kommunikation ist aber leichter abzuhören für physische Angreifer. Die fTPM sind aber leichter vom Betriebssystem bzw. aus der Ferne angreifbar. Was besser ist hängt vom Threat Model ab, der Unterschied ist für die meisten Anwender aber wohl egal.

 

[cloudman]

Die fTPM sind aber leichter vom Betriebssystem bzw. aus der Ferne angreifbar

Warum?
Wenn es doch in einem abgeschotten eigenen OS läuft. Gibt es dazu irgendwo detaillierte Infos zur Angreifbarkeit?