Wofür ein extra TPM-Modul?

[Renegade334]

Aus aktuellem Anlass:
https://arxiv.org/abs/2304.14717

fTPM bietet andere Angriffsflächen als ein Hardware TPM.
Das muss nicht heißen, dass ein Hardware TPM unbedingt immer sicherer ist, aber durch die abgeschottete Hardware soll es sicherer gegenüber Software basierten Angriffen sein.
Der Schutz gegen Veränderungen ist da schon hardwareseitig eingebaut. Bei fTPM ist der Schutz auch Software.

Falls man besonders hohe Anforderungen hat und Sicherheitszertifizierungen braucht, kann man ein TPM Modul mit entsprechender Zertifizierung kaufen. Für fTPM gibt es meines Wissens nach keine Zertifizierung.

Für Privatanwender ist meiner Meinung nach der einzig relevante Vorteil, dass man nicht bei jedem BIOS Update die Schlüssel neu eingeben muss. Für Verbraucher hat sich fTPM alleine aus Kostengründen längst durchgesetzt.

 

[xexex]

Das muss nicht heißen, dass ein Hardware TPM unbedingt immer sicherer ist,

Anders herum wird ein Schuh draus, ein dTPM Modul ist aus verschiedenen Gründen meistens unsicherer als ein fTPM. Schon alleine die Möglichkeit ein solches Modul abziehen und in einem anderen Rechner wie auch immer einen Angriffsversuch starten zu können, macht es anfälliger.

Aber danke für deinen Link, hört sich interessant an.

 

[Renegade334]

Schon alleine die Möglichkeit ein solches Modul abziehen und in einem anderen Rechner wie auch immer einen Angriffsversuch starten zu können, macht es anfälliger.

Es kommt immer darauf an, wovor man sich schützen will.
Wenn der PC/Server eingeschlossen ist, habe ich einen Schutz vor Hardwaremanipulation.
Dann will ich mich möglichst gut gegen Software Angriffe schützen.

Wenn ich einen Laptop habe ist ein TPM oft fest verlötet, aber trotzdem leichter zugänglich als über die CPU.
Bei einem Desktop PC der in öffentlich zugänglichen Bereichen steht wäre ein Hardware TPM vermutlich wirklich eine schlechtere Lösung.

So gesehen haben beide ihre Daseinsberechtigung.

 

[Sebbi]

Schon alleine die Möglichkeit ein solches Modul abziehen und in einem anderen Rechner wie auch immer einen Angriffsversuch starten zu können, macht es anfälliger.

psssssst das darfste doch hier nicht sagen, das will doch der TE nicht hören, das man mit sowas ziemlich bösen Unfug machen kann

 

[xexex]

das man mit sowas ziemlich bösen Unfug machen kann

Wenn du mit "Unfug", das Auslesen der dort gespeicherten Schlüssel und Zertifikate meinst bin ich bei dir.

 

[Ranayna]

Ich musste direkt an diesen Thread denken als ich das grade bei Heise gelesen habe:
https://www.heise.de/news/faulTPM-A...M-etwa-zum-Knacken-von-Bitlocker-8985704.html

fTPM ist geknackt und damit als alleiniger Schutz wertlos geworden.

 

[xexex]

fTPM ist geknackt und damit als alleiniger Schutz wertlos geworden.

Relevante markiert.

faulTPM knackt AMD-CPUs nach drei Stunden lokalem Zugriff

Durchexerziert haben die IT-Sicherheitsforscher den Angriff auf den Prozessorarchitekturen Zen 2 (Ryzen 3000) und Zen 3 (Ryzen 5000), die eine gemeinsame fTPM-Implementierung nutzen.

Dann kommt halt in ein paar Tagen ein Update und Lücke wird geschlossen. Ist nicht das erste mal, auch Intels IME hatte früher Lücken die ausgenutzt werden konnten.

 

[Ranayna]

Ja, mit nem gammeligen Teensy Microcontroller, der mal sowas von garkeiner Power hat.
Mit etwas dickerer Hardware dauert es wohl kaum so lange.

Aber mal wieder zeigt TPM, dass das wofuer es eigendlich erdacht ist, naemlich auch bei Hardwarezugriff zu schuetzen, eine Nullnummer ist.

 

[xexex]

Aber mal wieder zeigt TPM, dass das wofuer es eigendlich erdacht ist, naemlich auch bei Hardwarezugriff zu schuetzen, eine Nullnummer ist.

Weshalb AMD bei aktuellen Notebook-CPUs schon seit einem guten Jahr einen Schritt weiter ist. Stelle dir einfach mal die Frage, wieso man den Angriff auf alte Chips gestartet hat.
https://www.amd.com/en/technologies/pro-security
https://learn.microsoft.com/en-us/w...on/pluton/microsoft-pluton-security-processor

 

[Ranayna]

Gut, ich bin jetzt kein TPM Experte. Privat verwende ich es nicht, weil ich dafuer bei einem stationaeren PC keinen Vorteil fuer mich sehe. Es ausgeschaltet zu haben hatte dazu noch den netten Nebeneffekt das kein automatisches Update auf Wndows 11 angeboten wurde

Im Firmenumfeld setzen wir schon seit jetzt fast 20 Jahren externe USB Smartcards fuer die Authentifizierung und die Verschluesselung ein. Da habe ich noch nie von derartigen Sicherheitsproblemen wie bei diversen TPM Implementierungen gelesen.

 

[killakuh]

Bei c't uplink war das problem mit ftpm, dass nach jedem BIOS-Update bzw. wie bereits gesagt nach einem CPU-Tausch der Speicher gelöscht wurde/ist. Somit muss man bei aktivierten Bitlocker den Recovery Key haben, andernfalls ist man ausgesperrt (selbst schon passiert).

Ich bin aktuell dabei, dass auszuprobieren. Wenn Interesse besteht, kann ich meine Erfahrungen mit dem SPI TPM2 ja gerne mitteilen

 

[TheStig81]

psssssst das darfste doch hier nicht sagen, das will doch der TE nicht hören, das man mit sowas ziemlich bösen Unfug machen kann

Das ist doch so gar nicht richtig. Mir ist schon bewusst, dass man damit Unsinn machen kann.

 

[KitKat::new()]

Also ich lese nur viele „vielleicht, könnte, eventuell“ Aber jedem das seine.

Hier vielleicht etwas konkreter:
https://secret.club/2021/06/28/windows11-tpms.html