Computação confiável - Trusted Computing

Não deve ser confundido com base de computação confiável ou computação confiável .

Trusted Computing ( TC ), também conhecido como Confidential Computing , é uma tecnologia desenvolvida e promovida pelo Trusted Computing Group . O termo é retirado do campo de sistemas confiáveis e tem um significado especializado. A ideia central da computação confiável é dar aos fabricantes de hardware o controle sobre o que o software executa ou não em um sistema, recusando-se a executar software não assinado. Com a Trusted Computing, o computador se comportará de maneira consistente da maneira esperada, e esses comportamentos serão impostos pelo hardware e software do computador . A imposição desse comportamento é obtida carregando o hardware com uma chave de criptografia exclusiva que é inacessível ao restante do sistema e ao proprietário.

TC é controverso porque o hardware não é apenas protegido para seu proprietário, mas também protegido contra seu proprietário . Tal controvérsia levou oponentes da computação confiável, como o ativista do software livre Richard Stallman , a se referir a ela como computação traiçoeira , até o ponto em que alguns artigos acadêmicos começaram a colocar aspas em torno da "computação confiável".

Os proponentes da Trusted Computing, como International Data Corporation , Enterprise Strategy Group e Endpoint Technologies Associates, afirmam que a tecnologia tornará os computadores mais seguros, menos propensos a vírus e malware e, portanto, mais confiáveis ​​do ponto de vista do usuário final. Eles também afirmam que o Trusted Computing permitirá que computadores e servidores ofereçam segurança de computador melhorada em relação ao que está disponível atualmente. Os oponentes costumam alegar que essa tecnologia será usada principalmente para fazer cumprir as políticas de gerenciamento de direitos digitais (restrições impostas ao proprietário) e não para aumentar a segurança do computador.

Os fabricantes de chips Intel e AMD , fabricantes de hardware como HP e Dell e fornecedores de sistemas operacionais como a Microsoft incluem Trusted Computing em seus produtos, se habilitado. O Exército dos EUA exige que cada novo PC que adquire venha com um Trusted Platform Module (TPM). Em 3 de julho de 2007, o mesmo ocorre com praticamente todo o Departamento de Defesa dos Estados Unidos .

Conceitos chave

Trusted Computing engloba seis conceitos-chave de tecnologia, dos quais todos são necessários para um sistema totalmente confiável, ou seja, um sistema compatível com as especificações TCG:

  1. Chave de endosso
  2. Entrada e saída seguras
  3. Cortina de memória / execução protegida
  4. Armazenamento selado
  5. Atestado Remoto
  6. Terceiro de confiança (TTP)

Chave de endosso

A chave de endosso é um par de chaves pública e privada RSA de 2048 bits que é criado aleatoriamente no chip no momento da fabricação e não pode ser alterado. A chave privada nunca sai do chip, enquanto a chave pública é usada para atestado e criptografia de dados confidenciais enviados ao chip, como ocorre durante o comando TPM_TakeOwnership.

Esta chave é usada para permitir a execução de transações seguras: cada Trusted Platform Module (TPM) deve ser capaz de assinar um número aleatório (a fim de permitir que o proprietário mostre que possui um computador genuíno confiável), usando um determinado protocolo criado pelo Trusted Computing Group (o protocolo de atestado anônimo direto ) para garantir sua conformidade com o padrão TCG e para comprovar sua identidade; isso torna impossível para um emulador de software TPM com uma chave de endosso não confiável (por exemplo, uma autogerada) iniciar uma transação segura com uma entidade confiável. O TPM deve ser projetado para dificultar a extração dessa chave pela análise de hardware, mas a resistência à violação não é um requisito forte.

Cortina de memória

A cortina de memória estende as técnicas comuns de proteção de memória para fornecer isolamento total de áreas confidenciais da memória - por exemplo, locais que contêm chaves criptográficas. Mesmo o sistema operacional não tem acesso total à memória fechada. Os detalhes exatos da implementação são específicos do fornecedor.

Armazenamento selado

O armazenamento selado protege as informações privadas vinculando-as às informações de configuração da plataforma, incluindo o software e o hardware usados. Isso significa que os dados podem ser liberados apenas para uma combinação particular de software e hardware. O armazenamento selado pode ser usado para aplicação de DRM. Por exemplo, os usuários que mantêm uma música em seu computador que não foi licenciada para ser ouvida não poderão reproduzi-la. Atualmente, um usuário pode localizar a música, ouvi-la e enviá-la para outra pessoa, reproduzi-la no software de sua escolha ou fazer backup (e, em alguns casos, usar um software fraudulento para descriptografá-la). Alternativamente, o usuário pode usar o software para modificar as rotinas DRM do sistema operacional para que vazem os dados da música, uma vez que, digamos, uma licença temporária tenha sido adquirida. Usando armazenamento lacrado, a música é criptografada com segurança usando uma chave vinculada ao módulo de plataforma confiável, de forma que apenas o reprodutor de música não modificado e não controlado em seu computador possa reproduzi-la. Nessa arquitetura DRM, isso também pode impedir as pessoas de ouvir a música depois de comprar um novo computador ou atualizar partes do atual, exceto após permissão explícita do fornecedor da música.

Atestado Remoto

O atestado remoto permite que alterações no computador do usuário sejam detectadas por partes autorizadas. Por exemplo, as empresas de software podem identificar alterações não autorizadas no software, incluindo usuários adulterando seu software para contornar medidas de proteção tecnológica. Ele funciona fazendo com que o hardware gere um certificado informando qual software está sendo executado no momento. O computador pode então apresentar este certificado a uma parte remota para mostrar que o software inalterado está em execução no momento. Vários esquemas de atestado remoto foram propostos para várias arquiteturas de computador, incluindo Intel, RISC-V e ARM.

Johnson, Simon, et al. "Extensões de proteção de software Intel®: serviços de provisionamento e atestado Epid." White Paper 1.1-10 (2016): 119.

O atestado remoto geralmente é combinado com a criptografia de chave pública para que as informações enviadas só possam ser lidas pelos programas que solicitaram o atestado, e não por um intruso.

Para pegar o exemplo da música novamente, o software reprodutor de música do usuário poderia enviar a música para outras máquinas, mas somente se eles pudessem atestar que estavam executando uma cópia segura do software reprodutor de música. Combinado com outras tecnologias, isso fornece um caminho mais seguro para a música: E / S segura evita que o usuário a grave à medida que é transmitida para o subsistema de áudio, o bloqueio de memória evita que ela seja despejada em arquivos normais do disco enquanto está sendo trabalhado, o armazenamento lacrado restringe o acesso não autorizado a ele quando salvo no disco rígido, e o atestado remoto o protege de software não autorizado, mesmo quando usado em outros computadores. Para preservar a privacidade dos respondentes ao atestado, o Atestado Anônimo Direto foi proposto como uma solução, que usa um esquema de assinatura de grupo para evitar a revelação da identidade de assinantes individuais.

A prova de espaço (PoS) foi proposta para ser usada para detecção de malware, determinando se o cache L1 de um processador está vazio (por exemplo, tem espaço suficiente para avaliar a rotina PoSpace sem perdas de cache) ou contém uma rotina que resistiu a ser despejada .

Terceiro de confiança

Um dos principais obstáculos que tiveram que ser superados pelos desenvolvedores da tecnologia TCG foi como manter o anonimato e, ao mesmo tempo, fornecer uma “plataforma confiável”. O principal objetivo da obtenção do “modo confiável” é que a outra parte (Bob), com quem um computador (Alice) pode estar se comunicando, possa confiar que Alice está executando hardware e software não violados. Isso garantirá a Bob que Alice não poderá usar software malicioso para comprometer informações confidenciais no computador. Infelizmente, para fazer isso, Alice precisa informar a Bob que está usando software e hardware registrados e “seguros”, identificando-se potencialmente de forma única para Bob.

Isso pode não ser um problema quando alguém deseja ser identificado pela outra parte, por exemplo, durante transações bancárias pela Internet. Mas, em muitos outros tipos de atividades de comunicação, as pessoas gostam do anonimato que o computador proporciona. O TCG reconhece isso e supostamente desenvolveu um processo para obter tal anonimato, mas ao mesmo tempo garantindo à outra parte que está se comunicando com uma parte "confiável". Isso foi feito através do desenvolvimento de um “terceiro confiável”. Esta entidade funcionará como um intermediário entre um usuário e seu próprio computador e entre um usuário e outros usuários. Neste ensaio, o foco será no último processo, um processo conhecido como atestação remota.

Quando um usuário requer uma AIK (chave de identidade de atestado), ele deseja que sua chave seja certificada por uma CA (autoridade de certificação). O usuário por meio de um TPM (Trusted Platform Module) envia três credenciais: uma credencial de chave pública, uma credencial de plataforma e uma credencial de conformidade. Este conjunto de certificados e chaves criptográficas será, em resumo, denominado "EK". O EK pode ser dividido em duas partes principais, a parte privada "EKpr" e a parte pública "EKpub". O EKpr nunca sai do TPM.

A divulgação do EKpub é, entretanto, necessária (versão 1.1). O EKpub identificará exclusivamente o endossante da plataforma, modelo, que tipo de software está sendo usado atualmente na plataforma, detalhes do TPM e se a plataforma (PC) está em conformidade com as especificações do TCG. Se essa informação for comunicada diretamente a outra parte como um processo de obtenção de status confiável, ao mesmo tempo seria impossível obter uma identidade anônima. Portanto, essas informações são enviadas para a autoridade de certificação de privacidade (terceiro de confiança). Quando a CA (Autoridade de certificação de privacidade) recebe o EKpub enviado pelo TPM, a CA verifica as informações. Se as informações puderem ser verificadas, ela criará um par de chaves secundárias certificadas AIK e enviará essa credencial de volta ao solicitante. O objetivo é fornecer anonimato ao usuário. Quando o usuário possui este AIK certificado, ele pode usá-lo para se comunicar com outras plataformas confiáveis.

Na versão 1.2, o TCG desenvolveu um novo método para obter um AIK certificado. Esse processo é chamado de atestado anônimo DAA Direct . Este método não exige que o usuário divulgue seu EKpub com o TTP. O novo recurso exclusivo do DAA é que ele tem a capacidade de convencer a entidade remota de que um determinado TPM (módulo de plataforma confiável) é um TPM válido, sem revelar o EKpub ou qualquer outro identificador exclusivo. Antes que o TPM possa enviar uma solicitação de certificação para um AIK à entidade remota, o TPM deve gerar um conjunto de credenciais DAA. Isso só pode ser feito interagindo com um emissor. As credenciais DAA são criadas pelo TPM enviando um segredo exclusivo do TPM que permanece dentro do TPM. O segredo do TPM é semelhante, mas não análogo ao EK. Quando o TPM obtém um conjunto de credenciais DAA, ele pode enviá-las ao Verificador. Quando o verificador recebe as credenciais DAA do TTP, ele as verifica e envia um AIK certificado de volta ao usuário. O usuário poderá então se comunicar com outras partes confiáveis ​​usando o AIK certificado. O Verificador pode ou não ser um terceiro confiável (TTP). O Verificador pode determinar se as credenciais DAA são válidas, mas as credenciais DAA não contêm nenhuma informação exclusiva que divulgue a plataforma TPM. Um exemplo seria onde um usuário deseja o status de confiável e envia uma solicitação ao Emissor. O Emissor pode ser o fabricante da plataforma do usuário, por exemplo, Compaq. A Compaq verifica se o TPM produzido é válido e, se for, emite as credenciais do DAA. Na próxima etapa, as credenciais DAA são enviadas pelo usuário ao Verificador. Conforme mencionado, este pode ser um TTP padrão, mas também pode ser uma entidade diferente. Se o verificador aceitar o DAA fornecido, ele produzirá um AIK certificado. O AIK certificado será então usado pelo usuário para se comunicar com outras plataformas confiáveis. Em resumo, a nova versão apresenta uma entidade separada que ajudará no processo de atestado anônimo. Ao apresentar o Emissor que fornece um DAA, será possível proteger suficientemente o anonimato do usuário em relação ao Verificador / TTP. O emissor mais comumente será o fabricante da plataforma. Sem essas credenciais, provavelmente será difícil para um cliente particular, uma pequena empresa ou organização convencer outras pessoas de que possuem uma plataforma confiável genuína.

Aplicativos conhecidos

Os produtos da Microsoft Windows Vista , Windows 7 , Windows 8 e Windows RT usam um Módulo de Plataforma Confiável para facilitar a Criptografia de Unidade de Disco BitLocker .

Possíveis aplicações

Gestão de direitos digitais

A Trusted Computing permitiria que as empresas criassem um sistema de gerenciamento de direitos digitais (DRM) que seria muito difícil de contornar, embora não impossível. Um exemplo é o download de um arquivo de música. O armazenamento lacrado pode ser usado para evitar que o usuário abra o arquivo com um reprodutor ou computador não autorizado. O atestado remoto pode ser usado para autorizar a reprodução apenas por tocadores de música que cumpram as regras da gravadora. A música seria tocada a partir da memória fechada, o que impediria o usuário de fazer uma cópia irrestrita do arquivo durante a reprodução, e a E / S segura impediria a captura do que está sendo enviado ao sistema de som. Contornar tal sistema exigiria a manipulação do hardware do computador, capturando o sinal analógico (e, portanto, degradado) usando um dispositivo de gravação ou um microfone, ou interrompendo a segurança do sistema.

Novos modelos de negócios para uso de software (serviços) pela Internet podem ser impulsionados pela tecnologia. Ao fortalecer o sistema DRM, pode-se basear um modelo de negócios em programas de aluguel por um período de tempo específico ou modelos "pague conforme o uso". Por exemplo, pode-se baixar um arquivo de música que só pode ser reproduzido um certo número de vezes antes de se tornar inutilizável, ou o arquivo de música pode ser usado apenas dentro de um determinado período de tempo.

Prevenir trapaças em jogos online

Trusted Computing pode ser usado para combater a trapaça em jogos online . Alguns jogadores modificam sua cópia do jogo para obter vantagens injustas no jogo; atestado remoto, E / S segura e cortina de memória podem ser usados ​​para determinar se todos os jogadores conectados a um servidor estavam executando uma cópia não modificada do software.

Verificação de computação remota para computação em grade

O Trusted Computing pode ser usado para garantir que os participantes em um sistema de computação em grade estejam retornando os resultados dos cálculos que alegam ser, em vez de forjá-los. Isso permitiria que simulações em grande escala fossem executadas (digamos, uma simulação climática) sem cálculos redundantes caros para garantir que hosts maliciosos não prejudicassem os resultados para chegar à conclusão que desejam.

Crítica

Os oponentes da Trusted Computing, como a Electronic Frontier Foundation e a Free Software Foundation, afirmam que a confiança nas empresas subjacentes não é merecida e que a tecnologia coloca muito poder e controle nas mãos daqueles que projetam sistemas e software. Eles também acreditam que isso pode fazer com que os consumidores percam o anonimato em suas interações online, bem como tecnologias obrigatórias que os oponentes do Trusted Computing dizem ser desnecessárias. Eles sugerem Trusted Computing como um possível habilitador para versões futuras de controle de acesso obrigatório , proteção contra cópia e DRM.

Alguns especialistas em segurança, como Alan Cox e Bruce Schneier , se manifestaram contra a Trusted Computing, acreditando que ela proporcionará aos fabricantes de computadores e autores de software maior controle para impor restrições sobre o que os usuários podem fazer com seus computadores. Há preocupações de que o Trusted Computing tenha um efeito anticoncorrencial no mercado de TI.

Há uma preocupação entre os críticos de que nem sempre será possível examinar os componentes de hardware nos quais a Trusted Computing se baseia, o Trusted Platform Module , que é o sistema de hardware definitivo onde a 'raiz' central de confiança na plataforma deve residir. Se não implementado corretamente, apresenta um risco de segurança para a integridade geral da plataforma e os dados protegidos. As especificações, conforme publicadas pelo Trusted Computing Group , são abertas e estão disponíveis para qualquer pessoa revisar. No entanto, as implementações finais por fornecedores comerciais não estarão necessariamente sujeitas ao mesmo processo de revisão. Além disso, o mundo da criptografia pode frequentemente se mover rapidamente e as implementações de algoritmos de hardware podem criar uma obsolescência inadvertida. Confiar em computadores em rede a autoridades controladoras, e não a indivíduos, pode criar imprimaturs digitais .

O criptógrafo Ross Anderson , da Universidade de Cambridge, tem grandes preocupações quanto a:

TC pode suportar censura remota [...] Em geral, objetos digitais criados usando sistemas TC permanecem sob o controle de seus criadores, ao invés do controle da pessoa que possui a máquina na qual eles estão armazenados [... ] Portanto, alguém que escreve um artigo que um tribunal considera difamatório pode ser compelido a censurá-lo - e a empresa de software que escreveu o processador de texto pode ser condenada a deletar se ela se recusar. Dadas essas possibilidades, podemos esperar que o TC seja usado para suprimir tudo, desde pornografia a escritos que criticam líderes políticos.

Ele prossegue afirmando que:

os [...] fornecedores de software podem tornar muito mais difícil para você mudar para os produtos de seus concorrentes. Em um nível simples, o Word poderia criptografar todos os seus documentos usando chaves às quais apenas produtos Microsoft têm acesso; isso significaria que você só poderia lê-los usando produtos da Microsoft, não com qualquer processador de texto concorrente. [...]

O benefício mais importante para a Microsoft é que o TC aumentará drasticamente os custos de troca de produtos da Microsoft (como o Office) para produtos rivais (como o OpenOffice ). Por exemplo, um escritório de advocacia que deseja mudar do Office para o OpenOffice agora precisa apenas instalar o software, treinar a equipe e converter seus arquivos existentes. Em cinco anos, depois de receberem documentos protegidos por TC de talvez mil clientes diferentes, eles teriam que obter permissão (na forma de certificados digitais assinados) de cada um desses clientes para migrar seus arquivos para um novo plataforma. O escritório de advocacia não vai querer fazer isso na prática, então eles ficarão muito mais restritos, o que permitirá que a Microsoft aumente seus preços.

Anderson resume o caso dizendo:

A questão fundamental é que quem controla a infraestrutura do TC adquirirá uma grande quantidade de energia. Ter esse único ponto de controle é como fazer com que todos usem o mesmo banco, o mesmo contador ou o mesmo advogado. Há muitas maneiras de abusar desse poder.

Gestão de direitos digitais

Uma das primeiras motivações por trás da computação confiável foi um desejo das corporações de mídia e software por uma tecnologia DRM mais rígida para impedir que os usuários compartilhassem e usassem arquivos potencialmente protegidos por direitos autorais ou privados sem permissão explícita. Um exemplo poderia ser o download de um arquivo de música de uma banda: a gravadora da banda poderia criar regras de como a música da banda pode ser usada. Por exemplo, eles podem querer que o usuário reproduza o arquivo apenas três vezes ao dia, sem pagar dinheiro adicional. Além disso, eles podem usar o atestado remoto para enviar suas músicas apenas para um reprodutor de música que aplique suas regras: o armazenamento lacrado evitaria que o usuário abrisse o arquivo com outro reprodutor que não aplicasse as restrições. A cortina de memória evitaria que o usuário fizesse uma cópia irrestrita do arquivo durante a reprodução, e a saída segura impediria a captura do que é enviado ao sistema de som.

Os usuários não conseguem modificar o software

Um usuário que desejasse mudar para um programa concorrente poderia descobrir que seria impossível para aquele novo programa ler dados antigos, pois as informações seriam " bloqueadas " no programa antigo. Também pode tornar impossível para o usuário ler ou modificar seus dados, exceto conforme especificamente permitido pelo software.

O atestado remoto pode causar outros problemas. Atualmente, os sites podem ser visitados usando vários navegadores, embora alguns sites possam ser formatados de forma que alguns navegadores não consigam decifrar seu código. Alguns navegadores encontraram uma maneira de contornar esse problema emulando outros navegadores. Com o atestado remoto, um site pode verificar o navegador da Internet que está sendo usado e se recusar a exibir em qualquer navegador diferente do especificado (como o Internet Explorer ), portanto, nem mesmo a emulação do navegador funcionaria.

Usuários incapazes de exercer direitos legais

A lei em muitos países permite aos usuários certos direitos sobre os dados cujos direitos autorais eles não possuem (incluindo texto, imagens e outras mídias), geralmente sob títulos como uso justo ou interesse público . Dependendo da jurisdição, podem abranger questões como denúncias , produção de provas em tribunal, citações ou outro uso em pequena escala, backups de mídia própria e fazer uma cópia de material próprio para uso pessoal em outros dispositivos ou sistemas próprios. As etapas implícitas na computação confiável têm o efeito prático de impedir que os usuários exerçam esses direitos legais.

Usuários vulneráveis ​​à retirada do serviço do fornecedor

Um serviço que requer validação externa ou permissão - como um arquivo de música ou jogo que requer conexão com o fornecedor para confirmar a permissão para jogar ou usar - é vulnerável a esse serviço ser retirado ou não mais atualizado. Uma série de incidentes já ocorreram em que os usuários, tendo adquirido mídia de música ou vídeo, descobriram que sua capacidade de assistir ou ouvi-los parou repentinamente devido à política do fornecedor ou à interrupção do serviço, ou inacessibilidade do servidor, às vezes sem compensação. Como alternativa, em alguns casos, o fornecedor se recusa a fornecer serviços no futuro, o que deixa o material adquirido utilizável apenas no hardware atual - e cada vez mais obsoleto - (enquanto durar), mas não em qualquer hardware que possa ser adquirido no futuro.

Usuários incapazes de substituir

Alguns oponentes do Trusted Computing defendem a "substituição do proprietário": permitir que um proprietário confirmado para estar fisicamente presente para permitir que o computador ignore as restrições e use o caminho de E / S seguro. Essa substituição permitiria a confirmação remota para a especificação de um usuário, por exemplo, para criar certificados que informam que o Internet Explorer está em execução, mesmo se um navegador diferente for usado. Em vez de impedir a alteração do software, o atestado remoto indicaria quando o software foi alterado sem a permissão do proprietário.

Os membros do Trusted Computing Group se recusaram a implementar a substituição do proprietário. Os defensores da computação confiável acreditam que a anulação do proprietário anula a confiança em outros computadores, pois o atestado remoto pode ser forjado pelo proprietário. A anulação do proprietário oferece os benefícios de segurança e aplicação para o proprietário de uma máquina, mas não permite que ele confie em outros computadores, porque seus proprietários podem renunciar a regras ou restrições em seus próprios computadores. Nesse cenário, uma vez que os dados são enviados para o computador de outra pessoa, seja um diário, um arquivo de música DRM ou um projeto conjunto, essa outra pessoa controla qual segurança, se houver, seu computador aplicará em sua cópia desses dados. Isso tem o potencial de minar os aplicativos de computação confiável para impor DRM, controlar trapaças em jogos online e atestar cálculos remotos para computação em grade .

Perda de anonimato

Como um computador equipado com Trusted Computing é capaz de atestar exclusivamente sua própria identidade, será possível para fornecedores e outros que possuam a capacidade de usar o recurso de atestado se concentrarem na identidade do usuário do software habilitado para TC com um alto grau de certeza.

Tal capacidade depende da chance razoável de que o usuário, em algum momento, forneça informações de identificação do usuário, seja voluntária, indiretamente ou simplesmente por meio da inferência de muitos dados aparentemente benignos. (por exemplo, registros de pesquisa, conforme mostrado por meio de um estudo simples do vazamento de registros de pesquisa AOL). Uma maneira comum de obter e vincular informações é quando um usuário registra um computador logo após a compra. Outra forma comum é quando um usuário fornece informações de identificação ao site de uma afiliada do fornecedor.

Embora os proponentes do TC apontem que as compras online e as transações de crédito podem ser potencialmente mais seguras como resultado do recurso de atestado remoto, isso pode fazer com que o usuário do computador perca as expectativas de anonimato ao usar a Internet.

Os críticos apontam que isso pode ter um efeito negativo sobre a liberdade de expressão política, a capacidade dos jornalistas de usar fontes anônimas, denúncias, blogs políticos e outras áreas onde o público precisa de proteção contra retaliação por meio do anonimato.

A especificação TPM oferece recursos e implementações sugeridas que visam atender ao requisito de anonimato. Usando uma Autoridade de Certificação de Privacidade (PCA) de terceiros, as informações que identificam o computador podem ser mantidas por terceiros confiáveis. Além disso, o uso de atestado anônimo direto (DAA), introduzido no TPM v1.2, permite que um cliente execute o atestado sem revelar nenhuma informação de identificação pessoal ou de máquina.

O tipo de dados que deve ser fornecido ao TTP para obter o status confiável não está totalmente claro no momento, mas o próprio TCG admite que "o atestado é uma função importante do TPM com implicações de privacidade significativas". É, no entanto, claro que as informações estáticas e dinâmicas sobre o computador do usuário podem ser fornecidas (Ekpubkey) ao TTP (v1.1b), não está claro quais dados serão fornecidos ao “verificador” sob a v1.2. As informações estáticas identificarão exclusivamente o endossante da plataforma, modelo, detalhes do TPM e se a plataforma (PC) está em conformidade com as especificações TCG. As informações dinâmicas são descritas como software em execução no computador. Se um programa como o Windows estiver registrado no nome do usuário, isso, por sua vez, identificará o usuário de forma exclusiva. Outra dimensão de recursos de violação de privacidade também pode ser introduzida com esta nova tecnologia; a frequência com que você usa seus programas pode ser uma informação possível fornecida ao TTP. Numa situação excepcional, mas prática, em que o utilizador adquire um filme pornográfico na Internet, o comprador, hoje em dia, deve aceitar o facto de ter de fornecer ao prestador os dados do cartão de crédito, podendo correr o risco de ser identificado. Com a nova tecnologia, um comprador também pode arriscar alguém descobrir que ele (ou ela) assistiu a esse filme pornográfico 1000 vezes. Isso adiciona uma nova dimensão à possível violação de privacidade. A extensão dos dados que serão fornecidos aos TTP / Verificadores não é exatamente conhecida, somente quando a tecnologia for implementada e usada poderemos avaliar a natureza e o volume exatos dos dados que são transmitidos.

Problemas de interoperabilidade da especificação TCG

A Trusted Computing solicita que todos os fornecedores de software e hardware sigam as especificações técnicas lançadas pelo Trusted Computing Group para permitir a interoperabilidade entre diferentes pilhas de software confiáveis. No entanto, desde pelo menos meados de 2006, tem havido problemas de interoperabilidade entre a pilha de software confiável TrouSerS (lançado como software de código aberto pela IBM ) e a pilha da Hewlett-Packard . Outro problema é que as especificações técnicas ainda estão mudando, então não está claro qual é a implementação padrão da pilha confiável.

Excluindo produtos concorrentes

As pessoas expressaram preocupações de que a computação confiável pudesse ser usada para impedir ou desencorajar os usuários de executar softwares criados por empresas fora de um pequeno grupo do setor. A Microsoft recebeu uma grande quantidade de mídia negativa em torno de sua arquitetura de software Palladium , evocando comentários como "Poucos pedaços de vaporware evocaram um nível mais alto de medo e incerteza do que o Palladium da Microsoft", "Palladium é um complô para dominar o ciberespaço", e "O Palladium nos impedirá de executar qualquer software não aprovado pessoalmente por Bill Gates". A preocupação com o uso de computação confiável para impedir a concorrência existe em uma estrutura mais ampla de consumidores preocupados com o uso de pacotes de produtos para ocultar os preços dos produtos e se envolver em práticas anticompetitivas . Trusted Computing é visto como prejudicial ou problemático para desenvolvedores de software independentes e de código aberto.

Confiar

Na criptografia de chave pública amplamente usada , a criação de chaves pode ser feita no computador local e o criador tem controle total sobre quem tem acesso a ela e, conseqüentemente, sobre suas próprias políticas de segurança . Em alguns chips de criptografia-descriptografia propostos, uma chave privada / pública é permanentemente incorporada ao hardware quando é fabricada, e os fabricantes de hardware teriam a oportunidade de registrar a chave sem deixar evidências disso. Com essa chave seria possível ter acesso aos dados criptografados com ela e autenticar-se como ela. É trivial para um fabricante dar uma cópia desta chave ao governo ou aos fabricantes de software, pois a plataforma deve passar por etapas para que funcione com software autenticado.

Portanto, para confiar em qualquer coisa que seja autenticada ou criptografada por um TPM ou um computador confiável, um usuário final deve confiar na empresa que fez o chip, na empresa que projetou o chip, nas empresas que têm permissão para fazer software para o chip e a capacidade e o interesse dessas empresas em não comprometer todo o processo. Uma violação de segurança quebrando essa cadeia de confiança aconteceu com um fabricante de cartões SIM Gemalto , que em 2010 foi infiltrado por espiões americanos e britânicos, resultando no comprometimento da segurança das chamadas de celular.

Também é fundamental que se possa confiar que os fabricantes de hardware e desenvolvedores de software implementem adequadamente os padrões de computação confiáveis. A implementação incorreta pode ser escondida dos usuários e, portanto, pode prejudicar a integridade de todo o sistema sem que os usuários saibam da falha.

Suporte de hardware e software

  • Desde 2004, a maioria dos principais fabricantes distribuem sistemas que incluem Módulos de Plataforma Confiáveis , com suporte de BIOS associado . De acordo com as especificações TCG, o usuário deve habilitar o Módulo de plataforma confiável antes que ele possa ser usado.
  • O kernel Linux inclui suporte de computação confiável desde a versão 2.6.13, e há vários projetos para implementar computação confiável para Linux. Em janeiro de 2005, membros do "rebanho de criptografia" do Gentoo Linux anunciaram sua intenção de fornecer suporte para TC - em particular suporte para Módulo de plataforma confiável. Há também uma pilha de software compatível com TCG para Linux chamada TrouSerS , lançada sob uma licença de código aberto.
  • Algumas formas limitadas de computação confiável podem ser implementadas nas versões atuais do Microsoft Windows com software de terceiros.
  • O Intel Classmate PC (um concorrente do One Laptop Per Child ) inclui um Módulo de plataforma confiável.
  • IBM / Lenovo ThinkPads
  • Dell OptiPlex GX620
  • O software PrivateCore vCage pode ser usado para atestar servidores x86 com chips TPM.
  • O sistema operacional seguro Mobile T6 simula a funcionalidade TPM em dispositivos móveis usando a tecnologia ARM TrustZone .
  • Os smartphones Samsung vêm equipados com Samsung Knox que dependem de recursos como Secure Boot, TIMA, MDM , TrustZone e SE Linux

Veja também

Referências

links externos