Trustet bootinf Prozessor

[kilopic]

Hallo,

Ich suche Laptopps die sogenannte TPM Prozeasoren haben. Weiss jemand in welchen Laptops diese eingesetzt werden?
Mit denen soll es dann moeglich sein so ne art Sicheres booten durch zufuehren.
Ziel ist es ein sicherws booten zu garantieren. Es bietet dann Schutz cor Bios Malware.
Gruss

 

[Gelöschtes Mitglied 172838]

Alle Business Modelle haben das, also Lenovo T,W,X,Yoga,L und Delle Latitude, HP Pro und Elitebook.

 

[DragonTear]

Welche Generation? Es gibt ein TPM 1.0, 1.1 und auch 2.0.

 

[peljotha]

Secure Boot ist eine Funktion des BIOS und hat mit TPM erst mal nichts zu tun. Bit locker kann mit dem TPM Vorteile haben, hat aber seinerseits nicht mit Secure Boot zu tun.
Secure Boot benötigt ein UEFI mit einer bestimmen Mindestversion (kenn ich momentan nicht). Und es benötigt natürlich auch ein Win8, dessen Schlüssel im UEFI zu finden sein muss, damit Secure Boot möglich ist.
VG
peljotha

 

[kilopic]

Hallo,

uefi kenn ich und ist was anderes. Mit TPM kann man das booten absichern. Es geht erstmal ertmal darum heraus zubekommen welche Prozessoren das anbieten.

Haben das auch alle Lenovo T40 und T60?

 

[peljotha]

Hallo kilopic,
der Trusted Platform Module ist nicht im Prozessor integriert! Intel hat mal eine Zeit lang das TPM in ihrem Chipset integriert. Das hatte allerdings natürlich dann eine Versions-Abhängigkeit. Wir haben uns bei unseren Maschinen dann für diskrete TPM entschieden. Du kannst im TPM Schlüssel hinterlegen (eben für BIT LOCKER oä). Da der TPM-Chip die Maschine eindeutig identifiziert (durch die Initialisierung mit körperlicher Anwesenheit des Users. Der TPMs natürlich deshalb auch eingelötet werden), ist damit auch der User identifiziert. Mit dem OS hat das erst mal nichts zu tun.
Im Falle von Secure Boot (geht eben nur ab einer bestimmten UEFI-Version und mit Win8) vergleicht beim booten das System die Schlüsselinformation (die kann natürlich auch im TPM stehen) des UEFI mit dem des OS und wenn sich eines von beiden verändert hat, wird nicht gebootet.
Ich hoffe, ich konnte weiterhelfen.
peljotha

 

[cardisch]

MIt einem TPM kannst du nicht das booten absichern, sondern das offline-auslesen der HDD im Falle eines Diebstahle mit Hilfe einer Verschlüsselung (Truecrypt, Bitlocker, etc).
Deine CPU muss dafür Rechenleitung bereit stellen, wenn diese aber eine AES-Einheit besitzt, dann macht diese das nebenbei.
SB soll nur das booten von nicht signierten Treibern/Software verhindern, damit Schadsoftware nicht VOR dem Betriebssystem gestartet werden kann..

 

[Alderon]

cardisch hat es ja schon gesagt.
Es ist auch zweifelhaft, was "sicheres" booten bei einem System bringen soll, auf das Dritte physisch Zugriff haben. Da hilft dann tatsächlich nur eine Verschlüsselung, die man aber - wie cardisch schon sagte - leicht realisieren kann, beispielsweise mit Truecrypt. AES ist sowieso in Hardware beschleunigt bei den meisten aktuellen CPUs und damit wäre das auch kein großes Drama in Sachen Leistung.

Ich persönlich habe meinen Laptop mit Truecrypt verschlüsselt, bzw. meine Linuxpartition ist prinzipiell unverschlüsselt, allerdings habe ich da einen Truecrypt Container drin, in dem meine Dokumente lagern.

 

[kilopic]

Es geht mir nicht um die Verschlüsselung der HDD, die muss sowieso verschluesswlt werden. Sondern es geht darum den boot Prozess, so wie peljotha es schon sagte, mit Hilfe von TPM besser oder eventuell mit Secure Boot abzusichern.


Gesendet von meinem GT-I9001 mit der Hardwareluxx App

 

[Gelöschtes Mitglied 172838]

Der TPM prüft aber auch ob irgendwas im BIOS, z.B. Die Bootreihenfolge geändert wurde.

 

[Alderon]

Was er möchte kann schlichtweg das UEFI schon, wurde hier aber auch schon deutlich gesagt.
Er aktiviert secure boot im UEFI(!), die Schlüssel von Microsoft sind bereits hinterlegt.
Danach installiert er ganz normal Windows, setzt ein Passwort im UEFI damit man den Laptop im Zweifel aufschrauben muss um was am UEFI zu ändern und fertig.
Dann kann die Reihenfolge nicht mehr verändert werden, ohne den Laptop aufzuschrauben und die CMOS Batterie rauszurupfen, dann aber kann man gleich die HDD direkt auslesen, weshalb hier auch Verschlüsselung erwähnt wurde.

Gleichzeitig wird über Secure Boot sichergestellt, dass nicht beliebig am Bootloader rumgeschraubt werden kann, weil bei Änderungen die Signatur nicht mehr gültig wäre.

Darum: UEFI + Verschlüsselung tut genau das, was der TE möchte. Ein Dieb müsste mit erheblichem Aufwand den Laptop öffnen um an die CMOS Batterie zu kommen, in dem Fall ist aber eben auch eine Verschlüsselung angeraten. Ein TPM ist für beides NICHT notwendig, das UEFI bringt secure boot mit, den Rest macht Truecrypt oder eine andere Software. AES wird auch in Hardware beschleunigt -> Problem gelöst.

 

[kilopic]

und wie sieht es mit uefi und ubuntu aus, falls ich kein win8 nutzen will.

 

[peljotha]

und wie sieht es mit uefi und ubuntu aus, falls ich kein win8 nutzen will.

Das geht nur ohne Secure Boot, oder Du besorgst Dir von der Distribution (weiss ich jetzt nicht, ob das geht), den entsprechenden Schlüssel, schreibst ihn ins UEFI und dann geht das auch.

peljotha