Comment les TPMS sont-ils provisionnés pour l'environnement d'exécution de confiance en Intel (TXT)?
Pour Intel TXT======== Pour fonctionner, le TPM doit être provisionné. Intel fournit certains outils pour le faire, mais beaucoup sont protégés par une connexion non publique ou une NDA. De nombreux vendeurs de plate-forme OEM présentent leurs conseils d'administration et de machines. Au moment de la fabrication, un utilisateur final peut donc utiliser TXT. Cela dit, j'ai du mal à trouver les détails sur quel état le TPM doit fonctionner avec TXT.
Quels sont les détails de TXT provisioning WRT la puce TPM?
Et en plus: il existe des configurations de TTX serveur et de client TPM. Quelle est la différence entre les deux?
L'Intel TXT est un système complexe conçu pour fournir une couche de sécurité matérielle pouvant empêcher les changements de couche logicielle résultant d'un accès accru aux attaquants. Grâce à des hachages stockés de bons états connus pour le micrologiciel, le BIOS et les charges du système d'exploitation, TXT peut indiquer quand quelque chose a changé en dehors d'un bon état connu. Ceci est utile pour identifier les rootkits potentiels dans un environnement.
Selon Intel, l'utilisation de TXT dépend de:
Intel TXT Nécessite un système de serveur avec Intel VT, un processeur Intel TXT-compatible, un puits de chipset, un BIOS activé et un BIOS compatible Intel TXT-compatible. De plus, Intel TXT nécessite que le système contienne un TPM V1.2, tel que défini par le groupe informatique de confiance ( http://www.trustedcomputergroup.org ) et un logiciel spécifique pour Quelques utilisations - https://www.intel.com/content/www/us/fr/architecture-and-technology/frusted-execution-technology/trusted-execution-technology-security-paper.html
Maintenant, TXT a été initialement conçu pour les composants du poste de travail où un seul système d'exploitation devait être utilisé à tout moment, sauf des instances virtuelles dans l'hôte (Hyperviseur de type 2). Cela contraste clairement aux serveurs qui peuvent avoir plusieurs hôtes attachés au métal nu à travers un hyperviseur de type 1. Cela nécessitait la création d'un système plus dynamique TXT qui évaluerait le démarrage OSS lorsqu'il serait lancé au lieu de tenter de lire tous les hôtes potentiels au début initial.
Aller au-delà des différences entre le poste de travail et le serveur, TXT ne fonctionne pas avec tous les systèmes d'exploitation ou toutes les configurations du système d'exploitation. Par exemple, toutes les versions de Windows 10 ne permettent pas d'utiliser Intel TXT et protège-périphérique:
https://docs.microsoft.com/en-us/windows-hardware/design/device-experiences/oem-device-guard
Comme il se rapporte à la manière de configurer, il change en fonction de la sélection de votre matériel, du micrologiciel et du système d'exploitation. Voir le Guide de configuration Intel: