Logo Tom's Hardware

Fidarsi del The Trusted Platform Module

Banche online, documenti protetti da password, accessi remoti sicuri, sono tutti sistemi che si basano sulla codifica dei dati. Impostare un sistema di sicurezza via software non è la soluzione migliore, è necessario un controllo hardware.

Avatar di Tom's Hardware

a cura di Tom's Hardware

Fidarsi del Trusted Platform Module

The TPM chip may be a separate chip on the motherboard, integrated in the network controller or placed inside the Southbridge; anywhere it can be connected to the Low Pin Count bus.

Il chip TPM può essere un chip separato impiantato sulla motherboard, integrato in un controller di rete o piazzato all'interno del Southbridge; ovunque sia, può essere connesso al Low Pin Count bus.

Il TPM fu inizialmente progettato da IBM, e controllato da un'alleanza d'aziende detta "Trusted Computing Group". Potete immaginarlo come una smartcard saldata sulla motherboard. L'hardware è identico ad un SIM, ma con un firmware differente. Il primo chip Embedded Security System di IBM era su una scheda separata, ma il TPM è inseparabile dalla scheda madre (connesso al Southbridge o al controller I/O, tramite il Low Pin Count bus a 33 MHz). Il chip TPM, in ogni caso, non è presente in tutti i sistemi: si trova in ogni PC marchiato VPro e Centrino Pro. Quando Apple passò ai processori Intel, inserì il TPM sulle motherboard Mac (per controllare che il sistema operativo Mac OS X stesse funzionando su hardware Apple), ma poi decise di togliere il chip per abbassare i costi di produzione.

Il TPM ha solo poche funzioni, tra cui un generatore di numeri casuali e un generatore di chiavi, che gli permette di creare firme digitali e coppie di chiavi per la codifica. Queste chiavi di codifica sono immagazzinate in una locazione protetta all'interno del TPM, cosicché siano difficili da attaccare. Le chiavi private non escono mai dal TPM, ma è il chip stesso che confronta le chiavi, le verifica o le marchia come chiavi pubbliche. Esistono anche chiavi "di root", che servono per la crittografia dei supporti d'archiviazione, e per accedere alle informazioni sulle altre chiavi. Il TPM stesso è legato ad una chiave privata, creata dal produttore, che non può essere letta da sistemi esterni. Ci sono funzioni d'inizializzazione e gestione, per attivare/disattivare le funzioni del TPM, resettare e cancellare le chiavi, e appropriarsi di un nuovo  - o resettato - TPM (così è possibile passare il computer ad un nuovo proprietario). Il chip TPM supporta anche il protocollo Direct Anonymous Attestation, al quale ricorre se un sistema esterno ha bisogno di sapere se il PC dispone o meno del chip di sicurezza. In questo caso, il chip fornisce solo una risposta affermativa, e nulla di più.

Il chip TPM, di fabbrica, è disabilitato. Per abilitarlo si agisce su un jumper (ponticello), sul BIOS, o su entrambi, in base al sistema. La semplice attivazione non abilita il TPM ad attivare degli interrupt, ma solo a rispondere a richieste software. Per usare il TPM dovrete "prenderne" il controllo tramite un software di gestione fornito con il PC: Intel usa il Wave's Embassy Security Center. Per usare il chip TPM per generare delle chiavi bisogna impostarlo come fornitore di servizi di crittografia (Cryptographics Service Provider, CSP).

The Trusted Platform Module is disabled by default, and must be configured before software can use it for security.

Il Trusted Platform Module è disabilitato di default, e deve essere configurato con un software per utilizzarlo.

Once you have activated the TPM and taken ownership you can use the Advanced options to use it as the Cryptographic Service Provider whenever you generate a certificate.

Dopo che avete attivato il chip e ne avete preso il controllo, potrete usare le opzioni avanzate per abilitare il Cryptographic Service Provider ogni volta che generate un certificato.

Leggi altri articoli