TPM 2.0 für sicheren Boot

Mit Hilfe des TPM 2.0 setzt Windows einen sogenannten Measured Boot um. Dabei werden Prüfsummen für die am Start beteiligten Komponenten erstellt und im TPM gespeichert. Bei jedem neuen Start werden diese Prüfsummen erneut erstellt und mit jenen im TPM verglichen.

Stellenmarkt
  1. SAP BW Data Engineer (m/w/d)
    Stiegelmeyer GmbH & Co. KG, Herford
  2. Mitarbeiter* Technischer Support / After Sales
    LISTAN GmbH, Glinde
Detailsuche

Darauf aufbauend können diese Informationen auch an Server weitergeleitet werden, die dann entscheiden, ob sich der betroffene Rechner etwa in einem Netzwerk anmelden darf oder nicht. Dieser Schritt wird auch als Remote Attestation bezeichnet. Die Windows-Dokumentation liefert weitere Details zu diesem Ablauf des Bootvorgangs.

Trotz all dieser Vorkehrungen könnte es aber immer noch sein, dass die Firmware selbst durch Angreifer manipuliert wird und es dann nur den Anschein hat, dass verifizierte Komponenten gestartet werden. Auch hier hilft wieder eine Technik, die über TPM 2.0 umgesetzt ist.

Dynamisches Vertrauen in die Firmware

Konkret handelt es sich dabei um den Windows Defender System Guard, mit dem ein Dynamic Root of Trust for Measurement (DRTM) umgesetzt wird. Ziel ist es dabei, dass der Rechner zunächst auch nicht vertrauenswürdigen Code zum Start verwenden kann. Über spezielle CPU-Befehle soll danach jedoch wieder eine sichere Umgebung geschaffen werden können, in der die Firmware sowie der eigentliche Bootloader für das Betriebssystem mit Hilfe des TPM vermessen werden können.

Microsoft Windows 11 Home, Betriebssystem-Software
Golem Karrierewelt
  1. Advanced Python – Fortgeschrittene Programmierthemen: virtueller Drei-Tage-Workshop
    23.-25.01.2023, Virtuell
  2. IT-Grundschutz-Praktiker mit Zertifikat: Drei-Tage-Workshop
    21.-23.11.2022, Virtuell
Weitere IT-Trainings

Die Arbeiten daran sind Teil von Microsofts Initiative der Secured-Core-PCs, die gemeinsam mit zahlreichen OEM-Herstellern und den CPU-Produzenten umgesetzt wird. Details dazu haben wir bereits zur Ankündigung der Initiative beschrieben.

Das Wichtigste bei all diesen Techniken ist letztlich, dass das Vertrauen in das Überprüfen der Integrität des Bootvorgangs bei der Nutzung von der System-Firmware wie UEFI in Richtung Hardware-Komponenten verschoben wird. Zwar sorgt auch das für Probleme, wie etwa die vielen Angriffe auf Intels Management Engine zeigen - bis hin zum Vollzugriff - oder physische Angriffe auf die TPM-Kommunikation.

Üblicherweise ist aber davon auszugehen, dass das Verändern dieser auch als Ring -3 bezeichneten Komponenten deutlich schwieriger sein sollte als das Verändern darüberliegender Firmware-Schichten wie etwa UEFI. Das gilt auch für das TPM 2.0, das eine eigene Hardware-Komponente ist oder in einem speziell gesicherten Bereich der CPU läuft. Künftig dürfte die Komponente auch durch weitere Hardware abgesichert werden, wie mit Hilfe des von Microsoft erdachten Sicherheitschips Pluton.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Security: Das bringen TPM und Secure Boot für Windows 11
  1.  
  2. 1
  3. 2


Ach 15. Okt 2021

Wie gesagt, je durchgehender der Schwenk vom Desktop aufs Notebook im Arbeitsumfeld von...

Talhawkins 11. Okt 2021

Bei TPM und Secure Boot geht es MS wirklich um die Sicherheit der Daten ihrer Kunden...

HiddenX 11. Okt 2021

Deaktiviert, vorhanden ist ja mehr oder weniger mit jedem Mainboard des letzten...

My1 09. Okt 2021

Ubuntu kann ohne Probleme sowohl uefi als auch secure boot. Bei custom kernel treibern...



Aktuell auf der Startseite von Golem.de
Cloudgaming-Dienst
Google schließt Stadia

Google steigt aus dem Cloud-Gaming-Geschäft aus und stellt seinen Dienst Stadia ein. Kunden erhalten ihr Geld zurück.

Cloudgaming-Dienst: Google schließt Stadia
Artikel
  1. Axel-Springer-Chef: Döpfner schlug Musk den Kauf von Twitter vor
    Axel-Springer-Chef
    Döpfner schlug Musk den Kauf von Twitter vor

    "Das wird lustig": Wenige Tage vor seinem Einstieg bei Twitter erhielt Elon Musk eine interessante Nachricht von Axel-Springer-Chef Döpfner.

  2. Flexpoint, Bfloat16, TensorFloat32, FP8: Dank KI zu neuen Gleitkommazahlen
    Flexpoint, Bfloat16, TensorFloat32, FP8
    Dank KI zu neuen Gleitkommazahlen

    Die Dominanz der KI-Forschung bringt die Gleitkommazahlen erstmals seit Jahrzehnten wieder durcheinander. Darauf muss auch die Hardware-Industrie reagieren.
    Von Sebastian Grüner

  3. Probefahrt mit EQS SUV: Geländegängiger Luxus auf vier Rädern
    Probefahrt mit EQS SUV
    Geländegängiger Luxus auf vier Rädern

    Nach einer Testrunde in Colorado versteht man, was Mercedes beim EQS SUV mit Top-End Luxury meint.
    Ein Bericht von Dirk Kunde

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • CyberWeek nur noch heute • Xbox Series S + FIFA 23 259€ • MindStar (Mega Fastro SSD 1TB 69€, KF DDR5-6000 32GB Kit 229€) • PCGH-Ratgeber-PC 3000€ Radeon Edition 2.500€ • Alternate (Be Quiet Tower-Gehäuse 89,90€) • PS5-Controller GoW Ragnarök Limited Edition vorbestellbar [Werbung]
    •  /