TPM 2.0 für sicheren Boot

Mit Hilfe des TPM 2.0 setzt Windows einen sogenannten Measured Boot um. Dabei werden Prüfsummen für die am Start beteiligten Komponenten erstellt und im TPM gespeichert. Bei jedem neuen Start werden diese Prüfsummen erneut erstellt und mit jenen im TPM verglichen.

Stellenmarkt
  1. Produktspezialist (m/w/d) Digitale Produkte
    MULTIVAC Deutschland GmbH & Co. KG, Wolfertschwenden
  2. IT-Administrator (m/w/d)
    Heinle, Wischer und Partner Freie Architekten GbR, Stuttgart, Berlin, Köln, Dresden
Detailsuche

Darauf aufbauend können diese Informationen auch an Server weitergeleitet werden, die dann entscheiden, ob sich der betroffene Rechner etwa in einem Netzwerk anmelden darf oder nicht. Dieser Schritt wird auch als Remote Attestation bezeichnet. Die Windows-Dokumentation liefert weitere Details zu diesem Ablauf des Bootvorgangs.

Trotz all dieser Vorkehrungen könnte es aber immer noch sein, dass die Firmware selbst durch Angreifer manipuliert wird und es dann nur den Anschein hat, dass verifizierte Komponenten gestartet werden. Auch hier hilft wieder eine Technik, die über TPM 2.0 umgesetzt ist.

Dynamisches Vertrauen in die Firmware

Konkret handelt es sich dabei um den Windows Defender System Guard, mit dem ein Dynamic Root of Trust for Measurement (DRTM) umgesetzt wird. Ziel ist es dabei, dass der Rechner zunächst auch nicht vertrauenswürdigen Code zum Start verwenden kann. Über spezielle CPU-Befehle soll danach jedoch wieder eine sichere Umgebung geschaffen werden können, in der die Firmware sowie der eigentliche Bootloader für das Betriebssystem mit Hilfe des TPM vermessen werden können.

Microsoft Windows 11 Home, Betriebssystem-Software
Golem Akademie
  1. Cloud Computing mit Amazon Web Services (AWS): virtueller Drei-Tage-Workshop
    14.–16. Februar 2022, virtuell
  2. PowerShell Praxisworkshop: virtueller Vier-Tage-Workshop
    20.–23. Dezember 2021, virtuell
Weitere IT-Trainings

Die Arbeiten daran sind Teil von Microsofts Initiative der Secured-Core-PCs, die gemeinsam mit zahlreichen OEM-Herstellern und den CPU-Produzenten umgesetzt wird. Details dazu haben wir bereits zur Ankündigung der Initiative beschrieben.

Das Wichtigste bei all diesen Techniken ist letztlich, dass das Vertrauen in das Überprüfen der Integrität des Bootvorgangs bei der Nutzung von der System-Firmware wie UEFI in Richtung Hardware-Komponenten verschoben wird. Zwar sorgt auch das für Probleme, wie etwa die vielen Angriffe auf Intels Management Engine zeigen - bis hin zum Vollzugriff - oder physische Angriffe auf die TPM-Kommunikation.

Üblicherweise ist aber davon auszugehen, dass das Verändern dieser auch als Ring -3 bezeichneten Komponenten deutlich schwieriger sein sollte als das Verändern darüberliegender Firmware-Schichten wie etwa UEFI. Das gilt auch für das TPM 2.0, das eine eigene Hardware-Komponente ist oder in einem speziell gesicherten Bereich der CPU läuft. Künftig dürfte die Komponente auch durch weitere Hardware abgesichert werden, wie mit Hilfe des von Microsoft erdachten Sicherheitschips Pluton.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Security: Das bringen TPM und Secure Boot für Windows 11
  1.  
  2. 1
  3. 2


Ach 15. Okt 2021 / Themenstart

Wie gesagt, je durchgehender der Schwenk vom Desktop aufs Notebook im Arbeitsumfeld von...

Talhawkins 11. Okt 2021 / Themenstart

Bei TPM und Secure Boot geht es MS wirklich um die Sicherheit der Daten ihrer Kunden...

HiddenX 11. Okt 2021 / Themenstart

Deaktiviert, vorhanden ist ja mehr oder weniger mit jedem Mainboard des letzten...

My1 09. Okt 2021 / Themenstart

Ubuntu kann ohne Probleme sowohl uefi als auch secure boot. Bei custom kernel treibern...

My1 09. Okt 2021 / Themenstart

Wo ist da der sinn dahinter? ich habe selbst Tests gemacht mit einem Board das uefi hat...

Kommentieren



Aktuell auf der Startseite von Golem.de
Pixel 6 und 6 Pro im Test
Google hat es endlich geschafft

Das Pixel 6 und Pixel 6 Pro werden endlich Googles Rang als Android-Macher gerecht: Die Smartphones bieten starke Hardware und sinnvolle Software.
Ein Test von Tobias Költzsch

Pixel 6 und 6 Pro im Test: Google hat es endlich geschafft
Artikel
  1. Apple-Software-Updates: iOS 15.1, iPadOS 15.1, WatchOS 8.1 und TVOS 15.1 verfügbar
    Apple-Software-Updates
    iOS 15.1, iPadOS 15.1, WatchOS 8.1 und TVOS 15.1 verfügbar

    Die ersten größeren Aktualisierungen für iPhone, iPad, Apple Watch und Apple TV sind da. Wer das iPhone 13 verwendet, profitiert besonders.

  2. Desktop-Betriebssystem: Apple MacOS Monterey mit neuem Safari und Fokus-Funktion
    Desktop-Betriebssystem
    Apple MacOS Monterey mit neuem Safari und Fokus-Funktion

    Apple hat die finale Version seines Mac-Betriebssystems MacOS Monterey veröffentlicht. Dabei sind ein neuer Safari-Browser und eine Konzentrationsfunktion.

  3. 20 Jahre Windows XP: Der letzte XP-Fan
    20 Jahre Windows XP
    Der letzte XP-Fan

    Windows XP wird 20 Jahre alt - und nur wenige nutzen es noch täglich. Golem.de hat einen dieser Anwender besucht.
    Ein Interview von Martin Wolf

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Bosch Professional günstiger • Punkte sammeln bei MM für Club-Mitglieder: 1.000 Punkte geschenkt • Alternate (u. a. Apacer 1TB SATA 86,90€ & Team Group 1TB PCIe 4.0 159,90€) • Echo Show 8 (1. Gen.) 64,99€ • Halloween Sale bei Gamesplanet • Smart Home von Eufy günstiger [Werbung]
    •  /