6 trang 7 lượt tải

Hệ điều hành về Bảo mật hệ thống môn Hệ điều hành | Đại học Công nghiệp Thực phẩm Thành phố Hồ Chí Minh

Mô-đun nền tảng đáng tin cậy (TPM , còn được gọi là ISO / IEC 11889) là tiêu chuẩn quốc tế dành cho Secure cryptoprocessor (bộ vi xử lí mật mã), một bộ vi điều khiển chuyên dụng được thiết kế để bảo mật phần cứng thông qua các khóa mật mã tích hợp. Tài liệu được sưu tầm gồm 6 trang, giúp các bạn ôn luyện và phục vụ cho việc học tập, đạt kết quả tốt. Mời các bạn đón xem!

Môn: Hệ điều hành (HUFI) 10 tài liệu

Trường: Đại học Công nghiệp Thực phẩm Thành phố Hồ Chí Minh 252 tài liệu

Tác giả:

My Lữ

4 ngày trước

Danh sách Quiz

I. Trusted Platform Module

Mô-đun nền tảng đáng tin cậy ( TPM , còn được gọi là ISO / IEC 11889 ) là tiêu chuẩn

quốc tế dành cho Secure cryptoprocessor ( bộ vi xử lí mật mã ), một bộ vi điều khiển

chuyên dụng được thiết kế để bảo mật phần cứng thông qua các khóa mật mã tích hợp.

Thuật ngữ này cũng có thể đề cập đến một con chip phù hợp với tiêu chuẩn.

TPM được sử dụng để Quản lý quyền kỹ thuật số (DRM) , Windows Defender , đăng nhập

Windows Domain, bảo vệ và thực thi giấy phép phần mềm cũng như ngăn chặn gian lận

trong trò chơi trực tuyến .

Một trong những yêu cầu hệ thống của Windows 11 là TPM 2.0. Microsoft đã tuyên bố

rằng điều này là để giúp tăng cường bảo mật chống lại các cuộc tấn công phần sụn và

ransomware.

1. Tổng quan về Trusted Platform Module- Trình tạo số ngẫu nhiên

phần cứng .

- Các tiện ích để tạo khóa mật mã an toàn cho các mục đích sử dụng hạn chế.-

Chứng thực từ xa : Tạo một bản tóm tắt khóa băm gần như không thể kiểm chứng

được về cấu hình phần cứng và phần mềm. Người ta có thể sử dụng hàm băm để

xác minh rằng phần cứng và phần mềm không bị thay đổi. Phần mềm phụ trách thiết

lập băm xác định mức độ của bản tóm tắt.

- Ràng buộc: Mã hóa dữ liệu bằng khóa liên kết TPM, một khóa RSA duy nhất

cónguồn gốc từ khóa lưu trữ

- Niêm phong : Tương tự như ràng buộc, nhưng ngoài ra, chỉ định trạng thái

TPMcho dữ liệu được giải mã (chưa được niêm phong).

- Các chức năng Máy tính Tin cậy khác để dữ liệu được giải mã (chưa được

niêmphong).

2. Bất kỳ ứng dụng nào cũng có thể sử dụng chip TPM để:

- Quản lý quyền kỹ thuật số (DRM)

- Bộ bảo vệ Windows

- Đăng nhập miền Windows

- Bảo vệ và thực thi giấy phép phần mềm

- Phòng chống gian lận trong trò chơi trực tuyến

3. Phân loại TPM

*Có năm loại triển khai TPM 2.0 khác nhau (được liệt kê theo thứ tự từ an toàn nhất đến

kém an toàn nhất):

- TPM rời rạc là các chip chuyên dụng thực hiện chức năng TPM trong gói bán dẫn

chống giả mạo của riêng chúng. Về mặt lý thuyết, chúng là loại TPM an toàn nhất

vì các quy trình được triển khai trong phần mềm và các gói của chúng được yêu cầu

triển khai một số khả năng chống giả mạo.

- TPM tích hợp là một phần của chip khác. Mặc dù chúng sử dụng phần cứng chống

lại lỗi phần mềm, nhưng chúng không bắt buộc phải thực hiện khả năng chống giả

mạo. Intel đã tích hợp TPM trong một số chipset của mình.

- TPM phần sụn (fTPM) là các giải pháp dựa trên phần sụn (ví dụ: UEFI ) chạy trong

môi trường thực thi đáng tin cậy của CPU . Intel, AMD và Qualcomm đã triển khai

TPM phần sụn.

- TPM Hypervisor (vTPM) là TPM ảo được cung cấp và dựa vào hypervisor , trong

một môi trường thực thi biệt lập được ẩn khỏi phần mềm chạy bên trong máy ảo để

bảo mật mã của chúng khỏi phần mềm trong máy ảo. Chúng có thể cung cấp một

mức độ bảo mật tương đương với một TPM phần sụn.

- TPM phần mềm là phần mềm giả lập TPM chạy không được bảo vệ nhiều hơn một

chương trình thông thường nằm trong hệ điều hành. Chúng phụ thuộc hoàn toàn vào

môi trường mà chúng chạy trong đó, vì vậy chúng không cung cấp bảo mật nhiều

hơn những gì có thể được cung cấp bởi môi trường thực thi thông thường và chúng

dễ bị tấn công và lỗi phần mềm của chính chúng đang xâm nhập vào môi trường

thực thi bình thường.

4. Các thông tin liên quan đến TPM

* Công nghệ DRM chi phối việc sử dụng, sửa đổi và phân phối các tác

phẩm cóbản quyền (chẳng hạn như phần mềm và nội dung đa phương tiện), cũng

như các hệ thống thực thi các chính sách này trong các thiết bị.

* Giấy phép phần mềm là một công cụ pháp lý quản lý việc sử dụng

hoặc phânphối lại phần mềm. Hai danh mục phổ biến cho phần mềm theo luật

bản quyền, và do đó với các giấy phép cấp cho bên được cấp phép các quyền cụ

thể, là phần mềm độc quyền và phần mềm nguồn mở

* TPM là một mô-đun mật mã giúp tăng cường bảo mật và quyền riêng

tư của máytính. Bảo vệ dữ liệu thông qua mã hóa và giải mã, bảo vệ thông tin

xác thực và chứng minh phần mềm nào đang chạy trên hệ thống là các chức năng

cơ bản liên quan đến bảo mật máy tính. TPM giúp giải quyết tất cả các tình

huống này và hơn thế nữa.

* TPM là thụ động: chúng nhận lệnh và trả về phản hồi. Để nhận ra toàn

bộ lợi íchcủa TPM, OEM phải tích hợp cẩn thận phần cứng và phần sụn hệ thống

với TPM để gửi các lệnh và phản ứng lại các phản hồi của nó. TPM ban đầu

được thiết kế để cung cấp các lợi ích về bảo mật và quyền riêng tư cho chủ sở

hữu và người dùng của nền tảng, nhưng các phiên bản mới hơn có thể cung cấp

các lợi ích về bảo mật và quyền riêng tư cho chính phần cứng hệ thống. Tuy

nhiên, trước khi nó có thể được sử dụng cho các tình huống nâng cao, TPM phải

được cung cấp. Windows tự động cung cấp TPM, nhưng nếu người dùng định

cài đặt lại hệ điều hành, họ có thể cần phải xóa TPM trước khi cài đặt lại để

Windows có thể tận dụng tối đa TPM.

II. SELF-ENCRYPTING DRIVE ( Ổ đĩa tự động mã hóa )

1. Tổng quan

Ổ đĩa tự mã hóa (SED) mã hóa dữ liệu khi nó được ghi vào đĩa. Mỗi đĩa có một khóa

mã hóa đĩa (DEK) được đặt tại nhà máy và được lưu trữ trên đĩa. Đĩa sử dụng DEK để mã

hóa dữ liệu khi nó ghi và sau đó để giải mã dữ liệu khi nó được đọc từ đĩa. Hoạt động của

đĩa cũng như mã hóa và giải mã của nó, là minh bạch đối với người dùng đang đọc và ghi

dữ liệu. Chế độ mã hóa và giải mã mặc định này được gọi là chế độ xóa an toàn . Trong

chế độ xóa an toàn, bạn không cần khóa xác thực hoặc mật khẩu để giải mã và đọc dữ liệu.

SED cung cấp các khả năng được cải thiện để xóa an toàn nhanh chóng và dễ dàng trong

các tình huống khi đĩa phải được thay thế hoặc trả lại vì lý do hỗ trợ hoặc bảo hành

Có hai chế độ chính trên SED :

• Chế độ xóa an toàn ( mặc định ) Chế độ khóa tự động ( chế độ bổ sung )

Lợi ích của SED :

• Dễ thiết lập hơn (so với mã hóa dựa trên phần mềm)

• Đáng chú ý là minh bạch đối với người dùng, ngoại trừ xác thực khởi động ban

đầu.

• Bảo vệ dữ liệu lúc còn lại.

• Tăng hiệu suất (CPU được giải phóng khỏi các tính toán để mã hóa và giải mã).

• CPU và RAM chính bị loại bỏ vì có thể là mục tiêu tấn công.

• Xóa đĩa (vệ sinh) nhanh và #Secure tối ưu (bất kể kích thước đĩa).

• Bảo vệ khỏi các phương pháp khởi động thay thế do khả năng mã hóa MBR,

khiến ổ đĩa không thể truy cập được trước khi xác thực trước khi khởi động.

2. Khóa Các SED

• Chúng ta có thể định cấu hình đĩa chạy ở chế độ tự động khóa bằng cách tạo kho

khóa và xác định khóa xác thực cho máy chủ và đĩa lưu trữ của bạn khi hệ thống

được cài đặt trong trung tâm dữ liệu của bạn. Nếu bạn chọn không tự động khóa

đĩa trong khi cài đặt hệ thống, bạn có thể khóa chúng sau. Quá trình tự động khóa

đĩa chiếm khá nhiều tài nguyên , sẽ ngừng các hoạt động hệ thống.

• Định cấu hình các SED để hoạt động ở chế độ tự động khóa, chúng ta phải đảm

bảo sự phù hợp với môi trường làm việc của mình. Trong quá trình định cấu

hình, không thể tắt hoặc hoàn tác chế độ tự động khóa cho SED.

3. Mở khóa SED

Sau khi các SED của bạn đang hoạt động ở chế độ tự động khóa, bạn có thể mở khóa

và khôi phục chúng về chế độ xóa an toàn mặc định, nhưng quá trình này cần có sự hỗ trợ

đáng kể từ Bộ Phận Hỗ Trợ

4. Kho khóa SED

Để hỗ trợ thêm tính năng tự động khóa cho các SED, chúng ta phải tạo và quản lý

một kho khóa để chứa các AEK cho các ổ đĩa lưu trữ và SPU.

5. Các bước cấu hình Trình quản lý vòng đời khóa bảo mật của IBM

Khi làm việc với quản trị viên hệ thống IBM Security Key Lifecycle Manager

(ISKLM) của bạn để định cấu hình máy chủ ISKLM để giao tiếp với thiết bị NPS .

*Các bước cần thiết để thiết lập máy chủ ISKLM.

• Thiết lập máy chủ ISKLM

• Thiết lập thiết bị NPS

• Kiểm tra kết nối máy chủ ISKLM

• Chuẩn bị chuyển từ kho khóa cục bộ sang kho khóa ISKLM

• Chuyển từ kho khóa cục bộ sang ISKLM Tắt bộ nhớ ISKLM AEK

• Chuyển từ ISKLM sang kho khóa cục bộ

6. Khóa xác thực SED

Bạn có thể tạo và áp dụng khóa xác thực để tự động khóa các ổ đĩa lưu trữ và các ổ

đĩa trong mảng lưu trữ.

Bạn nên sử dụng lệnh để tự động tạo AEK ngẫu nhiên, phù hợp cho máy chủ lưu

trữ hoặc ổ đĩa SPU và lưu trữ nó trong kho khóa cục bộ của bạn hoặc trong Trình quản lý

vòng đời khóa bảo mật ISM nếu bạn đã định cấu hình hỗ trợ đó cho thiết bị của mình.

Yêu cầu khóa xác thực :

• Giá trị khóa phải có độ dài 32 byte.

• Chìa khóa là phân biệt chữ hoa chữ thường.

• Khóa phải chứa ít nhất một số, một chữ thường, một chữ hoa và một ký tự không

phải chữ và số (ví dụ: <> @ +). Bạn không thể chỉ định khoảng trống, ký tự

ngoặc kép, ký tự ngoặc kép, dấu chấm than hoặc dấu bằng trong giá trị khóa.

Bấm Tải xuống để xem toàn bộ.

Preview text:

I. Trusted Platform Module
Mô-đun nền tảng đáng tin cậy ( TPM , còn được gọi là ISO / IEC 11889 ) là tiêu chuẩn
quốc tế dành cho Secure cryptoprocessor ( bộ vi xử lí mật mã ), một bộ vi điều khiển
chuyên dụng được thiết kế để bảo mật phần cứng thông qua các khóa mật mã tích hợp.
Thuật ngữ này cũng có thể đề cập đến một con chip phù hợp với tiêu chuẩn.
TPM được sử dụng để Quản lý quyền kỹ thuật số (DRM) , Windows Defender , đăng nhập
Windows Domain, bảo vệ và thực thi giấy phép phần mềm cũng như ngăn chặn gian lận
trong trò chơi trực tuyến .
Một trong những yêu cầu hệ thống của Windows 11 là TPM 2.0. Microsoft đã tuyên bố
rằng điều này là để giúp tăng cường bảo mật chống lại các cuộc tấn công phần sụn và ransomware.
1. Tổng quan về Trusted Platform Module- Trình tạo số ngẫu nhiên phần cứng . -
Các tiện ích để tạo khóa mật mã an toàn cho các mục đích sử dụng hạn chế.-
Chứng thực từ xa : Tạo một bản tóm tắt khóa băm gần như không thể kiểm chứng
được về cấu hình phần cứng và phần mềm. Người ta có thể sử dụng hàm băm để
xác minh rằng phần cứng và phần mềm không bị thay đổi. Phần mềm phụ trách thiết
lập băm xác định mức độ của bản tóm tắt. -
Ràng buộc: Mã hóa dữ liệu bằng khóa liên kết TPM, một khóa RSA duy nhất
cónguồn gốc từ khóa lưu trữ -
Niêm phong : Tương tự như ràng buộc, nhưng ngoài ra, chỉ định trạng thái
TPMcho dữ liệu được giải mã (chưa được niêm phong). -
Các chức năng Máy tính Tin cậy khác để dữ liệu được giải mã (chưa được niêmphong).
2. Bất kỳ ứng dụng nào cũng có thể sử dụng chip TPM để:
- Quản lý quyền kỹ thuật số (DRM) - Bộ bảo vệ Windows
- Đăng nhập miền Windows
- Bảo vệ và thực thi giấy phép phần mềm
- Phòng chống gian lận trong trò chơi trực tuyến 3. Phân loại TPM
*Có năm loại triển khai TPM 2.0 khác nhau (được liệt kê theo thứ tự từ an toàn nhất đến kém an toàn nhất):
- TPM rời rạc là các chip chuyên dụng thực hiện chức năng TPM trong gói bán dẫn
chống giả mạo của riêng chúng. Về mặt lý thuyết, chúng là loại TPM an toàn nhất
vì các quy trình được triển khai trong phần mềm và các gói của chúng được yêu cầu
triển khai một số khả năng chống giả mạo.
- TPM tích hợp là một phần của chip khác. Mặc dù chúng sử dụng phần cứng chống
lại lỗi phần mềm, nhưng chúng không bắt buộc phải thực hiện khả năng chống giả
mạo. Intel đã tích hợp TPM trong một số chipset của mình.
- TPM phần sụn (fTPM) là các giải pháp dựa trên phần sụn (ví dụ: UEFI ) chạy trong
môi trường thực thi đáng tin cậy của CPU . Intel, AMD và Qualcomm đã triển khai TPM phần sụn.
- TPM Hypervisor (vTPM) là TPM ảo được cung cấp và dựa vào hypervisor , trong
một môi trường thực thi biệt lập được ẩn khỏi phần mềm chạy bên trong máy ảo để
bảo mật mã của chúng khỏi phần mềm trong máy ảo. Chúng có thể cung cấp một
mức độ bảo mật tương đương với một TPM phần sụn.
- TPM phần mềm là phần mềm giả lập TPM chạy không được bảo vệ nhiều hơn một
chương trình thông thường nằm trong hệ điều hành. Chúng phụ thuộc hoàn toàn vào
môi trường mà chúng chạy trong đó, vì vậy chúng không cung cấp bảo mật nhiều
hơn những gì có thể được cung cấp bởi môi trường thực thi thông thường và chúng
dễ bị tấn công và lỗi phần mềm của chính chúng đang xâm nhập vào môi trường thực thi bình thường.
4. Các thông tin liên quan đến TPM
* Công nghệ DRM chi phối việc sử dụng, sửa đổi và phân phối các tác
phẩm cóbản quyền (chẳng hạn như phần mềm và nội dung đa phương tiện), cũng
như các hệ thống thực thi các chính sách này trong các thiết bị.
* Giấy phép phần mềm là một công cụ pháp lý quản lý việc sử dụng
hoặc phânphối lại phần mềm. Hai danh mục phổ biến cho phần mềm theo luật
bản quyền, và do đó với các giấy phép cấp cho bên được cấp phép các quyền cụ
thể, là phần mềm độc quyền và phần mềm nguồn mở
* TPM là một mô-đun mật mã giúp tăng cường bảo mật và quyền riêng
tư của máytính. Bảo vệ dữ liệu thông qua mã hóa và giải mã, bảo vệ thông tin
xác thực và chứng minh phần mềm nào đang chạy trên hệ thống là các chức năng
cơ bản liên quan đến bảo mật máy tính. TPM giúp giải quyết tất cả các tình
huống này và hơn thế nữa.
* TPM là thụ động: chúng nhận lệnh và trả về phản hồi. Để nhận ra toàn
bộ lợi íchcủa TPM, OEM phải tích hợp cẩn thận phần cứng và phần sụn hệ thống
với TPM để gửi các lệnh và phản ứng lại các phản hồi của nó. TPM ban đầu
được thiết kế để cung cấp các lợi ích về bảo mật và quyền riêng tư cho chủ sở
hữu và người dùng của nền tảng, nhưng các phiên bản mới hơn có thể cung cấp
các lợi ích về bảo mật và quyền riêng tư cho chính phần cứng hệ thống. Tuy
nhiên, trước khi nó có thể được sử dụng cho các tình huống nâng cao, TPM phải
được cung cấp. Windows tự động cung cấp TPM, nhưng nếu người dùng định
cài đặt lại hệ điều hành, họ có thể cần phải xóa TPM trước khi cài đặt lại để
Windows có thể tận dụng tối đa TPM.
II. SELF-ENCRYPTING DRIVE ( Ổ đĩa tự động mã hóa ) 1. Tổng quan
Ổ đĩa tự mã hóa (SED) mã hóa dữ liệu khi nó được ghi vào đĩa. Mỗi đĩa có một khóa
mã hóa đĩa (DEK) được đặt tại nhà máy và được lưu trữ trên đĩa. Đĩa sử dụng DEK để mã
hóa dữ liệu khi nó ghi và sau đó để giải mã dữ liệu khi nó được đọc từ đĩa. Hoạt động của
đĩa cũng như mã hóa và giải mã của nó, là minh bạch đối với người dùng đang đọc và ghi
dữ liệu. Chế độ mã hóa và giải mã mặc định này được gọi là chế độ xóa an toàn . Trong
chế độ xóa an toàn, bạn không cần khóa xác thực hoặc mật khẩu để giải mã và đọc dữ liệu.
SED cung cấp các khả năng được cải thiện để xóa an toàn nhanh chóng và dễ dàng trong
các tình huống khi đĩa phải được thay thế hoặc trả lại vì lý do hỗ trợ hoặc bảo hành
Có hai chế độ chính trên SED :
• Chế độ xóa an toàn ( mặc định ) Chế độ khóa tự động ( chế độ bổ sung ) Lợi ích của SED :
• Dễ thiết lập hơn (so với mã hóa dựa trên phần mềm)
• Đáng chú ý là minh bạch đối với người dùng, ngoại trừ xác thực khởi động ban đầu.
• Bảo vệ dữ liệu lúc còn lại.
• Tăng hiệu suất (CPU được giải phóng khỏi các tính toán để mã hóa và giải mã).
• CPU và RAM chính bị loại bỏ vì có thể là mục tiêu tấn công.
• Xóa đĩa (vệ sinh) nhanh và #Secure tối ưu (bất kể kích thước đĩa).
• Bảo vệ khỏi các phương pháp khởi động thay thế do khả năng mã hóa MBR,
khiến ổ đĩa không thể truy cập được trước khi xác thực trước khi khởi động. 2. Khóa Các SED
• Chúng ta có thể định cấu hình đĩa chạy ở chế độ tự động khóa bằng cách tạo kho
khóa và xác định khóa xác thực cho máy chủ và đĩa lưu trữ của bạn khi hệ thống
được cài đặt trong trung tâm dữ liệu của bạn. Nếu bạn chọn không tự động khóa
đĩa trong khi cài đặt hệ thống, bạn có thể khóa chúng sau. Quá trình tự động khóa
đĩa chiếm khá nhiều tài nguyên , sẽ ngừng các hoạt động hệ thống.
• Định cấu hình các SED để hoạt động ở chế độ tự động khóa, chúng ta phải đảm
bảo sự phù hợp với môi trường làm việc của mình. Trong quá trình định cấu
hình, không thể tắt hoặc hoàn tác chế độ tự động khóa cho SED. 3. Mở khóa SED
Sau khi các SED của bạn đang hoạt động ở chế độ tự động khóa, bạn có thể mở khóa
và khôi phục chúng về chế độ xóa an toàn mặc định, nhưng quá trình này cần có sự hỗ trợ
đáng kể từ Bộ Phận Hỗ Trợ 4. Kho khóa SED
Để hỗ trợ thêm tính năng tự động khóa cho các SED, chúng ta phải tạo và quản lý
một kho khóa để chứa các AEK cho các ổ đĩa lưu trữ và SPU.
5. Các bước cấu hình Trình quản lý vòng đời khóa bảo mật của IBM
Khi làm việc với quản trị viên hệ thống IBM Security Key Lifecycle Manager
(ISKLM) của bạn để định cấu hình máy chủ ISKLM để giao tiếp với thiết bị NPS .
*Các bước cần thiết để thiết lập máy chủ ISKLM.
• Thiết lập máy chủ ISKLM
• Thiết lập thiết bị NPS
• Kiểm tra kết nối máy chủ ISKLM
• Chuẩn bị chuyển từ kho khóa cục bộ sang kho khóa ISKLM
• Chuyển từ kho khóa cục bộ sang ISKLM Tắt bộ nhớ ISKLM AEK
• Chuyển từ ISKLM sang kho khóa cục bộ 6. Khóa xác thực SED
Bạn có thể tạo và áp dụng khóa xác thực để tự động khóa các ổ đĩa lưu trữ và các ổ
đĩa trong mảng lưu trữ.
Bạn nên sử dụng lệnh để tự động tạo AEK ngẫu nhiên, phù hợp cho máy chủ lưu
trữ hoặc ổ đĩa SPU và lưu trữ nó trong kho khóa cục bộ của bạn hoặc trong Trình quản lý
vòng đời khóa bảo mật ISM nếu bạn đã định cấu hình hỗ trợ đó cho thiết bị của mình.
Yêu cầu khóa xác thực :
• Giá trị khóa phải có độ dài 32 byte.
• Chìa khóa là phân biệt chữ hoa chữ thường.
• Khóa phải chứa ít nhất một số, một chữ thường, một chữ hoa và một ký tự không
phải chữ và số (ví dụ: <> @ +). Bạn không thể chỉ định khoảng trống, ký tự
ngoặc kép, ký tự ngoặc kép, dấu chấm than hoặc dấu bằng trong giá trị khóa.

Hệ điều hành về Bảo mật hệ thống môn Hệ điều hành | Đại học Công nghiệp Thực phẩm Thành phố Hồ Chí Minh

Tài liệu liên quan:

350 Câu hỏi trắc nghiệm về Hệ điều hành Linux có đáp án | Đại học Công nghiệp Thực phẩm Thành phố Hồ Chí Minh

Giáo trình môn Hệ điều hành | Đại học Công nghiệp Thực phẩm Thành phố Hồ Chí Minh

Câu hỏi ôn tập trắc nghiệm môn Hệ điều hành | Đại học Công nghiệp Thực phẩm Thành phố Hồ Chí Minh

Quản lý bộ nhớ: Tổng quát về swapping môn Hệ điều hành | Đại học Công nghiệp Thực phẩm Thành phố Hồ Chí Minh