Usaldusväärse platvormi moodul

Usaldusväärse platvormi moodul (inglise Trusted Platform Module ehk TPM) on füüsiline seade, mis pakub turvafunktsioone, sealhulgas krüptimisvõtmete loomist ja talletamist ning riistvara ja tarkvara muudatuste kontrolli.

Ajalugu

Personaalarvuti disaini algusaastatel polnud peaeesmärgiks turvalisus vaid kasutajasõbralikkus. See oli ajendiks suurte tehnoloogiaettevõtete ühise konsortsiumi Trusted Computing Groupi loomisele. Konsortsiumi eesmärgiks oli luua ühisele standardile vastav riistvaraseade, mille abil saaks personaalarvuteid turvalisemaks muuta. Erilist ohtu kujutas senistele süsteemidele internetipõhiste teenuste kiire levik.^[1]

Esimeseks laialdaselt kasutust leidnud versiooniks osutus 2003. aastal väljastatud TPM 1.1b, mis sisaldas baasfunktsioone nagu RSA võtme genereerimine, andmetalletus, autoriseerimine ja süsteemi terviklikkuse atesteerimine. Ründajatel puudus ligipääs võtmetele kuid puudus ka meetod takistada jõurünnet (brute force). Samuti osutusid piiranguks erinevused riistvara tasandil.

2005-2011 arendatud TPM 1.2 sätestas ühtse tarkvara liidese ja viigud TPM komponendil, ehkki spetsifikatsiooni muutis keeruliseks tagasiühilduvus versiooniga 1.1b.

2014 väljastatud TPM 2.0 standard toetab mitmeid kaasaegseid turvalahendusi, sealhulgas sümmeetrilise ja elliptiliste kõverate võtme krüptograafiat ning võimalust kasutada endise SHA1 asemel mistahes räsifunktsiooni. TPM 2.0 versioonil puudub tagasiühilduvus vanemate versioonidega.^[2][3]

Ülesehitus

TPM komponendiks on tavaliselt eraldiseisev mikrokontroller personaalarvutis ning sellel on eraldi protsessor ja mälu. Süsteem suhtleb TPM komponendiga sisend-väljund puhvri abil. Puhver ei pea ilmtingimata olema süsteemist isoleeritud, selleks võib kasutada süsteemi mälu.

Alternatiivseks lahenduseks on TPM koodi töötlemine süsteemi enda protsessoris, mis nõuab mälu isoleerimist nii, et sellele oleks protsessoril ligipääs vaid erirežiimis.

TPM-i omadusi kirjeldab Trusted Computing Groupi spetsifikatsioon.^[4]

Eesmärk

TPM võimaldab luua ning kasutada võtmeid neid ühtlasi operatsioonisüsteemi eest isoleerides, mis kaitseb neid pahavara eest. TPM takistab ka jõurünnet, peatades rünnaku puhul ajutiselt töö.

Süsteemi alglaadimisel kontrollib TPM riistvara ja tarkvara komponentide andmeterviklikkust. Ketta krüpteerimise tarkvara (Bitlocker, dm-crypt) saavad kasutada TPM-i krüptovõtmete genereerimiseks ja talletamiseks. Kasutades PKCS#11 liidest, saab TPM-i kasutada ka internetis turvalisemaks autentimiseks.^[5]

TPM 1.2 vs TPM 2.0

TPM standard jaotab algoritmid kolme kategooriasse: soovituslikud, valikulised ja kohustuslikud.^[6]

Kohustuslikud algoritmid

	TPM 1.2	TPM 2
Räsifunktsioonid	SHA-1	SHA-1 SHA-256 SHA-384
Sümmeetrilised krüptoalgoritmid		AES 128 CFB AES 256 CFB
Asümmeetrilised krüptoalgoritmid	RSA 1024 RSA 2048	RSA 2048 ECC P256 ECC BN256 ECC P384
HMAC	SHA-1	SHA-1 SHA-256 SHA-384