Čip TPM (The Trusted Platform Module) se sám uzamkne, čímž předejde manipulaci nebo útoku. Tomuto se říká uzamčení. Uzamčení čipu TPM trvá různě dlouho, v některých případech až do vypnutí počítače. Pokud je čip TPM v režimu uzamčení a obdrží příkazy, které vyžadují autorizaci, obvykle vrátí chybu. Výjimkou je, že čip TPM v režimu uzamčení vždy dovolí vlastníkovi nejméně jeden pokus o resetování uzamčení čipu TPM. Pokud byl čip TPM přepnut do režimu uzamčení nebo odpovídá na příkazy pomalu, doporučujeme hodnotu uzamčení resetovat. Resetování uzamčení čipu TPM vyžaduje autorizaci vlastníka čipu. Autorizace vlastníka čipu TPM se nastaví ve chvíli, kdy správce poprvé převezme vlastnictví čipu. Heslo autorizace vlastníka se zpracuje pomocí algoritmu hash, který vytvoří hodnotu autorizace vlastníka. Tato se pomocí čipu TPM uloží. Doporučujeme správcům, aby si tuto hodnotu hash autorizace vlastníka uložili do souboru hesla vlastníka čipu TPM s příponou TPM. Tento soubor obsahuje hodnotu hash autorizace vlastníka ve struktuře XML. Z bezpečnostních důvodů soubor hesla vlastníka čipu TPM neobsahuje původní heslo vlastníka. Vlastnictví čipu TPM se obvykle převezme při prvním zapnutí nástroje BitLocker Drive Encryption v počítači. V tomto scénáři je heslo autorizace vlastníka uloženo společně s obnovovacím klíčem nástroje BitLocker. Při ukládání obnovovacího klíče nástroje BitLocker do souboru uloží tento nástroj také soubor hesla vlastníka (TPM) s hodnotou hash hesla vlastníka. Současně s vytištěním obnovovacího klíče nástroje BitLocker je vytištěno také heslo vlastníka čipu TPM. Jsou-li ve vaší organizaci odpovídajícím způsobem nastaveny zásady skupiny, můžete hodnotu hash hesla vlastníka čipu TPM uložit také pomocí služby AD DS (Active Directory Domain Services).

Ochranné mechanizmy čipu TPM

V některých scénářích chrání čip TPM šifrovací klíče tím, že při přístupu ke klíči vyžaduje platnou hodnotu autorizace. (Obvyklým příkladem je konfigurace nástroje BitLocker Encryption pro čip TPM v kombinaci s ochranou klíče pomocí PIN kódu. Aby bylo možné získat přístup k šifrovacímu klíči svazku, který je chráněn čipem TPM, musí uživatel při spouštění počítače zadat správný PIN kód.) Čip TPM předchází pokusům uživatelů se zlými úmysly o zjištění hodnot autorizace, a to implementací zabezpečovací logiky TPM. Zabezpečovací logika je navržena tak, aby zpomalila nebo zastavila odezvy čipu TPM v případě, kdy čip zjistí, že se subjekt pravděpodobně pokouší uhodnout hodnoty autorizace.

Oborový standard organizace Trusted Computing Group (TCG) stanovuje, že výrobci čipů TPM musí v čipech generace 1.2 implementovat nějaký druh zabezpečovací logiky. Jednotliví výrobci čipů TPM implementují různé mechanismy ochrany a chování čipů. Obecným pravidlem pro čipy TPM je to, že při odeslání nesprávných autorizačních hodnot do čipu reaguje čip pokaždé výrazně pomaleji a zpomalení roste při každém dalším neúspěšném pokusu exponenciální řadou. Některé čipy TPM chybné pokusy průběžně neukládají. V jiných čipech TPM se naopak uchovávají trvale. Uživatelům, kteří nesprávně zadají hodnotu autorizace odesílanou čipu TPM, se proto může zdát, že se zpoždění reakcí čipu při každém dalším chybném zadání prodlužují. Během této doby nemohou čip TPM používat. Provedením následujících kroků mohou uživatelé ochranný mechanismus v čipech TPM resetovat.

Poznámka

Zabezpečovací logika v čipu TPM se vztahuje také na hodnotu autorizace vlastníka čipu TPM. Oborový standard stanovuje, že uživatel má povolen minimálně jeden pokus o resetování uzamčení čipu TPM použitím hodnoty autorizace vlastníka, a to i v případě, že je čip TPM uzamčen. Pokud je při pokusu o resetování uzamčení čipu TPM použita nesprávná hodnota, může se čip TPM při dalších pokusech o zadání hodnoty autorizace vlastníka chovat tak, jako kdyby byla zadaná správná hodnota byla nesprávná, nebo tak, jako by byl uzamčen.

 

Resetování uzamčení čipu TPM
  1. Otevřete modul snap-in Správa čipu TPM (tpm.msc).

  2. V podokně Akce klikněte na položku Resetovat uzamčení čipu TPM. Tím spustíte průvodce Resetovat uzamčení čipu TPM.

  3. Zvolte způsob zadání hesla vlastníka čipu TPM:

    • Pokud jste heslo vlastníka čipu TPM uložili do souboru s příponou TPM, klikněte na možnost Mám soubor s heslem vlastníka a potom zadejte cestu k souboru nebo klikněte na tlačítko Procházet a umístění souboru vyhledejte.

    • Jestliže chcete heslo vlastníka čipu TPM zadat ručně, klikněte na možnost Chci zadat heslo vlastníka a do uvedeného pole heslo zadejte. Pokud jste současně s čipem TPM povolili nástroj BitLocker a zvolili jste možnosti tisku hesla pro obnovení nástroje BitLocker při zapnutí nástroje BitLocker, může být na stejném papíře také vytištěno heslo vlastníka čipu TPM.

Jakmile je heslo vlastníka čipu TPM ověřeno, zobrazí se dialogové okno potvrzující, že uzamčení čipu TPM bylo resetováno.

Nejčastější dotazy

Kdy mám resetovat uzamčení čipu TPM?

Nejpravděpodobnější scénář je takový, že si uživatelé při spouštění počítače při použití funkce ochrany pomocí klíče (tzn. čipu TPM a PIN kódu) a při zadání nesprávného PIN kódu všimnou pomalých reakcí počítače. Může se zdát, že počítač delší dobu nereaguje, a následně se zobrazí informace o tom, že uživatel zadal nesprávný PIN kód a že čip TPM byl uzamčen. Pokud je čip TPM uzamčen, je také možné, že uživatel zadá správný PIN kód, ale čip TPM bude určitou dobu reagovat tak, jako kdyby byl zadán nesprávný PIN kód. Podobné chování lze sledovat také u dalších aplikací využívajících čip TPM s hodnotami autorizace. Pravděpodobnější však je to, že pokud je již spuštěn operační systém, nebude reagovat pouze aplikace komunikující s čipem TPM. Vzhledem k tomu, že se v čipu TPM mohou trvale uchovávat všechny neúspěšné pokusy o zadání hodnot autorizace, mohou se uživatelé rozhodnout resetovat uzamčení čipu TPM, pokud se jim často stává, že hodnoty autorizace zadají nesprávně (například PIN kód nástroje BitLocker).

Jaké chování mám očekávat v případě, že je aktivována zabezpečovací logika čipu TPM pro ochranu hodnot autorizace?

Chování hardwarové platformy se bude lišit v závislosti na volbách implementace nakonfigurovaných výrobcem platformy. Obecně se očekává, že výrobci hardwaru nastaví čip TPM tak, aby v případě nesprávného zadání rostlo zpoždění, s jakým bude čip reagovat, exponenciální řadou. Je také možné, že čip bude reagovat TPM bez zpoždění, ale bude se po určitou dobu chovat tak, jako kdyby správná hodnota autorizace byla nesprávná. Konkrétnější informace o chování čipu získáte od výrobce platformy.

Pokud je čip TPM při používání nástroje BitLocker aktuálně uzamčen, bude mít uživatel při spouštění počítače možnost otevřít konzolu pro obnovení nástroje BitLocker nebo počkat a pak PIN kód zadat znovu.

Po spuštění systému Windows se budou v modulu snap-in Správa čipu TPM u položky stavu čipu TPM zobrazovat informace o tom, že čip je aktuálně uzamčen.

Pokud je čip TPM uzamčen a jsou zadány příkazy týkající se hodnot autorizace nebo spojené s pokusem o odeslání hesla vlastníka do čipu TPM, dojde k chybě čipu TPM.

Jak mám postupovat, pokud si nepamatuji své heslo vlastníka čipu TPM?

Je možné, že byla hodnota hash autorizace vlastníka čipu TPM uložena do souboru s příponou TPM, když správce na začátku převzal vlastnictvím čipu TPM v počítači. Zkuste v systému vyhledat soubor s příponou TPM. Pokud jste si vytisknuli heslo pro obnovení nástroje BitLocker, mohlo být spolu s ním vytištěno také heslo vlastníka čipu TPM. Nemůžete-li heslo vlastníka čipu TPM najít, můžete čip TPM vymazat a znovu převzít vlastnictví. V takovém případě je nutné postupovat obezřetně, protože data šifrovaná pomocí čipu TPM budou ztracena. Používáte-li nástroj BitLocker, je nutné před vymazáním čipu TPM nástroj BitLocker pozastavit nebo vypnout. Další informace o způsobu mazání čipů TPM naleznete v tématu Vymazání čipu TPM.

Je důležité udržovat hodnotu hash autorizace vlastníka čipu TPM v tajnosti?

Ano. Ano, pokud by k vaší hodnotě hash autorizace vlastníka TPM získal přístup uživatel se zlými úmysly, mohl by se několikrát pokusit odhadnout hodnotu autorizace šifrovacího klíče (například PIN kód nástroje BitLocker), vyresetovat uzamčení čipu TPM pomocí hodnoty hash autorizace vlastníka čipu TPM, a tímto způsobem pokračovat do nekonečna. Nakonec by se mohlo stát, že by mohl hodnotu autorizace odhadnout, pokud by byla krátká.

Jaký je vztah hesla vlastníka čipu TPM k hodnotě hash autorizace vlastníka čipu TPM?

Hodnota hash autorizace hesla vlastníka čipu TPM se vytváří pomocí algoritmu SHA-1 a má kódování Base64.