Η Μονάδα αξιόπιστης πλατφόρμας (TPM) διακόπτει αυτόματα τη λειτουργία της με σκοπό την αποτροπή επεμβάσεων ή επιθέσεων. Αυτό αποκαλείται "κλείδωμα". Το κλείδωμα της TPM συνήθως έχει μεταβλητή χρονική διάρκεια ή ισχύει μέχρις ότου απενεργοποιηθεί ο υπολογιστής. Όσο η TPM βρίσκεται σε κατάσταση κλειδώματος, γενικά επιστρέφει σφάλμα όταν λαμβάνει εντολές που απαιτούν τιμή εξουσιοδότησης. Μία εξαίρεση είναι το γεγονός ότι η TPM επιτρέπει πάντοτε στον κάτοχο τουλάχιστον μία προσπάθεια επαναφοράς του κλειδώματος. Αν η TPM στο σύστημά σας έχει μπει σε κατάσταση κλειδώματος ή ανταποκρίνεται αργά στις εντολές, προτείνουμε να κάνετε επαναφορά της τιμής κλειδώματος. Για την επαναφορά του κλειδώματος της TPM, απαιτείται η εξουσιοδότηση κατόχου TPM. Η εξουσιοδότηση κατόχου TPM ορίζεται όταν ο διαχειριστής αρχικά αναλαμβάνει την κατοχή της TPM. Στον κωδικό εξουσιοδότησης κατόχου εφαρμόζεται κατακερματισμός για να παραχθεί μια τιμή εξουσιοδότησης κατόχου, η οποία αποθηκεύεται από την TPM. Προτείνεται ο διαχειριστής να αποθηκεύσει την τιμή κατακερματισμού της εξουσιοδότησης κατόχου σε ένα αρχείο κωδικού πρόσβασης κατόχου TPM με επέκταση .tpm, το οποίο θα περιέχει την τιμή κατακερματισμού εξουσιοδότησης κατόχου μέσα σε μια δομή XML. Για ασφάλεια, το αρχείο με τον κωδικό πρόσβασης κατόχου TPM δεν περιέχει τον αρχικό κωδικό πρόσβασης κατόχου. Η κατοχή της TPM συνήθως ορίζεται την πρώτη φορά που θα ενεργοποιηθεί η Κρυπτογράφηση μονάδων δίσκου BitLocker για τον υπολογιστή. Στο σενάριο αυτό, ο κωδικός πρόσβασης εξουσιοδότησης κατόχου TPM αποθηκεύεται μαζί με το κλειδί αποκατάστασης BitLocker. Όταν το κλειδί αποκατάστασης BitLocker αποθηκεύται σε ένα αρχείο, η λειτουργία BitLocker αποθηκεύει επίσης ένα αρχείο κωδικού πρόσβασης κατόχου TPM (.tpm) μαζί με την τιμή κατακερματισμού του κωδικού πρόσβασης κατόχου TPM. Όταν εκτυπώνεται το κλειδί αποκατάστασης BitLocker, εκτυπώνεται ταυτόχρονα και ο κωδικός πρόσβασης κατόχου TPM. Μπορείτε επίσης να αποθηκεύσετε την τιμή κατακερματισμού του κωδικού πρόσβασης κατόχου TPM στις υπηρεσίες τομέα Active Directory (AD DS), εφόσον έχει γίνει σχετική ρύθμιση παραμέτρων για τις πολιτικές ομάδας της εταιρείας σας.

Κατανόηση των μηχανισμών προστασίας της TPM

Σε ορισμένα σενάρια, τα κλειδιά κρυπτογράφησης προστατεύονται από μία TPM καθώς για την πρόσβαση σε ένα κλειδί απαιτείται μια έγκυρη τιμή εξουσιοδότησης. (Ένα συνηθισμένο παράδειγμα είναι η ρύθμιση παραμέτρων της Κρυπτογράφησης μονάδων δίσκου BitLocker για χρήση TPM + προστασίας κλειδιού με PIN, όπου ο χρήστης πρέπει να πληκτρολογήσει το σωστό PIN κατά την εκκίνηση ώστε να έχει πρόσβαση στο κλειδί κρυπτογράφησης τόμου που προστατεύεται από την TPM.) Για να μην μπορούν κακόβουλα προγράμματα/χρήστες να ανακαλύψουν τις τιμές εξουσιοδότησης, οι TPM εφαρμόζουν μια λογική προστασίας. Η λογική προστασίας έχει σχεδιαστεί ώστε να επιβραδύνει ή να διακόπτει την ανταπόκριση της TPM σε περίπτωση που εντοπίσει ότι κάποια οντότητα ενδέχεται να προσπαθεί να μαντέψει τις τιμές εξουσιοδότησης.

Τα πρότυπα του οργανισμού Trusted Computing Group (TCG) ορίζουν ότι οι κατασκευαστές TPM πρέπει να υλοποιούν κάποια μορφή λογικής προστασίας στα τσιπ TPM 1.2. Διαφορετικοί κατασκευαστές TPM υλοποιούν διαφορετικούς μηχανισμούς και συμπεριφορές προστασίας. Η γενική οδηγία είναι ότι η ανταπόκριση από ένα τσιπ TPM πρέπει να επιβραδύνεται εκθετικά εάν στην TPM στέλνονται λανθασμένες τιμές εξουσιοδότησης. Ορισμένα τσιπ TPM ενδέχεται να μην αποθηκεύουν τις αποτυχημένες προσπάθειες που έχουν γίνει. Άλλα τσιπ TPM ενδέχεται να αποθηκεύουν κάθε αποτυχημένη προσπάθεια, για πάντα. Επομένως, μερικοί χρήστες ενδέχεται να αντιμετωπίζουν ολοένα αυξανόμενες καθυστερήσεις όταν πληκτρολογούν λανθασμένα μια τιμή εξουσιοδότησης που αποστέλλεται στην TPM, πράγμα που στην ουσία θα εμποδίζει τη χρήση της TPM για κάποιο χρονικό διάστημα. Οι χρήστες μπορούν να επαναφέρουν τους μηχανισμούς προστασίας της TPM, ακολουθώντας την παρακάτω διαδικασία.

Σημείωση

Η λογική προστασίας στην TPM ισχύει επίσης και για την τιμή εξουσιοδότησης κατόχου TPM. Τα πρότυπα ορίζουν ότι επιτρέπεται στον χρήστη τουλάχιστον μία προσπάθεια επαναφοράς του κλειδώματος της TPM χρησιμοποιώντας την τιμή εξουσιοδότησης κατόχου, ακόμη κι αν η TPM είναι σε κατάσταση κλειδώματος. Αν χρησιμοποιηθεί λανθασμένη τιμή κατά την προσπάθεια επαναφοράς του κλειδώματος της TPM, τότε, στις επόμενες προσπάθειες εισαγωγής της τιμής εξουσιοδότησης κατόχου, η TPM ενδέχεται να ανταποκριθεί αντιμετωπίζοντας τη σωστή τιμή ως λανθασμένη ή να ανταποκριθεί ότι η TPM έχει κλειδωθεί.

 

Για να κάνετε επαναφορά του κλειδώματος της TPM
  1. Ανοίξτε το συμπληρωματικό πρόγραμμα "Διαχείριση TPM" (tpm.msc).

  2. Στο μενού Ενέργεια, κάντε κλικ στην επιλογή Επαναφορά κλειδώματος TPM για να ξεκινήσετε τον οδηγό επαναφοράς κλειδώματος TPM.

  3. Επιλέξτε τη μέθοδο εισαγωγής του κωδικού πρόσβασης κατόχου TPM:

    • Αν έχετε αποθηκεύσει τον κωδικό πρόσβασης κατόχου TPM σε ένα αρχείο .tpm, κάντε κλικ στην επιλογή Διαθέτω το αρχείο κωδικού πρόσβασης του κατόχου και, στη συνέχεια, πληκτρολογήστε τη διαδρομή του αρχείου ή πατήστε Αναζήτηση για να εντοπίσετε τη θέση του αρχείου.

    • Αν θέλετε να πληκτρολογήσετε με μη αυτόματο τρόπο τον κωδικό πρόσβασης κατόχου TPM, επιλέξτε Εισαγωγή του κωδικού πρόσβασης του κατόχου και, στη συνέχεια, πληκτρολογήστε τον στον παρεχόμενο χώρο. Αν έχετε ενεργοποιήσει το BitLocker και την TPM ταυτόχρονα και επιλέξατε να εκτυπώσετε τον κωδικό πρόσβασης αποκατάστασης του BitLocker όταν ενεργοποιήσατε το BitLocker, ο κωδικός πρόσβασης κατόχου TPM ενδέχεται να έχει επίσης εκτυπωθεί στην ίδια σελίδα.

Αφού ελεγχθεί ο κωδικός πρόσβασης κατόχου TPM, εμφανίζεται ένα παράθυρο διαλόγου που επιβεβαιώνει ότι έγινε επαναφορά του κλειδώματος της TPM.

Συνήθεις ερωτήσεις

Πότε πρέπει να κάνω επαναφορά του κλειδώματος της TPM;

Το πιο πιθανό σενάριο είναι ότι κατά τη διαδικασία της εκκίνησης οι χρήστες θα παρατηρήσουν αργή απόκριση όταν χρησιμοποιείται ένα σύστημα προστασίας κλειδιών - αποτελούμενο από την TPM και ένα PIN- και εισάγουν λανθασμένο κωδικό PIN. Το σύστημα μπορεί να δείχνει ότι έχει πάψει να αποκρίνεται για κάποιο χρονικό διάστημα, πριν ενημερώσει τον χρήστη ότι δόθηκε λανθασμένο PIN και ότι η TPM έχει κλειδωθεί. Όταν η TPM έχει κλειδωθεί, είναι επίσης πιθανό ο χρήστης να εισάγει το σωστό PIN, αλλά για ένα χρονικό διάστημα η TPM θα ανταποκρίνεται σαν να δόθηκε λανθασμένο PIN. Παρόμοια συμπεριφορά ενδέχεται να προκύψει για άλλες εφαρμογές που χρησιμοποιούν την TPM με τιμές εξουσιοδότησης, αλλά είναι πιο πιθανό ότι μόνο η εφαρμογή που επικοινωνεί με την TPM να παρουσιάσει συμπεριφορά μη απόκρισης, εάν έχει ήδη γίνει εκκίνηση του λειτουργικού συστήματος. Επειδή μία TPM μπορεί να αποθηκεύει κάθε λανθασμένη προσπάθεια εξουσιοδότησης που λαμβάνει, ίσως είναι χρήσιμο για τους χρήστες να κάνουν προληπτικά μια επαναφορά του κλειδώματος της TPM εάν συμβαίνει συχνά να πληκτρολογούν λανθασμένα τις τιμές εξουσιοδότησης, όπως το PIN του BitLocker.

Τι συμπεριφορά πρέπει να περιμένω εάν ενεργοποιηθεί η λογική προστασίας της TPM για προστασία των τιμών εξουσιοδότησης;

Η συμπεριφορά της πλατφόρμας υλικού θα ποικίλει και εξαρτάται από τις επιλογές υλοποίησης που έχει κάνει ο κατασκευαστής της πλατφόρμας. Γενικά, αναμένεται ότι οι κατασκευαστές θα έχουν φροντίσει ώστε η ανταπόκριση από το τσιπ TPM να επιβραδύνεται εκθετικά. Είναι, επίσης, πιθανό το τσιπ TPM να ανταποκρίνεται θεωρώντας λανθασμένη μια σωστή τιμή εξουσιοδότησης, για κάποιο χρονικό διάστημα. Για πιο συγκεκριμένες πληροφορίες σχετικά με τη συμπεριφορά, επικοινωνήστε με τον κατασκευαστή της πλατφόρμας σας.

Αν η TPM έχει ήδη κλειδωθεί όταν χρησιμοποιείτε το BitLocker, θα σας δοθεί μια ευκαιρία κατά την εκκίνηση είτε να ανοίξετε την κονσόλα αποκατάστασης του BitLocker ή να περιμένετε για επανάληψη εισαγωγής του PIN.

Μετά από την εκκίνηση των Windows, η TPM θα εμφανιστεί κλειδωμένη στη Διαχείριση TPM.

Τυχόν εντολές που περιλαμβάνουν τιμές εξουσιοδότησης ή προσπάθεια αποστολής του κωδικού πρόσβασης κατόχου TPM στην TPM, θα προκαλέσουν ένα σφάλμα από την TPM όσο αυτή είναι κλειδωμένη.

Τι πρέπει να κάνω αν δεν θυμάμαι τον κωδικό πρόσβασης κατόχου της TPM;

Είναι πιθανό η τιμή κατακερματισμού του κωδικού πρόσβασης κατόχου TPM να αποθηκεύτηκε σε ένα αρχείο με επέκταση .tpm κατά την αρχική ανάληψη της κατοχής της TPM από τον διαχειριστή στον υπολογιστή σας. Κάντε αναζήτηση στο σύστημα αρχείων για να βρείτε ένα αρχείο με επέκταση .tpm. Αν έχετε εκτυπώσει τον κωδικό πρόσβασης αποκατάστασης του BitLocker, ενδέχεται μαζί του να εκτυπώθηκε και ο κωδικός πρόσβασης κατόχου TPM. Αν δεν μπορείτε να βρείτε τον κωδικό πρόσβασης κατόχου TPM, μπορείτε να κάνετε εκκαθάριση της TPM και να αναλάβετε ξανά την κατοχή της. Αυτό πρέπει να γίνει με προσοχή, επειδή τα δεδομένα που έχουν κρυπτογραφηθεί με την TPM θα χαθούν. Αν χρησιμοποιείτε το BitLocker, πρέπει να το αναστείλετε ή να το απενεργοποιήσετε πριν κάνετε απαλοιφή της TPM. Για περισσότερες πληροφορίες σχετικά με την απαλοιφή της TPM, ανατρέξτε στο θέμα Εκκαθάριση της TPM.

Είναι σημαντικό να κρατάω μυστική την τιμή κατακερματισμού της τιμής εξουσιοδότησης κατόχου TPM;

Ναι. Αν ένα κακόβουλο πρόγραμμα/χρήστης ανακαλύψει την τιμή κατακερματισμού του κωδικού πρόσβασης TPM, θα είναι σε θέση να κάνει αρκετές προσπάθειες για να μαντέψει μια τιμή εξουσιοδότησης κλειδιού κρυπτογράφησης (για παράδειγμα, το PIN του BitLocker), να χρησιμοποιήσει την τιμή κατακερματισμού της εξουσιοδότησης κατόχου TPM για να κάνει επαναφορά του κλειδώματος TPM και να συνεχίσει να επαναλαμβάνεται. Τελικά, είναι πιθανό να βρεθεί η τιμή εξουσιοδότησης, αν το μέγεθός της ήταν μικρό.

Πώς σχετίζεται ο κωδικός πρόσβασης κατόχου TPM με την τιμή κατακερματισμού εξουσιοδότησης κατόχου TPM;

Ο κωδικός πρόσβασης κατόχου TPM κατακερματίζεται με τη χρήση του αλγόριθμου SHA-1 και κωδικοποιείται κατά base-64 για να δημιουργηθεί η τιμή κατακερματισμού εξουσιοδότησης κατόχου TPM.


Πίνακας περιεχομένων