Czy warto włączyć w UEFI opcję Intel PTT na składanym komputerze stacjonarnym?

przemek1234 · 28 Sierpień 2018 12:07

Intel PTT, czyli programowy moduł TPM zaimplementowany w ME. W laptopach jest domyślnie włączony. Moja płyta główna w stacjonarnym komputerze ma go domyślnie wyłączonego. Czy ta funkcja cokolwiek daje zwykłemu użytkownikowi stacjonarnego kompa? Czy jakiekolwiek TPM może się do czegokolwiek przydać? Czy to bezsens i niepotrzebne zamulanie kompa?

anon54006378 · 28 Sierpień 2018 12:20

Jeśli dobrze rozumiem wyjaśnienie funkcji po angielsku to jednie co możesz “sensownego” zyskać to zaszyfrowanie dysku.

Z mojego rozumowania jest to swego rodzaju “piaskownica” między hardware a software. Tylko że sprzęt musi obsługiwać tą funkcje a chyba nie istnieje go zbyt wiele.

Nie chcę gdybać zbyt wiele żeby nie wprowadzać zamieszania. Może ktoś bardziej zna tą funkcje.

anon72825314 · 28 Sierpień 2018 12:42

Co to jest itp. itd. - TUTAJ

przemek1234 · 28 Sierpień 2018 14:35

Czyli jeśli nie zamierzam szyfrować dysku BitLocker’em ani używać biometrii, kart kryptograficznych, itd., to nie ma powodu by to włączać skoro producent mobo (MSI) to wyłączył domyślnie?

Mr_vPro · 22 Marzec 2021 08:57

Warto - zwłaszcza jeśli Twój OS to MS* Windows 8/10 lub Linux z obsługą Secure Boot.

Intel PTT - Platform Trust Technology - implementacja modułu TPM 2.0 w kontrolerze ME /CSME zintegrowanym wewnątrz chipsetu komputera.
Intel PTT whitepaper

Moduł TPM (a więc i Intel PTT) jest wykorzystywany do:

UEFI Secure Boot - wprowadzone z MS Windows 8 i Windows 10 - Secure Boot wymaga modułu TPM.
UEFI FW (czyli w dużym skrócie BIOS UEFI) sprawdza przy każdym starcie komputera czy loader systemu operacyjnego jest podpisany cyfrowo przez wydawcę OS. MS Windows 8/10 są, Windows 7 nie używało tej funkcji, niektóre Linuxy obsługują Secure Boot. Jeśli Twoj OS nie obsługuje Secure Boot to będziesz musiał wyłączyć Secure boot w BIOS setup bo inaczej sie nie załaduje. (Legacy Boot z definicji nie obsługuje Secure Boot).
Jeśli twój OS to Windows 8/10 to warto włączyć UEFI Boot + Secure Boot (co wymaga włączenia PTT lub dyskretnego TPM) - dla większego bezpieczeństwa OS jako takiego.
W przypadku MS Windows 10 VBS - Virtualization Based Security (też warto użyć dla wyższego bezpieczeństwa) wymaga UEFI Boot i włączonego Secure Boot.
szyfracji plików lub całych dysków - np. MS BitLocker używa TPM/PTT w celu ochrony klucza enkrypcji danych. Inne programy szyfrujące dyski lub pliki też mogą korzystać z TPM/PTT - musisz sprawdzić.
generować pary kluczy RSA, je przechowywać i używać do szyfracji RSA bez udostępniania klucza prywatnego poza TPM/PTT HW. To pozwala zabezpieczyć certyfikaty (ich klucze prywatne) używane do szyfracji połączeń sieciowych, oprogramowania VPN (np. Cisco AnyConnect) oraz … realizację funkcji kart inteligentnych (SmartCard) z użyciem TPM (bez konieczności posiadania samej karty i jej czytnika -oczywiście takiej SmartCard nie da sie wyjąć z komputera ani tez użyć w innym komputerze).
Można tego użyć jako sprzętowych poświadczeń związanych ze sprzętem komputera dla zabezpieczenia dostępu do np. bankowości internetowej, kont mediów społecznościowych itp.
Dany portal musi obsługiwać logowanie Smart Card.
rekomendacje MS dot TPM
Measured Boot i Verified Boot - TPM może przechowywać informacje o konfiguracji PC + OS w tzw PCR -Platform Configuration Registers a przy następnym uruchomieniu FW lub SW weryfikuje czy konfiguracja nie uległa zmianie (np. przełożono zaszyfrowany dysk do innego PC).
De facto dawno temu Apple OS jako pierwszy OS używał modułu TPM do weryfikacji czy uruchamia sie na prawdziwym HW Apple - i “hackintosh” czyli Apple OS na płycie desktopowej z procesorem Intela wymagał płyty z modułem TPM (co w tamtych czasach należało do rzadkości.

Producent mógł wyłączyć PTT domyślnie bo np. …na płycie jest drugi dyskretny TPM (osobny układ TPM np. firmy Infineon) a w systemie może być aktywny tylko jeden TPM na raz.

Właczenie PTT (tak samo jak TPM) nie “zamuli” komputera bo to moduł sprzętowy realizuje swoje funkcje na niezależnym HW a nie używając instrukcji i cykli procesora.

Użyte nazwy i marki mogą być własnością innych firm.

Mr vPro®
Intel EMEA CCG Biz Client Technical Sales Specialist

anon44497448 · 22 Marzec 2021 09:24

Chłopie. Odpowiadasz na post z przed trzech lat. Nie za póżno trochę.

Mr_vPro · 22 Marzec 2021 10:24

A od kiedy poprawna wiedza jest nieaktualna? Może wielu innym osobom sie przyda.

No chyba, że posądzasz Dobre Programy o bycie pudelkiem/pomponikiem branży komputerowej

:- D

anon741072 · 22 Marzec 2021 10:52

Jestem ciekaw, bo mam zaszyfrowany dysk systemowy bitlockerem bez tpm, ale nie interesowałem się tą technologią (amd pewnie ma coś podobnego?). Czy ten moduł używany jest jedynie do generowania jakiejś entropii, czy szyfrowanie zostaje ściśle powiązane ze sprzętem i np. po przełożeniu dysku do innego komputera będą problemy z odszyfrowaniem takiego nośnika bez oryginalnego układu?

anon44497448 · 22 Marzec 2021 10:59

A w drugim poście link zauważyłeś? Czy też nie.

Mr_vPro · 22 Marzec 2021 15:19

Bez TPM możesz a właściwie musisz ustawić w BitLockerze żądanie hasła Bitlocker passphrase przy starcie komputera. W przypadku użycia TPM możesz wyłączyć żądanie hasła albo używać obu warunków na raz - TPM + Passphrase.

anon741072 · 22 Marzec 2021 16:28

No oczywiście, że muszę wpisywać hasło. Po co mi szyfrowanie gdybym tego nie musiał? Ewentualnie kluczem na usb.