Comment puis-je chiffrer des octets en utilisant le module TPM d'une machine?

CryptProtectData

Windows fournit une API (relativement) simple pour chiffrer un blob en utilisant l'API CryptProtectData , que nous pouvons envelopper une fonction facile à utiliser:

public Byte[] ProtectBytes(Byte[] plaintext)
{
   //...
}

Les détails de ProtectBytes sont moins importants que l'idée que vous pouvez l'utiliser assez facilement:

• voici les octets que je veux cryptés par une clé secrète détenue dans le System
• donnez-moi le chiffrés blob

la structure retournée blob est une structure non documentée ^{documentation} qui contient tout ce qui est nécessaire pour déchiffrer et retourner les données originales (algorithme de hachage, algorithme de chiffrement, sel, signature HMAC, etc).

Pour être complet, voici l'échantillon mise en œuvre du pseudo de ProtectBytes qui utilise le Crypt API pour protéger les octets:

public Byte[] ProtectBytes(Byte[] plaintext)
{
   //Setup our n-byte plaintext blob
   DATA_BLOB dataIn;
   dataIn.cbData = plaintext.Length;
   dataIn.pbData = Addr(plaintext[0]);

   DATA_BLOB dataOut;

   //dataOut = EncryptedFormOf(dataIn)
   BOOL bRes = CryptProtectData(
         dataIn,
         null,     //data description (optional PWideChar)
         null,     //optional entropy (PDATA_BLOB)
         null,     //reserved
         null,     //prompt struct
         CRYPTPROTECT_UI_FORBIDDEN || CRYPTPROTECT_LOCAL_MACHINE,
         ref dataOut);
   if (!bRes) then
   {
      DWORD le = GetLastError();
      throw new Win32Error(le, "Error calling CryptProtectData");
   }

   //Copy ciphertext from dataOut blob into an actual array
   bytes[] result;
   SetLength(result, dataOut.cbData);
   CopyMemory(dataOut.pbData, Addr(result[0]), dataOut.cbData);

   //When you have finished using the DATA_BLOB structure, free its pbData member by calling the LocalFree function
   LocalFree(HANDLE(dataOut.pbData)); //LocalFree takes a handle, not a pointer. But that's what the SDK says.
}

Comment faire la même chose avec le TPM?

le code ci-dessus est utile pour chiffrer des données pour la machine locale seulement. Les données sont cryptées en utilisant le compte System comme générateur de clés ( détails, bien qu'intéressants, sont sans importance ). Le résultat final est que je peux crypter des données (par exemple un maître de cryptage de disque dur la clé) qui ne peut être déchiffré par la machine locale.

il est temps de faire un pas de plus. Je veux crypter certaines données (par exemple une clé de cryptage de disque dur master) qui ne peuvent être décryptées que par la MPT locale. En d'autres termes, je veux remplacer L'environnement D'exécution de confiance Qualcomm ( TEE ) dans le schéma ci-dessous pour Android, avec le TPM dans Windows:

Note : je me rends compte que la TPM ne fait pas de signature de données (ou si elle le fait, elle ne garantit pas que la signature des mêmes données donnera la même sortie binaire à chaque fois). C'est pourquoi je serais prêt à remplacer "RSA signature" avec "le chiffrement de 256 bits, blob avec un matériel lié à la touche" .

alors où est le code?

le problème est que la programmation TPM est complètement sans-papiers sur MSDN . Aucune API n'est disponible pour effectuer des opérations. Au lieu de cela , vous devez vous trouver une copie de la pile de logiciels du Trusted Computing Group (alias TSS) , trouver quelles commandes Envoyer à la TPM, avec des charges utiles, dans quel ordre, et appeler Window Tbsip_Submit_Command fonction pour soumettre des commandes directement:

TBS_RESULT Tbsip_Submit_Command(
  _In_     TBS_HCONTEXT hContext,
  _In_     TBS_COMMAND_LOCALITY Locality,
  _In_     TBS_COMMAND_PRIORITY Priority,
  _In_     const PCBYTE *pabCommand,
  _In_     UINT32 cbCommand,
  _Out_    PBYTE *pabResult,
  _Inout_  UINT32 *pcbOutput
);

Windows n'a pas D'API de niveau supérieur pour effectuer des actions.

c'est l'équivalent moral d'essayer de créer un fichier texte en émettant des commandes SATA I/O sur votre disque dur .

pourquoi ne pas simplement utiliser un pantalon

le Trusted Computing Group (TCG) a défini sa propre API: TCB Software Stack (TSS) . Une implémentation de cette API a été créée par certains les gens, et est appelé pantalon . Un type alors porté ce projet à Windows .

le problème avec ce code est qu'il n'est pas portable dans le monde Windows. Par exemple, vous ne pouvez pas l'utiliser à partir de Delphi, vous ne pouvez pas l'utiliser à partir de C#. Il exige:

• OpenSSL
• pThread

je veux juste le code pour crypter quelque chose avec ma MPT.

ci-dessus CryptProtectData ne demande rien d'autre que ce qui est dans le corps de la fonction.

Quel est le code équivalent pour chiffrer les données en utilisant la MPT? Comme d'autres l'ont noté, vous devez probablement consulter les trois manuels de TPM, et construire les blobs vous-même . Il s'agit probablement de la commande TPM_seal . Bien que je pense que je ne veux pas sceau données, je pense Je veux lier :

reliure – chiffrement des données à l'aide de la clé TPM bind, une clé RSA unique issue d'une clé de stockage. d'Étanchéité – crypte les données d'une manière similaire à la liaison, mais en plus spécifie un état dans lequel TPM doit être en ordre pour le déchiffrement des données (non scellé)

j'essaie de lire les trois volumes dans l'ordre pour trouver les 20 lignes de code dont j'ai besoin:

• Partie 1 - Principes De Conception
• Partie 2 - les Structures de la TPM
• Partie 3-Commandes

mais j'ai Non idée de ce que je lis. S'il y avait un tutoriel ou des exemples, j'aurais peut-être une chance. Mais je suis complètement perdu.

nous demandons donc Stackoverflow

de la même manière que j'ai pu fournir:

Byte[] ProtectBytes_Crypt(Byte[] plaintext)
{
   //...
   CryptProtectData(...); 
   //...
}

peut quelqu'un Fournir l'équivalent correspondant:

Byte[] ProtectBytes_TPM(Byte[] plaintext)
{
   //...
   Tbsip_Submit_Command(...);
   Tbsip_Submit_Command(...);
   Tbsip_Submit_Command(...);
   //...snip...
   Tbsip_Submit_Command(...);
   //...
}

qui fait la même chose, sauf que plutôt qu'une clé verrouillée dans System LSA, est verrouillé dans le TPM?

début de la recherche

Je ne sais pas exactement ce que lient signifie. Mais en regardant TPM Main - Partie 3 commandes-Spécification version 1.2, il y a une mention de bind :

10.3 TPM_UnBind

TPM_UnBind prend le blob de données qui est le résultat d'une commande Tspi_Data_Bind et le déchiffre pour l'exportation à l'utilisateur. L'appelant doit autoriser l'utilisation de la clé qui décryptera le blob entrant. TPM_UnBind opère sur un bloc par bloc, et n'a aucune notion de la relation entre un bloc et de l'autre.

ce qui est confus est là est Non Tspi_Data_Bind commande.

Effort De Recherche

il est épouvantable que personne n'ait jamais pris la peine de documenter la MPT ou son fonctionnement. C'est comme s'ils passaient tout leur temps à venir avec ce cool chose pour jouer avec, mais n'a pas vous voulez faire face à l'étape douloureuse de le faire utilisable pour quelque chose.

à partir du (Maintenant) Livre Gratuit un Guide pratique pour TPM 2.0: Utilisation du Module plate-forme de confiance dans la nouvelle ère de la sécurité :

Chapitre 3-tutoriel rapide sur TPM 2.0

le MPT a accès à une clé privée générée par lui-même, de sorte qu'il peut chiffrer touches avec une clé publique, puis stocker le blob sur le disque dur. De cette façon, le MPT peut garder un nombre virtuellement illimité de clés disponibles pour l'utilisation, mais ne pas gaspiller précieux stockage interne. Les clés stockées sur le disque dur peuvent être effacés, mais ils peuvent également être sauvegardées, ce qui semblait les concepteurs comme un compromis acceptable.

Comment puis-je chiffrer une clé avec la clé publique de la MPT?

Chapitre 4-Existing Applications Qui Utilisent Des MPT

Applications Qui Doivent Utiliser le TPM, mais Ne le font pas

au cours des dernières années, le nombre d'applications Web a augmenté. Parmi eux sont la sauvegarde et le stockage sur le web. Un grand nombre d'entreprises offrent maintenant de tels services, mais pour autant que nous le sachions, aucun des clients pour ces services ne permettent à l'utilisateur de verrouiller la clé pour le service de sauvegarde à une MPT. Si cela était fait, ce serait certainement bien si le TPM la clé elle-même a été sauvegardée en la dupliquant sur plusieurs machines. Cela semble être une opportunité pour les développeurs.

comment un développeur verrouille-t-il une clé à la MPT?

Chapitre 9-Hérarchies

USE CASE: STORING LOGIN PASSWORDS

un fichier de mots de passe typique stocke des hachures salées de mots de passe. La vérification consiste en un salage et un malaxage a fourni mot de passe et de le comparer à la valeur stockée. Parce que le calcul ne comprend pas un secret, il est sujet à une attaque hors ligne sur le fichier de mot de passe.

ce cas d'Utilisation utilise une clé HMAC générée par MPT. Le fichier de mots de passe stocke un HMAC du mot de passe salé. La vérification consiste à saler et à Hmacer le mot de passe fourni et à le comparer à la valeur stockée. Parce qu'un attaquant hors ligne n'a pas la clé HMAC, l'attaquant ne peut pas monter une attaque en exécutant calcul.

Ce pourrait de travail. Si la MPT a une clé HMAC secrète, et que seule ma MPT connaît la clé HMAC, alors je pourrais remplacer "signe (alias MPT encrypt with it's private key)" par "HMAC". Mais ensuite, dans la ligne suivante, il s'inverse complètement:

TPM2_Create, en spécifiant une clé HMAC

ce n'est pas un secret de TPM SI je dois spécifier HMAC key. Le fait que la clé HMAC n'est pas secrète a du sens quand vous réalisez que c'est le chapitre sur les utilitaires cryptographiques que la MPT fournit. Plutôt que D'avoir à écrire SHA2, AES, HMAC, ou RSA vous-même, vous pouvez réutiliser ce que le TPM a déjà autour.

Chapitre 10-Clés

comme un dispositif de sécurité, la capacité d'une application à utiliser des clés tout en les gardant en sécurité dans un dispositif matériel est la plus grande force de la TPM. La MPT peut à la fois générer et importer des clés générées de l'extérieur. Il supporte les clés asymétriques et symétriques.

Excellent! Comment fais-tu!?

Générateur De Clés

sans doute, la plus grande force de la MPT est sa capacité à générer une clé cryptographique et à protéger son secret à l'intérieur d'une frontière matérielle. Le générateur de clés est basé sur Le propre générateur de nombres aléatoires de TPM et ne s'appuie pas sur des sources externes d'aléatoire. Il élimine ainsi les faiblesses basées sur des logiciels faibles avec une source insuffisante d'entropie.

Ne la TPM ont la capacité de générer des clés de chiffrement et de protéger ses secrets à l'intérieur d'un matériel de limite? Est oui, comment?

Chapitre 12-Registres De Configuration De Plate-Forme

Rap pour Autorisation

USE CASE: SEALING A HARD DISK ENCRYPTION KEY TO PLATFORM STATE

les applications de chiffrement sur disque complet sont beaucoup plus sûres si une MPT protège la clé de chiffrement que si elle est stockée sur le même disque, protégée seulement par un mot de passe. Tout d'abord, le matériel TPM dispose d'une protection anti-martelage (voir Chapitre 8 pour une description détaillée de la protection d'attaque du dictionnaire TPM), ce qui rend une attaque par la force brute sur le mot de passe impossible. Une clé protégée uniquement par un logiciel est beaucoup plus vulnérable à un mot de passe faible. Deuxièmement, une clé de logiciel stocké sur le disque est beaucoup plus facile à voler. Prendre le disque (ou une sauvegarde du disque), et vous obtenez la clé. Quand une MPT tient la clé, toute la plateforme, ou au moins le disque et la carte mère, doit être volée.

La fermeture

permet de protéger la clé non seulement par un mot de passe, mais aussi par une politique. Une politique typique verrouille la clé des valeurs PCR (la état du logiciel) courant au moment de la fermeture. Cela suppose que l'état au premier démarrage n'est pas compromise. Tout malware préinstallé présent au premier démarrage serait mesuré dans le PCRs, et donc la clé serait scellé à un État de logiciel compromis. Une entreprise moins confiante pourrait avoir une image disque standard et un sceau à PCRs représentant cette image. Ces valeurs de PCR seraient calculées à l'avance sur une plate-forme probablement plus fiable. Une entreprise encore plus sophistiquée utiliserait TPM2_PolicyAuthorize, et de fournir plusieurs billets d'autoriser une série de confiance PCR des valeurs. Voir le Chapitre 14 pour une description détaillée de la Politique autoriser et de son application pour résoudre le problème de PCR-Birtleness.

bien qu'un mot de passe puisse aussi protéger la clé, il y a un gain de sécurité même sans mot de passe de clé MPT. Un attaquant pourrait démarrer la plate-forme sans fournir de mot de passe TPMkey, mais ne pourrait pas se connecter sans le nom D'utilisateur et le mot de passe du système D'exploitation. Le OSsecurity protège les données. L'attaquant pourrait démarrer un OS alternatif, par exemple à partir d'un DVD live ou d'une clé USB plutôt que depuis le disque dur, pour contourner la sécurité de connexion OS. Cependant, cette configuration et ce logiciel de démarrage différents changeraient les valeurs de PCR. Parce que ces nouveaux PCR ne correspondraient pas aux valeurs scellées, la MPT ne libérerait pas la clé de déchiffrement, et le disque dur ne pourrait pas être déchiffré.

Excellent! C'est exactement le cas d'utilisation que je veux. C'est aussi le cas D'utilisation pour lequel Microsoft utilise la MPT. Comment puis-je le faire!?

donc j'ai lu ce livre entier, et il n'a rien fourni d'utile. Ce qui est assez impressionnant parce que c'est 375 pages. Vous vous demandez ce que contenait le livre - et en y repensant, je n'en ai aucune idée.

donc nous abandonnons sur le guide définitif de programmation de la TPM, et tourner à la place à une certaine documentation de Microsoft:

du Microsoft TPM Plate-forme de Crypto-Fournisseur de la boîte à outils . Il mentionne exactement ce que je veux faire:

L'Approbation de la Clé ou EK

L'EK est conçu pour fournir un identificateur cryptographique fiable pour la plate-forme. Une entreprise pourrait tenir à jour une base de données des clés D'approbation appartenant aux MPT de tous les ordinateurs de son entreprise, ou un contrôleur de tissu de Centre de données pourrait avoir un base de données des TPMs dans toutes les pales. Sur Windows, vous pouvez utiliser le fournisseur NCrypt décrit dans la section "plate-forme Crypto Provider in Windows 8" pour lire la partie publique de L'EK.

quelque part à l'intérieur de la MPT est une clé privée RSA. Cette clé est enfermé dans il - ne jamais être vu par le monde extérieur. Je veux que la MPT signe quelque chose avec sa clé privée (c'est-à-dire qu'elle le crypte avec sa clé privée).

donc je veux le plus opération de base opération qui peut éventuellement exister:

chiffrez quelque chose avec votre clé privée. Je ne demande même pas (encore) les choses les plus compliquées:

• "scellage " it basé sur L'état PCR
• la création d'une clé et de les stocker dans volatiles ou non volatiles memroy
• créant un clé symétrique et d'essayer de le charger dans le module de plateforme sécurisée

je demande l'opération la plus élémentaire qu'une MPT puisse faire. Pourquoi est-il impossible d'obtenir des informations sur la façon de le faire?

je peux obtenir des données aléatoires

je suppose que j'étais désinvolte quand j'ai dit que la signature RSA était la chose la plus élémentaire que la MPT puisse faire. Le le plus la chose de base que L'on peut demander à la MPT est de me donner des octets aléatoires. j'ai trouvé comment faire:

public Byte[] GetRandomBytesTPM(int desiredBytes)
{
   //The maximum random number size is limited to 4,096 bytes per call
   Byte[] result = new Byte[desiredBytes];

   BCRYPT_ALG_HANDLE hAlgorithm;

   BCryptOpenAlgorithmProvider(
         out hAlgorithm,
         BCRYPT_RNG_ALGORITHM, //AlgorithmID: "RNG"
         MS_PLATFORM_CRYPTO_PROVIDER, //Implementation: "Microsoft Platform Crypto Provider" i.e. the TPM
         0 //Flags
   );
   try
   {                
      BCryptGenRandom(hAlgorithm, @result[0], desiredBytes, 0);
   }
   finally
   {
      BCryptCloseAlgorithmProvider(hAlgorithm);
   }

   return result;
}

La Fantaisie Chose

je me rends compte que le nombre de personnes utilisant la MPT est très faible. C'est pourquoi personne sur Stackoverflow n'a de réponse. Donc je ne peux pas être trop gourmand pour trouver une solution à mon problème commun. Mais la chose que je vraiment veux faire est de "sceau quelques données:

• présente le module de plateforme sécurisée des données (par exemple, 32 octets de la clé matérielle)
• avoir le TPM encrypt les données, retournant une structure de blob opaque
• plus tard, demander au TPM de décrypter le blob
• le déchiffrement ne fonctionnera que si les registres PCR de la MPT sont les mêmes que pendant le chiffrement.

en d'autres termes:

Byte[] ProtectBytes_TPM(Byte[] plaintext, Boolean sealToPcr)
{
   //...
}

Byte[] UnprotectBytes_TPM(Byte[] protectedBlob)
{
   //...
}

Cryptographie Next Gen (Cng, alias BCrypt) prend en charge TPM

L'API cryptographique d'origine de Windows était connue sous le nom D'API Crypto.

à partir de Windows Vista, L'API de Crypto a été remplacé par API de cryptographie: nouvelle génération (internally known as BestCrypt , Abrégé en BCrypt , à ne pas confondre avec le algorithme de hachage de mot de passe ).

Windows est livré avec deux BCrypt fournisseurs :

• Microsoft Primitive Provider ( MS_PRIMITIVE_PROVIDER ) par défaut : implémentation logicielle par défaut de toutes les primitives (hachage, cryptage symétrique, signatures numériques, etc)
• Plate-Forme Microsoft Fournisseur de Crypto ( MS_PLATFORM_CRYPTO_PROVIDER ): fournisseur qui fournit l'accès TPM

le plate-forme Crypto fournisseur n'est pas documenté sur MSDN, mais a la documentation d'un 2012 Microsoft Research site:

TPM Plate-forme de Crypto-Fournisseur de la boîte à outils

la plateforme TPM Crypto Provider and Toolkit contient un exemple de code, des utilitaires et de la documentation pour l'utilisation des fonctionnalités liées aux MPT dans Windows 8. Les sous-systèmes décrits comprennent la plate-forme crypto-Next-Gen (CNG) crypto-provider (fournisseur de services crypto-Next-Gen) à base de MPT, et la façon dont les fournisseurs de services d'attestation peuvent utiliser les nouvelles fonctionnalités de Windows. Les deux TPM1.2 et TPM2.Les systèmes basés sur 0 sont pris en charge.

il semble que L'intention de Microsoft est de surface TPM crypto fonctionnalité avec le Microsoft plate-forme Crypto Fournisseur de la Cryptographie NG API.

chiffrement à clé Publique à l'aide de Microsoft BCrypt

étant donné que:

• je veux faire des RSA le chiffrement asymétrique (à l'aide de la TPM)
• Microsoft BestCrypt prend en charge le cryptage asymétrique RSA
• Microsoft BestCrypt a un TPM Provider

une façon d'aller de l'avant pourrait être de comprendre comment faire la signature numérique en utilisant le Microsoft Cryptography Next Gen API .

ma prochaine étape sera de trouver le code pour faire le cryptage en BCrypt, avec une clé publique RSA, en utilisant le fournisseur standard ( MS_PRIMITIVE_PROVIDER ). Par exemple:

• modulus : 0xDC 67 FA F4 9E F2 72 1D 45 2C B4 80 79 06 A0 94 27 50 8209 DD 67 CE 57 B8 6C 4A 4F 40 9F D2 D1 69 FB 995D 85 0C 07 A1 F9 47 1B 56 16 6E F6 7F B9 CF 2A 58 36 37 99 29 AA 4F A8 12 E8 4F C7 82 2B 9D 72 2A 9C DE 6F C2 EE 12 6D CF F0 F2 B8 C4 DD 7C 5C 1A C8 17 51 A9 AC DF 08 22 04 9D 2B D7 F9 4B 09 de 9A EB 5C 51 1A D8 F8 F9 56 9E F8 FB 37 9B 3F D3 74 65 24 0D FF 34 75 57 A4 F5 BF 55
• publicExponent : 65537

avec ce code fonctionnel, je pourrais peut-être passer à l'utilisation du fournisseur de MPT ( MS_PLATFORM_CRYPTO_PROVIDER ).

2/22/2016: et avec Apple étant contraint d'aider à déchiffrer les données de l'utilisateur, Il ya un regain d'intérêt dans la façon de faire le TPM effectuer la tâche la plus simple qu'il a été inventé pour - encrypting quelque chose.

c'est à peu près l'équivalent de tout le monde possédant une voiture, mais personne ne sait comment en démarrer une. Il peut faire des choses vraiment utiles et cool, si seulement nous pouvions passer Étape 1 .

Lecture De Bonus

• Android - cryptage-stockage de la clé cryptée
• Android Explorations - Revoir Android de chiffrement de disque
• DPAPI Secrets. L'analyse de la sécurité et de la récupération des données dans DPAPI (Partie 1)