Link alla notizia: http://www.hwupgrade.it/news/sistemi-operativi/dispositivi-windows-10-piu-sicuri-dal-28-luglio-tpm-20-requisito-minimo_62113.html

Microsoft inserirà il supporto TPM 2.0 tra i requisiti minimi dei dispositivi Windows 10. Il Trusted Platform Module offre uno strumento di protezione a livello hardware e sarà integrato anche nei dispositivi consumer a basso costo.

Click sul link per visualizzare la notizia.

Io ho la Insider Preview su un vecchio core2quad... Saro' costretto a togliere il S.O.?

E' dagli anni '90 che ci provano con il TPM ed alla fine quando sembra che ormai non importi più a nessuno del fatto che il TPM serve più per controllare gli utenti che per proteggerli, sembra ci siano riusciti. :(

Stavo per prendere un portatile nuovo,
ora mi accertero' che supporti TPM 2.0 :O

Mi ricorda tanto la menata che ci fu ai tempi del Pentium 3 per la storia del numero di serie univoco del processore. Venne su un polverone e lo disattivarono subito.

Qui ci mettono la storia della crittografia ma la sostanza è identica. Ogni hardware è univoco ed individuabile.

Ma per in (numerosissimi) sistemi che il TPM non ce l'hanno? Non possono installare win? Mi pare na cazzata.. :mbe:

Ricordo un vecchio articolo che spiegava perché un TPM non fosse affatto un'assicurazione di maggior sicurezza...d'altra parte l'articolo era da parte di quelli di TrueCrypt, che hanno dovuto sconsigliare il proprio stesso software col tempo. Anche se forse questo non invalida l'articolo in questione.

Ad ogni modo, forse qui non si legge bene l'articolo. Sono i REQUISITI PER LA CERTIFICAZIONE DI NUOVI HARDWARE, non per l'utente finale. Non puoi vendere dispositivi col bollino Windows 10 se non hai un TPM 2.0, non è che non ci giri.

Amici opensorci tranquilli,
Linux supporta TPM 2.0 da molto :O

http://www.phoronix.com/scan.php?page=news_item&px=Linux-3.20-TPM-2.0-Security

Io ho la Insider Preview su un vecchio core2quad... Saro' costretto a togliere il S.O.?

No, questi sono i requisiti perché un nuovo PC possa avere il bollino "Windows 10 Certified"

E' dagli anni '90 che ci provano con il TPM ed alla fine quando sembra che ormai non importi più a nessuno del fatto che il TPM serve più per controllare gli utenti che per proteggerli, sembra ci siano riusciti. :(

mi chiedevo quanto ci volesse prima che qualcuno tirasse fuori Palladium :asd:

Amici opensorci tranquilli,
Linux supporta TPM 2.0 da molto :O

http://www.phoronix.com/scan.php?page=news_item&px=Linux-3.20-TPM-2.0-Security

e non vedo perché non dovrebbe: il TPM fondamentalmente serve da keystore sicuro e molti PC lo montano già, e su questi puoi installare tranquillamente Linux da sempre

insomma, se un PC ne monta uno, non devi per forza utilizzarlo

Mi ricorda tanto la menata che ci fu ai tempi del Pentium 3 per la storia del numero di serie univoco del processore. Venne su un polverone e lo disattivarono subito.

Qui ci mettono la storia della crittografia ma la sostanza è identica. Ogni hardware è univoco ed individuabile.

Ma per in (numerosissimi) sistemi che il TPM non ce l'hanno? Non possono installare win? Mi pare na cazzata.. :mbe:

Non credo...funzionerà come adesso con il TPM 1.2
Prendi W10, lo installi e al massimo non puoi usufruire dei vari bitlocker & c.

E' dagli anni '90 che ci provano con il TPM ed alla fine quando sembra che ormai non importi più a nessuno del fatto che il TPM serve più per controllare gli utenti che per proteggerli, sembra ci siano riusciti. :(
Beh, adesso che c'è la paranoia di crittografare tutto (vedi smartphone) è l'occasione buona.
Non credo...funzionerà come adesso con il TPM 1.2
Prendi W10, lo installi e al massimo non puoi usufruire dei vari bitlocker & c.
Mi sbaglio o qualche tempo fa era già diventato obbligatorio il tpm 1.x attivo almeno sui portatili? C'era infatti il problema di linux non 'firmato', come ricorda Ziobepi.

L'importante è che sia disattivabile da bios e che win continui a funzionare anche senza. Ho dei Core2 3ghz di quasi 10 anni fa che vanno alla grande, ma anche altro, e sui portatili nuovi la prima cosa che faccio è un format e reinstallo os pulito e 'liberato'. E poi mi piace provare i vari remixOS etc.
A me è un po' rimasta la paranoia di Lmch... spero di sbagliarmi.

https://it.wikipedia.org/wiki/Next-Generation_Secure_Computing_Base

Il sistema NGSCB (Next-Generation Secure Computing Base), precedentemente noto con il nome di Palladium e poi trasformatosi in System Integrity Team, è un'architettura software proposta dalla Microsoft che avrebbe inserito un Trusted Software Stack nelle versioni di Microsoft Windows successive a Windows XP, in particolar modo in Windows Vista. L'unica funzionalità effettivamente implementata in tale sistema operativo che sfrutta le funzionalità offerte dal Trusted Computing è BitLocker Drive Encryption, un programma per la crittazione del disco rigido.

Inizialmente l'NGSCB era stato chiamato da Microsoft "Palladium". Nella mitologia greca e romana, Palladio era l'"immagine della tradizione su cui si basa la sicurezza della città". Il nome era associato in particolare alla statua della dea Atena ubicata a Troia, la quale si credeva proteggesse i troiani dalle invasioni dei greci. La statua venne rubata da Ulisse e Diomede, ma la città non cadde fino a che non venne aggredita dal cavallo di Troia.

All'inizio del 2006, la Microsoft ha di nuovo cambiato il nome del progetto NGSCB in System Integrity Team[4] (progetto per il mantenimento dell'integrità del sistema). Gli ultimi post sul sito web del progetto risalivano al 26 ottobre 2006, salvo una brevissima parentesi di 3 post pubblicati nel 2008.

L'NGSCB ed il Trusted Computing furono criticati soprattutto in quanto considerati inefficaci nel risolvere la maggior parte degli odierni problemi di sicurezza informatica, quali ad esempio virus informatici e trojans. Ciò nonostante, Microsoft aveva affermato in passato che l'NGSCB è una tappa necessaria propria nella lotta ai virus. Tuttavia, in seguito Microsoft non ha più aggiunto nulla circa l'effettiva capacità dell'NGSCB di risolvere questi problemi.

Ma si sa, con MS è bene avere la memoria corta. I virus, mi pare prosperino ancora alla grande su Windows.

Aggiungo solo che è l'utente che paga il pc, non MS.

Finchè faranno anche hw senza TPM, Palladium, NGSCB o quanto meno disabilitabile, tutto bene.

stai a vedere che quelli che strillavano "con il palladium non potrete usare il vostro software pirata" non avevano poi così torto... :fiufiu: :asd:

stai a vedere che quelli che strillavano "con il palladium non potrete usare il vostro software pirata" non avevano poi così torto... :fiufiu: :asd:

Non necessariamente sw pirata. Basta un qualsiasi sw che a MS non garba.

E' dagli anni '90 che ci provano con il TPM ed alla fine quando sembra che ormai non importi più a nessuno del fatto che il TPM serve più per controllare gli utenti che per proteggerli, sembra ci siano riusciti. :(

:muro:

Non credo...funzionerà come adesso con il TPM 1.2
Prendi W10, lo installi e al massimo non puoi usufruire dei vari bitlocker & c.

La maggior parte delle cose che richiedono una chiave crittografica funzionano (fra cui BitLocker), ma le chiavi sono conservate via software riducendo il livello di sicurezza

La maggior parte delle cose che richiedono una chiave crittografica funzionano (fra cui BitLocker), ma le chiavi sono conservate via software riducendo il livello di sicurezza

Vero, ero convinto che non funzionasse se non con qualche hack via registro

Beh, adesso che c'è la paranoia di crittografare tutto (vedi smartphone) è l'occasione buona.

Mi sbaglio o qualche tempo fa era già diventato obbligatorio il tpm 1.x attivo almeno sui portatili? C'era infatti il problema di linux non 'firmato', come ricorda Ziobepi.

L'importante è che sia disattivabile da bios e che win continui a funzionare anche senza. Ho dei Core2 3ghz di quasi 10 anni fa che vanno alla grande, ma anche altro, e sui portatili nuovi la prima cosa che faccio è un format e reinstallo os pulito e 'liberato'. E poi mi piace provare i vari remixOS etc.
A me è un po' rimasta la paranoia di Lmch... spero di sbagliarmi.

quello era secure boot, che usa il TPM e fa parte di UEFI
le specifiche dicono che deve essere supportato, abilitato di default e disattivabile dall'utente

in ogni caso, molte distribuzioni (come ubuntu) distribuiscono bootloader firmati compatibili con secure boot

https://it.wikipedia.org/wiki/Next-Generation_Secure_Computing_Base

Ma si sa, con MS è bene avere la memoria corta. I virus, mi pare prosperino ancora alla grande su Windows.

Aggiungo solo che è l'utente che paga il pc, non MS.

Finchè faranno anche hw senza TPM, Palladium, NGSCB o quanto meno disabilitabile, tutto bene.

il TPM è solo uno strumento passivo, non il "chip Fritz" che spaventava tanto la gente nel 2005

numi che tormentone palladium al tempo!

certo, per la nostra sicurezza...

http://www.mikebonnes.com/blog/tpm-vulnerability-and-ransomware-potential

https://en.wikipedia.org/wiki/Blue_Pill_(software)

C'è ancora "bisogno" di Windows?
Al 90% delle persone che conosco basterebbe una distro Linux su chiavetta USB per utilizzare le solite 3 cose che fanno col PC.

C'è ancora "bisogno" di Windows?
Al 90% delle persone che conosco basterebbe una distro Linux su chiavetta USB per utilizzare le solite 3 cose che fanno col PC.

windows tutto sommato ha i suoi vantaggi. l'architettura di nt non e' cosi' una schifezza come si dice. anzi, i concetti di fondo sono buoni. possiamo discutere su implementazioni bug e sul monopolio e le strategie commerciali, ma l'architettura in se non sarebbe cosi' pessima.

poi, non vince sempre il migliore in informatica. vedasi beos, tecnicamente stupendo ma stroncato alle svelte.

a me basterebbe reactos, se fosse pronto :(

quello era secure boot, che usa il TPM e fa parte di UEFI
le specifiche dicono che deve essere supportato, abilitato di default e disattivabile dall'utente
Da Windows 10 le specifiche non richiedono più (http://www.pcworld.com/article/2900536/windows-10s-secure-boot-requirement-could-make-installing-linux-a-big-headache.html) che il secure boot sia disattivabile dall'utente. E' a discrezione dell'OEM.

Da Windows 10 le specifiche non richiedono più (http://www.pcworld.com/article/2900536/windows-10s-secure-boot-requirement-could-make-installing-linux-a-big-headache.html) che il secure boot sia disattivabile dall'utente. E' a discrezione dell'OEM.

brutta rogna :(

se io compro un portatile con freedos e compro a parte una licenza di w10 in teoria la cosa e' aggirabile, giusto?

edit: ecco, godetevi bitlocker...

https://blogs.mcafee.com/business/security-connected/10-things-you-dont-want-to-know-about-bitlocker/

http://www.blueit.it/trovata-vulnerabilita-che-permette-di-attaccare-bitlocker/

http://www.mikebonnes.com/blog/tpm-vulnerability-and-ransomware-potential

tra le premesse: The threat model will require the attacker to have Kernel Level compromise and authorize TPM commands in the protocol.

per la serie: "se hai già compromesso di brutto praticamente tutto il sistema, c'è la possibilità di riuscire a compromettere pure il TPM"

https://en.wikipedia.org/wiki/Blue_Pill_(software)

esattamente cosa c'entra con il TPM? tralaltro una cosa del genere verrebbe probabilmente mitigata dalla semplice attivazione di Hyper-V

Da Windows 10 le specifiche non richiedono più (http://www.pcworld.com/article/2900536/windows-10s-secure-boot-requirement-could-make-installing-linux-a-big-headache.html) che il secure boot sia disattivabile dall'utente. E' a discrezione dell'OEM.

oh, non lo sapevo, grazie di averlo detto

comunque, riguardo alla notizia, quello che ancora per molti non è chiaro è che la notizia non è che il TPM diventerà obbligatorio, ma che diventerà obbligatoria la versione 2.0: la 1.2 è obbligatoria da Windows 8.1, e non mi pare si sia avverato nessuno degli scenari apocalittici di cui si parla

Stavo per prendere un portatile nuovo,
ora mi accertero' che supporti TPM 2.0 :O

Vorrai dire che NON supporti...

Non necessariamente sw pirata. Basta un qualsiasi sw che a MS non garba.

Superquoto.

La libertà non ha prezzo; mi basta sentir dire che M$ "obbliga" qualcosa a qualcuno per avere conati di vomito inarrestabili!

Da Windows 10 le specifiche non richiedono più (http://www.pcworld.com/article/2900536/windows-10s-secure-boot-requirement-could-make-installing-linux-a-big-headache.html) che il secure boot sia disattivabile dall'utente. E' a discrezione dell'OEM.

Bel colpo, grazie M$, per queste specifiche, ne sentivamo un bisogno...!

Se non bastassero altre motivazioni, questa fa traboccare (di nausea) il vaso.

Alla larga da Win 10!

(poi fate come volete, cavoli vostri)

windows tutto sommato ha i suoi vantaggi. l'architettura di nt non e' cosi' una schifezza come si dice. anzi, i concetti di fondo sono buoni. possiamo discutere su implementazioni bug e sul monopolio e le strategie commerciali, ma l'architettura in se non sarebbe cosi' pessima.

poi, non vince sempre il migliore in informatica. vedasi beos, tecnicamente stupendo ma stroncato alle svelte.

a me basterebbe reactos, se fosse pronto :(

Sono daccordo, anche io non critico Windows in se, ma non sopporto la politica M$ e le sue scelte più o meno subdolamente imposte!

Speriamo in reactOS, quando è usabile diccelo.

d'altra parte l'articolo era da parte di quelli di TrueCrypt, che hanno dovuto sconsigliare il proprio stesso software col tempo.
Con modalità per altro abbastanza dubbie che hanno lasciato più perplessità che certezze, senza contare il fatto che le verifiche circa la sua integrità (http://punto-informatico.it/4238913/PI/News/truecrypt-concluso-auditing.aspx) non hanno riscontrato buchi di sorta.

Hmmm... digitate TPM.MSC e vedete che anche da software e' possibile disattivare/modificare il TPM... :mbe:

tra le premesse: The threat model will require the attacker to have Kernel Level compromise and authorize TPM commands in the protocol.

per la serie: "se hai già compromesso di brutto praticamente tutto il sistema, c'è la possibilità di riuscire a compromettere pure il TPM"



esattamente cosa c'entra con il TPM? tralaltro una cosa del genere verrebbe probabilmente mitigata dalla semplice attivazione di Hyper-V



oh, non lo sapevo, grazie di averlo detto

comunque, riguardo alla notizia, quello che ancora per molti non è chiaro è che la notizia non è che il TPM diventerà obbligatorio, ma che diventerà obbligatoria la versione 2.0: la 1.2 è obbligatoria da Windows 8.1, e non mi pare si sia avverato nessuno degli scenari apocalittici di cui si parla

per ora no. il cappio va stretto molto lentamente. comunque la massificazione dell'utenza ha peggiorato le cose. invece di educare la gente e farla pensare, bisogna peggiorare i terminali.

Sono daccordo, anche io non critico Windows in se, ma non sopporto la politica M$ e le sue scelte più o meno subdolamente imposte!

Speriamo in reactOS, quando è usabile diccelo.

amen :( e' che sara' dura :(

Hmmm... digitate TPM.MSC e vedete che anche da software e' possibile disattivare/modificare il TPM... :mbe:

non sono sicuro che sia possibile per tutti gli oem. spesso gli oem usano blocchi stranissimi sui loro prodotti.

Io mi sono stupito che è saltato fuori solo nel secondo post e non già nel primo :asd:

:asd: :friend:

il TPM è solo uno strumento passivo, non il "chip Fritz" che spaventava tanto la gente nel 2005

Ricorda che il "fritz chip" era un soprannome generico su cui la stampa aveva fatto molta confusione. :rolleyes:

Ma se si va a guardare in cosa consisteva (http://www.cl.cam.ac.uk/~rja14/tcpa-faq.html) si scopre che:
4. How does TC work?

TC provides for a monitoring and reporting component to be mounted in future PCs. The preferred implementation in the first phase of TC emphasised the role of a `Fritz' chip - a smartcard chip or dongle soldered to the motherboard. The current version has five components - the Fritz chip, a `curtained memory' feature in the CPU, a security kernel in the operating system (the `Nexus' in Microsoft language), a security kernel in each TC application (the `NCA' in Microsoft-speak) and a back-end infrastructure of online security servers maintained by hardware and software vendors to tie the whole thing together.

The initial version of TC had Fritz supervising the boot process, so that the PC ended up in a predictable state, with known hardware and software. The current version has Fritz as a passive monitoring component that stores the hash of the machine state on start-up. This hash is computed using details of the hardware (audio card, video card etc) and the software (O/S, drivers, etc). If the machine ends up in the approved state, Fritz will make available to the operating system the cryptographic keys needed to decrypt TC applications and data. If it ends up in the wrong state, the hash will be wrong and Fritz won't release the right key. The machine may still be able to run non-TC apps and access non-TC data, but protected material will be unavailable.

The operating system security kernel (the `Nexus') bridges the gap between the Fritz chip and the application security components (the `NCAs'). It checks that the hardware components are on the TCG approved list, that the software components have been signed, and that none of them has a serial number that has been revoked. If there are significant changes to the PC's configuration, the machine must go online to be re-certified: the operating system manages this. The result is a PC booted into a known state with an approved combination of hardware and software (whose licences have not expired). Finally, the Nexus works together with new `curtained memory' features in the CPU to stop any TC app from reading or writing another TC app's data. These new features are called `Lagrande Technology' (LT) for the Intel CPUs and `TrustZone' for the ARM.

Once the machine is in an approved state, with a TC app loaded and shielded from interference by any other software, Fritz will certify this to third parties. For example, he will do an authentication protocol with Disney to prove that his machine is a suitable recipient of `Snow White'. This will mean certifying that the PC is currently running an authorised application program - MediaPlayer, DisneyPlayer, whatever - with its NCA properly loaded and shielded by curtained memory against debuggers or other tools that could be used to rip the content. The Disney server then sends encrypted data, with a key that Fritz will use to unseal it. Fritz makes the key available only to the authorised application and only so long as the environment remains `trustworthy'. For this purpose, `trustworthy' is defined by the security policy downloaded from a server under the control of the application owner. This means that Disney can decide to release its premium content only to a media player whose author agrees to enforce certain conditions. These might include restrictions on what hardware and software you use, or where in the world you're located. They can involve payment: Disney might insist, for example, that the application collect a dollar every time you view the movie. The application itself can be rented too. The possibilities seem to be limited only by the marketers' imagination.

La prima versione poteva impedire anche il boot "da sola" ma poco cambia nella sostanza (il vantaggio della nuova versione "passiva" è che permette di ridurre i costi di produzione visto che si appoggia sulle feature di trusted computing della cpu stessa). :read:

Ricorda che il "fritz chip" era un soprannome generico su cui la stampa aveva fatto molta confusione. :rolleyes:

Ma se si va a guardare in cosa consisteva (http://www.cl.cam.ac.uk/~rja14/tcpa-faq.html) si scopre che:


La prima versione poteva impedire anche il boot "da sola" ma poco cambia nella sostanza (il vantaggio della nuova versione "passiva" è che permette di ridurre i costi di produzione visto che si appoggia sulle feature di trusted computing della cpu stessa). :read:

è esattamente quello che dicevo, il TPM di oggi non è quella roba di cui si parlava 10 anni fa, avevo messo "chip fritz" tra virgolette proprio per questo motivo

in ogni caso Windows 10 Enterprise supporta la Isolated User Mode (https://channel9.msdn.com/Blogs/Seth-Juarez/Isolated-User-Mode-in-Windows-10-with-Dave-Probert), una cosa simile a quella scritta in quel pezzo (che credo di aver già letto 10 anni fa, l'esempio di Biancaneve e del "DisneyPlayer" non mi è nuovo), che funziona meglio grazie al TPM ma che non ha effettivamente bisogno di esso per funzionare

Dopo più di 10 anni di flame allucinanti, si ritorna al solito spauracchio di Palladium brutto e cattivo. Non è cambiato nulla: solito FUD.

Sull'argomento:
L’alba del Trusted Computing… (http://www.appuntidigitali.it/16281/lalba-del-trusted-computing/)
TCPA: il mezzo che dà fastidio a priori (http://www.appuntidigitali.it/10829/tcpa-il-mezzo-che-da-fastidio-a-priori/)
Palladium, TCPA, problemi reali o ipotetici? (http://www.hwupgrade.it/forum/showthread.php?t=1011111)
Blizzard: Il DRM è una battaglia persa (http://www.hwupgrade.it/forum/showthread.php?t=2198596)