[Thread Ufficiale] Tecnologie LaGrande e Presidio nei processori Intel e AMD

[malocchio]

Quote:

Originariamente inviato da eVuGEGA

Molte cose che hai detto, per quanto fantasiose possano sembrare, sono invece una reale minaccia alla nostra liberta'. Tuttavia permettimi di dissentire su alcuni punti. Non e' proprio vero che le funzionalita' software del "trusted" computing sono del tutto nascoste: altrimenti i driver pur sempre aperti inclusi nel kernel linux, ed un emulatore del TPM, non sarebbero stati possibili. Le specifiche dell'archittetura tc le puoi trovare qui.
Sinceramente non so se il driver del TPM sia integrato di default nelle distro, comunque ho sentito dire che per abilitare una archittetura tc completa c'e' bisogno di un kernel progettato ad-hoc, un semplice driver non dovrebbe bastare.

Grazie mille dei link!!
A quanto ho capito l'emulatore serve a portare il TC dentro le macchine virtuali... Il secondo link è stato una sorpresa, non pensavo che avessero un sito dove rilasciano informazioni al riguardo.. purtroppo la documentazione è piuttosto lunga e so per certo che non capirei gran ché con tutte le siglettine che ci ficcano. Però vedo che le specifiche ci sono tutte..

A quanto pare prima ho parlato un po' senza sapere.

Per quel che riguarda Linux, ho letto nei link del primo post che Linus Torvalds non ha voluto fare una scelta al riguardo, ma ha voluto che si sviluppassero cmq i driver, per poi lasciar decidere all'utente se usarli o no. Subito dopo c'era scritto che i moduli sono compilati di default da una certa versione in poi (2.4 o 2.6, non ricordo). Personalmente penso che avere il TPM su un sistema Linux sia una contraddizione.. praticamente tutto il software distribuito è open e non potrà mai avere la certificazione TC (e mi sta anche bene così, mi fido di più dei programmatori che condividono che di quelli che mi dicono cosa fare), per cui l'unico scopo per averlo sarebbe quello di usufruire dei servizi "TPM-legati", ma se ho del software non-trusted, funziona lo stesso??? Non mi è molto chiaro (e penso neanche a te) il discorso dell'integrazione del TPM nel kernel. L'importante è che con Linux lo posso sapere e scegliere se utilizzare o no; con altri SO prigione non dovrebbe essere così facile la faccenda, secondo me.
Inutile farsi domande, a breve ci schiafferanno addosso le risposte senza neanche volerle, e con una delicatezza così perfetta da mettercelo sonoramente nel c**o.

Quote:

Originariamente inviato da oclla

In linux il TPM è un modulo del kernel.
In fase di compilazione del kernel puoi sempre scegliere se includerlo o no.

Beh al giorno d'oggi non tutti ricompilano il kernel - io non l'ho mai fatto - anche se è un'operazione raccomandata e anche vantaggiosa per l'utente, ma se servisse per staccarmi dalle pa11e il TPM lo farei MOLTO volentieri.

[oclla]

Quote:

Originariamente inviato da malocchio

--cut
Beh al giorno d'oggi non tutti ricompilano il kernel - io non l'ho mai fatto - anche se è un'operazione raccomandata e anche vantaggiosa per l'utente, ma se servisse per staccarmi dalle pa11e il TPM lo farei MOLTO volentieri.

E' vero quello che dici, ma mi pare proprio che il modulo non sia incluso di default.
Il TPM può essere anche utile, per questioni di sicurezza... per la crittografia (che si fa anche adesso senza nessun modulo).. autenticazione ultra sicura..

Il tpm anche svolge il lavoro di crittazione/decriittazione, sgravando il processore (che poi si sa benissimo che abbiamo il 99% di processore in idle..)

[berto1886]

Quote:

Originariamente inviato da Mafio

la virtualizzazione la ha, però non ha LaGrande.

Si, QUOTO, è cmq pulito la virtualizzazione può anche essere utile!!

[killercode]

Dal blog Pollycoke
http://pollycoke.net/2008/07/03/trusted/

[berto1886]

Quote:

Originariamente inviato da Thommy_Yorke

G-E-N-I-A-L-E!!!

[ConteZero]

Il TPM (Trusted Platform Module) è solo una cornerstone di TCPA (o come diavolo si chiama oggi).
Di per sé il componente non è né buono né cattivo, anzi... in certi contesti può essere anche utile (l'engine crittografico sarebbe utilissimo se si riuscisse ad usare con SSL e soci) e, vale la pena dirlo, buona parte delle feature "avanzate" di TPM sono accessibili solo dietro NDA, per cui su Linux il supporto rimane limitato al minimo sindacale.

Per il resto non mi preoccupo più di tanto di TPM (anzi, sarebbe veramente utile in una distribuzione "hardened" dove tutti gli eseguibili sono "segnati" da una CA e validati prima dell'esecuzione), il problema si pone quando su TPM si costruisce un impalcatura che culmina con un sistema che permette funzionalità "trojan".

Ma quest'infrastruttura non piace al mercato, e questo è di per sé il marchio del fallimento ben al di la di possibili cospirazioni globali / NWO o quel che vi pare...
Per diventare veramente "problematico" TPM dovrà prima diventare standard ed obbligatorio, dovrà esistere un impalcatura estremamente robusta che lo sostiene e che s'appoggia ad esso (ed è più facile a dirsi che a farsi) e dovremo decidere (noi) di usarlo.
Ad oggi la presenza di TPM (anche col supporto compilato ed inserito nel kernel) non è un "threat" per la sicurezza o la privacy, e questo perché non esiste praticamente nulla che usa o s'appoggia TPM, e probabilmente il discorso rimarrà tale anche per il futuro.

Per concludere nei processori si può mettere di tutto (le safe zone dei dischi IDE/SATA sono almeno altrettanto problematiche e pensate per fini simili, eppure nessuno se ne preoccupa anche perché nessuno le usa) ma alla fine, come sempre, l'utilità e/o la pericolosità la decide il mercato e la gente.

[malocchio]

Quote:

Originariamente inviato da ConteZero

Il TPM (Trusted Platform Module) è solo una cornerstone di TCPA (o come diavolo si chiama oggi).
Di per sé il componente non è né buono né cattivo, anzi... in certi contesti può essere anche utile (l'engine crittografico sarebbe utilissimo se si riuscisse ad usare con SSL e soci) e, vale la pena dirlo, buona parte delle feature "avanzate" di TPM sono accessibili solo dietro NDA, per cui su Linux il supporto rimane limitato al minimo sindacale.

Per il resto non mi preoccupo più di tanto di TPM (anzi, sarebbe veramente utile in una distribuzione "hardened" dove tutti gli eseguibili sono "segnati" da una CA e validati prima dell'esecuzione), il problema si pone quando su TPM si costruisce un impalcatura che culmina con un sistema che permette funzionalità "trojan".

Ma quest'infrastruttura non piace al mercato, e questo è di per sé il marchio del fallimento ben al di la di possibili cospirazioni globali / NWO o quel che vi pare...
Per diventare veramente "problematico" TPM dovrà prima diventare standard ed obbligatorio, dovrà esistere un impalcatura estremamente robusta che lo sostiene e che s'appoggia ad esso (ed è più facile a dirsi che a farsi) e dovremo decidere (noi) di usarlo.
Ad oggi la presenza di TPM (anche col supporto compilato ed inserito nel kernel) non è un "threat" per la sicurezza o la privacy, e questo perché non esiste praticamente nulla che usa o s'appoggia TPM, e probabilmente il discorso rimarrà tale anche per il futuro.

Per concludere nei processori si può mettere di tutto (le safe zone dei dischi IDE/SATA sono almeno altrettanto problematiche e pensate per fini simili, eppure nessuno se ne preoccupa anche perché nessuno le usa) ma alla fine, come sempre, l'utilità e/o la pericolosità la decide il mercato e la gente.

Sono in buona parte d'accordo con quello che hai detto, è vero che il TPM integrato ad oggi nell'hardware o in un kernel non rappresenta una "minaccia", perché non esiste ancora l'intera infrastruttura su cui poggiare, tant'è che io sto *forse - problemi di $$$* per comperare un portatile che nelle specifiche integra la tecnologia TPM...

Sono molto d'accordo con il discorso sul "trojan": quello che mi preoccupa di più è che il TC possa rivelare nostri dati sensibili (non solo anagrafici, ma anche utilizzo abituale del software, abitudini di navigazione, ecc.) a qualcuno per cui sicuramente provo una forte antipatia.

Continuo però a sostenere che la tecnologia TC entrerà nelle nostre abitudini così gradualmente che ci ritroveremo in mezzo senza accorgercene e senza tanti fastidi, per cui non darei già da adesso al fallimento il progetto di "spionaggio".

Non ho capito alcune parti del tuo discorso, portesti essere più chiaro riguardo a: "cornerstone", "NDA", "distribuzione hardened", "CA", "NWO" e le "safe zone dei dischi IDE/SATA".
Scusa la mia ignoranza

Infine, è vero che è sempre il mercato a decidere, ma IL MERCATO è FATTO DA PERSONE E STRATEGIE DI MERCATO, no?

[ConteZero]

Cornerstone: "pietra d'angolo", tecnologia necessaria ed insostituibile.
NDA: "Non Disclusure Agreement", accordo (obbligo) di non divulgazione.
Distribuzione hardened: distribuzione fortemente orientata alla sicurezza.
CA: "Certification Authority", un entità (una società o un tizio con un computer) che "firma digitalmente" qualcosa.
NWO: "New World Order", vedi "Illuminati" (e non vedere gli FNORD).
safe zone IDE/SATA: zone del disco il cui accesso può essere limitato al BIOS.

Per il resto TPM non può "accendersi da solo" e non può aprire un socket e mandare in giro i tuoi dati... è il sistema operativo che deve svegliarlo e deve permettergli di comunicare.
Ad oggi non c'è nulla di tutto ciò in giro ed il fatto che sia permesso disattivare (o direttamente non compilare il modulo che gestisce) il TPM lo rende abbastanza inutile.

[malocchio]

Quote:

Originariamente inviato da ConteZero

Cornerstone: "pietra d'angolo", tecnologia necessaria ed insostituibile.
NDA: "Non Disclusure Agreement", accordo (obbligo) di non divulgazione.
Distribuzione hardened: distribuzione fortemente orientata alla sicurezza.
CA: "Certification Authority", un entità (una società o un tizio con un computer) che "firma digitalmente" qualcosa.
NWO: "New World Order", vedi "Illuminati" (e non vedere gli FNORD).
safe zone IDE/SATA: zone del disco il cui accesso può essere limitato al BIOS.

Per il resto TPM non può "accendersi da solo" e non può aprire un socket e mandare in giro i tuoi dati... è il sistema operativo che deve svegliarlo e deve permettergli di comunicare.
Ad oggi non c'è nulla di tutto ciò in giro ed il fatto che sia permesso disattivare (o direttamente non compilare il modulo che gestisce) il TPM lo rende abbastanza inutile.

Grazie delle spiegazioni.. cmq anche io prima mi riferivo in generale al TC, non al TPM riguardo ad inviare i dati privati a terzi

[ConteZero]

Ad oggi TC è un po'vago come termine... non è detto che un sistema TC debba per forza essere architettato per mandare dati personali e simili.
Un sistema TC ad esempio potrebbe permettere d'eseguire solo software compilato su un certo computer e segnato appositamente dall'amministratore di sistema.
In questo modo se anche un cracker riuscisse ad accedere alla shell dei comandi senza la chiave di firma, pur riuscendo a compilare non avrebbe modo di lanciare exploit vari, e questo perché Linux si rifiuterebbe di eseguire codice non firmato.
E'necessario TC per questo ? No.
E'pratico TC per questo ? Si.
E come questo mille altre cose... ora, prima di fasciarci la testa aspettiamo di rompercela... vediamo come prosegue la cosa, e poi decideremo il da farsi.
Attualmente mi rode di più lo scarso supporto alle schede video da parte di ATi ed nVidia, e l'idea di Intel (che stà progettando VAAPI) di mettere un modulo binario "DRM" sulle librerie d'accelerazione mi fa girare i *simpatia* ben più di quanto non faccia il TC, almeno per com'è oggi.

[Alex_80]

In realtà quello che potrebbe fare il TC, può essere già fatto con l'hardware esistente, con l'unica differenza che la trasmissione dei dati all'interno del PC non è crittografata e quella all'esterno è crittografata in modo meno robusto di quella TC, il TC rende soltanto molto più difficile se non impossibile scoprire cosa succede nel PC, tuttavia un normale utente non si accorgerebbe di nulla in entrambi i casi; questo infatti è quello che già oggi fanno i virus, e simili, anche un programma che non può essere considerato un virus può decidere di limitare le operazioni dell'utente (DRM), ricordiamoci infatti che tra un programma e un virus in realtà non ci sono grosse differenze: entrambi sono programmi, in un caso fanno quello chiesto l'utente nell'altro no, esiste poi la possibilità che faccia alcune cose chieste dall'utente e altre no (per cose non chieste dall'utente intendo operazioni a svantaggio dell'utente alla propria insaputa: cancellazione file, invio di informazioni personali, attacchi ad altri PC, ecc).

[ConteZero]

Il TC è una tecnologia duale, può avere risvolti negativi e risvolti positivi, stà a chi la usa decidere come usarla.
In ogni caso inutile fasciarsi la testa, se non volete TC togliete il modulo linux e vivete felici con un sistema "TC free".
Sotto windows la cosa potrebbe essere più rognosa, ma parliamo sempre d'infiniti infinitesimi, anche perché tutto questo interessamento su TC al momento non l'ha dimostrato nessuno.

PS: TC assicura anche un maggior grado di sicurezza, perché se un exploit o un modulo kernel "hackato" (esistono) provassero ad intercettare i controlli con TC non potrebbero far nulla.

[Alex_80]

Con la VT è possibile che un virus crei una zona virtuale nella CPU/RAM in modo da rendersi invisibile a qualsiasi antivirus o altro sistema di sicurezza?

[Mafio]

Quote:

Originariamente inviato da Alex_80

Con la VT è possibile che un virus crei una zona virtuale nella CPU/RAM in modo da rendersi invisibile a qualsiasi antivirus o altro sistema di sicurezza?

speriamo di no

[ConteZero]

Un hacker diverso tempo addietro aveva già "fregato" Vista lanciandolo come applicazione virtualizzata via VT ed emulando un mini TPM (giusto Endorsement Key e poco altro).
Funzionò, anche se Microsoft disse che avrebbe reso la cosa impossibile (sarà vero ?).
Al momento VT è una cosa che serve nello 0.5% dei computer.

[Alex_80]

Ma è vero che con la VT hardware della CPU aumenta effettivamente il rischio di virus?

[Mafio]

Quote:

Originariamente inviato da ConteZero

Un hacker diverso tempo addietro aveva già "fregato" Vista lanciandolo come applicazione virtualizzata via VT ed emulando un mini TPM (giusto Endorsement Key e poco altro).
Funzionò, anche se Microsoft disse che avrebbe reso la cosa impossibile (sarà vero ?).
Al momento VT è una cosa che serve nello 0.5% dei computer.

si ma svista è un caso a parte

[ConteZero]

Questo fa parte del regno delle leggende metropolitane.
Un virus che sfrutta la VT per funzionare deve sfruttare la VT. La virtualizzazione significa "lanciare qualcosa in una macchina virtuale", quindi il virus dev'essere l'hypervisor... ergo dev'essere eseguito PRIMA del SO sottostante.

[Mafio]

Quote:

Originariamente inviato da ConteZero

Questo fa parte del regno delle leggende metropolitane.
Un virus che sfrutta la VT per funzionare deve sfruttare la VT. La virtualizzazione significa "lanciare qualcosa in una macchina virtuale", quindi il virus dev'essere l'hypervisor... ergo dev'essere eseguito PRIMA del SO sottostante.

quindi la vt non aumenta il rischio di prendere virus???

[ConteZero]

No, usare Windows aumenta il rischio di prendere virus.