1 00:00:00,000 --> 00:00:05,819 Subtitles created by Musa Jallow (ITKST56 course assignment at JYU.fi) 2 00:00:10,115 --> 00:00:12,674 Resurssien loppuminen 3 00:00:12,988 --> 00:00:16,988 Hakkerointi TMP:llä 4 00:00:20,755 --> 00:00:25,688 Seuraava puhe on hakkerointi TMP:llä. Älkää kysykö mitä voitte tehdä 5 00:00:25,688 --> 00:00:28,161 TMP:llä. Sen sijaan kysykää mitä TMP voi tehdä sinulle 6 00:00:30,841 --> 00:00:33,552 Ja se toimii tietyllä tavalla johdantona siihen mitä TMP on ja mitä 7 00:00:33,552 --> 00:00:34,942 sillä voi tehdä 8 00:00:34,942 --> 00:00:40,922 Ja vieraileva juontaja on Andreas ja tässä hän on. Antakaa suuret aplodit. 9 00:00:40,952 --> 00:00:42,262 Kiitos 10 00:00:48,738 --> 00:00:53,888 Tervehdys kaikille. Minun nimeni on Andreas. Aion esitellä joitakin asioita 11 00:00:53,888 --> 00:00:57,888 TMP:stä. Tässä on minun GitHub-kahva ja nimi josta voit löytää osan asioiasta 12 00:00:57,888 --> 00:01:01,576 joiden parissa työskentelen 13 00:01:01,576 --> 00:01:06,346 Ja kaikista tärkeimmät lähteet joista puhun on tämä. Näet sen 14 00:01:06,346 --> 00:01:10,036 loppuyhteenvedossa uudestaan 15 00:01:10,036 --> 00:01:15,364 Jotenka, kuka minä olen. Työskentelen TMP:n parissa, jotenka olen 16 00:01:15,364 --> 00:01:19,570 löytänyt jonkun joka on valmis maksamaan minulle työskennelläkseni tämän asian 17 00:01:19,570 --> 00:01:20,836 parissa. 18 00:01:20,836 --> 00:01:23,926 Ja olen jäsenenä luotto tietokoneryhmässä, joka tekee paljon 19 00:01:23,926 --> 00:01:26,421 näiden asioiden määrittelyä 20 00:01:28,952 --> 00:01:33,998 Aloitin työskentelyn TMP:n parissa 13 vuotta sitten, jolloin se oli 1.2. 21 00:01:35,930 --> 00:01:42,220 Yritin saada asiat toimivaan itselleni, mikä ei kuitenkaan onnistunut järjestelmä 22 00:01:42,220 --> 00:01:49,683 ei ollut hyvin ylläpidetty, API oli ikävä 23 00:01:49,810 --> 00:01:56,980 Jotenka 5 vuotta sitten, kun osallistujia rekrytoitiin työskentelmään 24 00:01:56,980 --> 00:02:03,233 TSS 2.0 parissa. Hyppäsin kanin koloon välittömästi 25 00:02:03,360 --> 00:02:07,710 Määrittelyä, kirjoittamista ja mitä muuta TSS toteuttamiseen ja ylläpitoon 26 00:02:07,710 --> 00:02:10,040 tarvittiin. 27 00:02:10,040 --> 00:02:14,863 Github tuli myöhemmin kuvioihin 28 00:02:14,863 --> 00:02:20,915 Tätä lopputulosta aion esitellä teille. Aion käydä läpi esittely lyhyesti 29 00:02:20,915 --> 00:02:25,008 mitä TMP:t ovat 30 00:02:25,337 --> 00:02:30,956 Ja sitten siirrymme kahteen aiheeseen tietojen suojaaminen ja 31 00:02:30,956 --> 00:02:35,825 käynnistyksen suojaaminen. Ja sitten informaatiota siitä miten voit aloittaa 32 00:02:35,826 --> 00:02:38,886 työskentelyn itse 33 00:02:40,171 --> 00:02:44,551 Ja tässä tulee hauska osuus. Jotenka teidän huviksi ja minun 34 00:02:44,551 --> 00:02:48,126 henkilökohtaisen yöllisen adrenaliinin vuoksi ajattelin sisällyttää joitakin 35 00:02:48,126 --> 00:02:49,996 demoja 36 00:02:49,996 --> 00:02:53,996 Se mitä aion nyt tehdä on, että kopion kaiken tämän 37 00:02:54,185 --> 00:02:57,351 Siirryn omistamaani ja luotettavaan virtuaalikoneeseen 38 00:02:59,476 --> 00:03:02,496 Ja tietysti se ei toimi heti 39 00:03:04,939 --> 00:03:07,489 Minun olisi pitänyt avata sudo ensiksi 40 00:03:07,703 --> 00:03:10,683 Aion tehdä live demoja aina välillä 41 00:03:11,712 --> 00:03:17,622 Pyydän, älkää DoS täällä olevaa internettiä tai esitys jää hyvin lyhyeksi 42 00:03:19,530 --> 00:03:24,799 Mitä ovat TMP:t. TMP on turvallisuus-siru joka liitetään emolevyyn 43 00:03:26,912 --> 00:03:33,902 Ja kiitso Microsoftin, kun antoivat TMP:s kaikille halvalla. Koska kiitos 44 00:03:33,915 --> 00:03:38,885 Microsoftin logo-ohjelman jokaisessa kuluttajatietokoneessa on nykyään TMP 45 00:03:41,406 --> 00:03:45,776 Jotenka miksi ei käyttäisi niitä. Ne ovat melko tietoturvallisia. Niissä on 46 00:03:45,796 --> 00:03:54,631 tiety kriteerisertifikaatit joihin voitte luottaa 47 00:03:57,733 --> 00:04:06,933 Tottakai on ollut joitain TMP.failed ja Tanja ja David puhuivat 48 00:04:06,938 --> 00:04:11,498 tästä kaksi, kolmetuntia sitten mikä oli mielenkiintoista 49 00:04:11,850 --> 00:04:21,410 Ja mihin se pystyy? Se pystyy tekemään Cryptoa, varastointia ja tallentamaan boot has -arvoja 50 00:04:21,645 --> 00:04:24,856 Ja se on periaattessa kaikki mihin se pystyy. Jotenka se on täysin 51 00:04:24,856 --> 00:04:26,547 passiivinen laite 52 00:04:26,591 --> 00:04:31,781 Mikä on kaikista tärkein pointti. Ja oikealla näette vanhoja 1.2 versioita. 53 00:04:31,781 --> 00:04:35,691 Nykypäivänä se on paljon pienempi 54 00:04:37,435 --> 00:04:43,675 Ovat TMP:t vaarallisia? Mielestäni olemme kuullet keskusteluja 55 00:04:43,675 --> 00:04:47,015 menneisyydessä, että kongressissa ollaan väitelty molemmista suunnista 56 00:04:47,015 --> 00:04:54,405 TMP:llä oli huono maine kun ne tulivat ensimmäistä kertaa myyntiin 57 00:04:54,418 --> 00:04:57,268 Kuten sanoin ne ovat täysin passiivisia 58 00:04:57,268 --> 00:05:01,268 Ja mitä TMP:t ovat oikeasti niin ne ovat upotettuja älysiruja 59 00:05:01,569 --> 00:05:05,569 Jotenka sinulla on tietynlainen tietoturvaelementti tietokoneessa jota 60 00:05:05,569 --> 00:05:07,739 voit käyttää hyödyksi 61 00:05:07,804 --> 00:05:11,804 Ja sitten on rehellisyys raportointi ja paikkaominaisuudet 62 00:05:12,730 --> 00:05:15,909 Joihin menen vähän tarkemmin myöhemmin 63 00:05:16,655 --> 00:05:21,165 Mutta älä vain ota minun sanaani asiasta vaan ota Richard Stormanin tai 64 00:05:21,168 --> 00:05:26,998 GNU säätiön, koska he määrittelivät että luottamus-alusta-moduuli, joka on 65 00:05:27,006 --> 00:05:31,006 saatavilla tietokoneisiin ei ole vaarallinen ja ei ole syytä sisällyttää 66 00:05:31,028 --> 00:05:34,178 sellaista tietokoneeseen 67 00:05:34,498 --> 00:05:38,268 Sanoisin, että ne ovat saaneet "Storman hyväksyssän" 68 00:05:38,268 --> 00:05:42,268 Ja täten miksi ei vain voisi käyttää niitä 69 00:05:43,456 --> 00:05:46,936 Seuraavaksi siirrytään asian pihviin 70 00:05:46,936 --> 00:05:50,877 Kirjautumistietojen suojaaminen. Kuka täällä käyttää julkista avain 71 00:05:50,877 --> 00:05:53,167 suojausta jollakin tavalla? 72 00:05:53,276 --> 00:05:56,496 Odotan, että kaikki kädet nousevat 73 00:05:57,938 --> 00:06:01,938 Kuka käyttää älykorttia tai "Yubi"-avainta tai TMP:tä suojaamaan 74 00:06:01,938 --> 00:06:03,666 tietoja? 75 00:06:03,666 --> 00:06:05,106 Okei 76 00:06:05,217 --> 00:06:09,217 Ja kuka on optimoinut tämän prosessin ja vain jättänyt alykortin 77 00:06:09,236 --> 00:06:15,466 sinne taikatkaissut osan siitä? Tai käyttäny Yubi-avain nanoa? 78 00:06:16,801 --> 00:06:23,681 Okei. Vain muutama. Teille muutamille tämä on sama suoja minkä 79 00:06:23,681 --> 00:06:26,041 TMP tarjoaa 80 00:06:26,041 --> 00:06:32,471 Ja muille älykortit. Voitte käyttää TMP:tä, koska se on kätevämpi. Lisäksi 81 00:06:32,471 --> 00:06:39,459 teillä on jo se niin miksi ette käyttäisi sitä? 82 00:06:43,162 --> 00:06:47,996 Okei. Mikä on turvallisuus idea kirjautumistietojen suojaamisessa, 83 00:06:47,996 --> 00:06:52,956 joka tulee älykorttien ja TMP:n kanssa saman tyylisesti? 84 00:06:53,939 --> 00:06:59,059 Periaatteessa haluamme jakaa autentikoinnin, todisteen hallussapidosta 85 00:06:59,059 --> 00:07:03,900 ja todisteen tiedosta 86 00:07:05,596 --> 00:07:10,845 Jotenka meillä on kaksi tekijää jotka haluamme saavuuttaa autentikoinnissa 87 00:07:11,656 --> 00:07:15,697 Todiste tiedosta on hyvin suoraviivainen. salasanan tai koodin 88 00:07:15,697 --> 00:07:17,567 laittaminen älykortin avaamiseksi. 89 00:07:17,567 --> 00:07:22,407 Ja todiste hallussapidosta on toinen tekijä. Mitä tämä tärkoitta? 90 00:07:22,514 --> 00:07:28,134 Mitä tarvitset luodaksesi todisteen hallussapidosta tarvitset jotain mikä 91 00:07:28,216 --> 00:07:30,949 ei ole kopioitavissa tai kloonattavissa 92 00:07:30,949 --> 00:07:34,449 Eli se on pääominaisuus mitä älykortti sinulle antaa 93 00:07:34,449 --> 00:07:39,679 Mitä, esimerkiksi pehmeä merkki tai julkinen avain, joka hengailee sinun 94 00:07:39,679 --> 00:07:41,869 kovalevyllä ei anna sinulle 95 00:07:42,049 --> 00:07:50,349 Koska voit vain CPttää sen ja tuoda sen eri koneelle 96 00:07:50,496 --> 00:07:53,762 Ja ajaa sen samaan aikaan monella koneella 97 00:07:53,926 --> 00:08:00,055 Jotenka jos sinulla on jotain mitä ei voi kopioida, voi olla vain yhdellä 98 00:08:00,055 --> 00:08:05,265 henkilöllä ja siten saat lisä turvaa. 99 00:08:05,891 --> 00:08:10,461 Ja tästä tulee erityisen tärkeää kaikissa hakkerointi konferensseissa, 100 00:08:10,563 --> 00:08:14,664 täällä tai BlackHat tai missä ikinä 101 00:08:14,664 --> 00:08:18,094 Koska näissä tapahtumissa olevat ihmiset ovat hyvä tallentamaan 102 00:08:18,094 --> 00:08:21,582 ja selvittämään salasanoja 103 00:08:21,582 --> 00:08:24,724 Jotenka tämä on hyvä argumentti miksi sinulla tulisi olla toinen 104 00:08:24,724 --> 00:08:25,794 ominaisuus 105 00:08:27,983 --> 00:08:33,873 Jotenka todiste hallussapidosta voi olla älykortti tai Yubi-avain nano 106 00:08:33,873 --> 00:08:38,873 voidaan muuttaa todisteeksi hallusapidosta tietokoneella joka 107 00:08:38,873 --> 00:08:41,483 sisältää TMP:n 108 00:08:41,483 --> 00:08:45,483 Jotenka ainoastaan jos jollain on pääsy tähän koneeseen ja tieto koodista. 109 00:08:45,483 --> 00:08:51,757 Nämä kaksi tekijää mahdollistavat autentikoinnin 110 00:08:52,370 --> 00:08:55,650 Tyypillisesti jos olet hakkeroinnin uhri. Tämä on ongelma siinä mitä 111 00:08:55,650 --> 00:08:58,000 todiste hallussapidosta tarkoittaa 112 00:08:58,037 --> 00:09:04,217 Sama kuin jos sinulla on älykortti älykorttilukijassa siinä ajassa kun joku 113 00:09:05,547 --> 00:09:09,547 saa järjestelmäsi haltuun he ovat enemmän tai vähemmän kyvykkäitä 114 00:09:09,547 --> 00:09:14,407 käyttämään sinun kirjautumistietoja 115 00:09:15,196 --> 00:09:19,196 Mutta on kaksi eroa. Ne ovat väliaikaisesti kiinnitettyjä aikaan 116 00:09:19,213 --> 00:09:23,213 joka hakkeroinnissa kestää eli jos siivoat järjestelmän voit jatkaa 117 00:09:23,239 --> 00:09:26,309 työskentelyä normaalisti jälkeenpäin 118 00:09:26,837 --> 00:09:30,627 Toinen asia on, että ei ole mahdollista että hyökkäys, kuten 119 00:09:30,627 --> 00:09:32,133 "kova verenvuoto" 120 00:09:32,272 --> 00:09:36,272 Koska kaikki haavoittuvuudet eivät ole kyvykkäitä saamaan täysiä 121 00:09:36,371 --> 00:09:40,371 oikeuksia. Joskus hyökkäys kuten "kova verenvuoto" voi saada vain tiettyjä 122 00:09:40,371 --> 00:09:44,371 osia haltuunsa 123 00:09:46,538 --> 00:09:51,238 Sinulla ei ole kyseistä ongelmaa jos tietokone ei tiedä avainta ja sitä ei 124 00:09:51,238 --> 00:09:53,448 ole tallennettu RAM:lle tai levylle 125 00:09:55,280 --> 00:09:57,170 Demon aika 126 00:09:57,170 --> 00:10:01,594 Kuinka voit käyttää tätä kirjautumistietojen suojausta? 127 00:10:01,764 --> 00:10:08,094 Yksinkertaisin tapa tehdä se on  TPM 2 TSS koneen avulla 128 00:10:09,218 --> 00:10:12,068 TPM ohjelmistoprojektilla 129 00:10:12,167 --> 00:10:14,732 Minun ei pitäisi kertoa siitä täällä 130 00:10:14,792 --> 00:10:18,792 Jotenka asensimme yhden näistä ohjelmistoista aikaisemmin ja se ei 131 00:10:18,792 --> 00:10:22,072 oikeastaan ladannut 132 00:10:24,167 --> 00:10:29,097 Jotta voitte käyttää sitä tarvitsette vain nämä kolme komentoa 133 00:10:29,097 --> 00:10:33,097 ja aion näyttää ne teille nopeasti 134 00:10:33,097 --> 00:10:34,939 Muuten... 135 00:10:39,440 --> 00:10:43,440 En käytä TPM:tä vaan käytän laitteiston TPM:tä 136 00:10:45,165 --> 00:10:49,165 Lähetin sen virtuaalikoneelle 137 00:10:57,931 --> 00:11:00,868 Vaihdetaan virtuaalityöpöydälle 138 00:11:05,892 --> 00:11:09,892 Jotenka mitä teemme ensimmäiseksi? 139 00:11:09,942 --> 00:11:12,022 Ymmärrämme.. nyt se toimii 140 00:11:12,052 --> 00:11:16,472 Luomme avaimen käyttämällä TPM:tä ja seuraava komento luo itse-asetetun 141 00:11:16,472 --> 00:11:22,392 sertifikaatin, ja kuten näette jotka ovat työskennelleet asian parissa niin 142 00:11:22,422 --> 00:11:26,322 ensimmäinen komento on mukautettu komento ohjelmistosta 143 00:11:26,322 --> 00:11:31,727 Toinen on tavallinen OpenSSL luo sertifikaatti komento jossa nimetään 144 00:11:31,727 --> 00:11:38,267 moottori ja avain joka tulee sen mukana 145 00:11:38,950 --> 00:11:42,780 Jotenka aiomme ottaa tämän 146 00:11:42,914 --> 00:11:46,334 Laitetaan se tänne 147 00:11:46,334 --> 00:11:48,394 Olemme Itävallassa nyt 148 00:11:48,394 --> 00:11:51,104 Ketä kiinnostaa 149 00:11:53,599 --> 00:12:00,119 Ja nyt meillä on curl ja curl pystyy yhditämään meidät... toimi nyt. Minun 150 00:12:03,975 --> 00:12:06,405 olisi pitänyt tuoda hiiri 151 00:12:07,764 --> 00:12:17,434 Jotenka curl pystyy käyttämään OpenSSL moottoria ja älä ärsyynny 152 00:12:17,434 --> 00:12:21,434 kautta-kautta epävarmuudesta. Ajan tällä hetkellä EngineX serveriä 153 00:12:21,434 --> 00:12:24,297 isäntäjärjestelmässä 154 00:12:24,297 --> 00:12:28,297 Ja virtuaalikoneenssa käytän curlia autentikoimaan ja käytän 155 00:12:28,297 --> 00:12:32,297 client -autentikointi keskustellakseni EngineX:n kanssa 156 00:12:38,288 --> 00:12:42,288 Ja kuten huomaatte tämä on nettisivu ja ensimmäistä kertaa 157 00:12:42,288 --> 00:12:45,808 ajaessani komennon en meinannut uskoa näkemääni koska se oli niin 158 00:12:45,808 --> 00:12:48,818 nopea ja ajattelin että tein virheen 159 00:12:48,818 --> 00:12:55,208 Jotenka verifioidakseni kaikille teille teen "trace loginnin" 160 00:12:55,227 --> 00:12:58,207 Ja sitten näemme että meillä tapahtuu paljon kommunikointia TPM:n 161 00:12:58,207 --> 00:12:59,597 kanssa 162 00:12:59,597 --> 00:13:03,187 Jotenka käytämme oikeasti TPM:tä tehdäksemme asiakas puolen 163 00:13:03,187 --> 00:13:05,397 autentikointia serverillä 164 00:13:05,397 --> 00:13:09,397 (aploodit) 165 00:13:10,145 --> 00:13:11,825 Kiitos 166 00:13:12,197 --> 00:13:19,842 Seuraava asia. Tämä on.. ensiksi tämä on minun tapani tehdä asioita. 167 00:13:19,842 --> 00:13:23,842 Haluan käyttää TPM:ää kotona ja ehkä tehdä tyypillisiä bash skripti pohjaisia 168 00:13:23,842 --> 00:13:26,932 asioita 169 00:13:26,932 --> 00:13:30,451 ja milloin ikinä teetkään bash skriptiä sinä et halua laittaa salasanaasi 170 00:13:30,451 --> 00:13:33,886 sinne, koska kun pusket skriptit Githubiin muut ihmiset voivat ladata ne 171 00:13:33,886 --> 00:13:36,816 ja käyttää sinun salasanoja 172 00:13:36,816 --> 00:13:39,886 Jotenka tämä on toinen etu näissä 173 00:13:40,003 --> 00:13:43,623 ja toinen asia jota haluan tehdä kotona. Minulla on Internet- 174 00:13:43,623 --> 00:13:47,751 verkkopalvelin, joka on käytännössä käänteinen välityspalvelin EngineX:llä 175 00:13:47,751 --> 00:13:50,903 Se välittää tavarat kotiavustajalle ja muihin paikkoihin 176 00:13:50,903 --> 00:13:54,903 ja haluan pystyä poistamaan tämän jotta pystyn tallentamaan 177 00:13:54,903 --> 00:13:58,903 kirjautumistietoja turvallisesti, jotta seuraavan kerran kun EngineX "heart bleeds" ei se pilaa kaikkea 178 00:13:59,043 --> 00:14:03,043 puolestani 179 00:14:03,195 --> 00:14:07,195 ja EngineX:llä on erittäin helppoa tehdä se 180 00:14:11,939 --> 00:14:14,849 os katsomme tätä sivustoa joka on merkitty tähän. Se on 181 00:14:14,849 --> 00:14:16,859 käytännössä vain oletussivusto 182 00:14:16,859 --> 00:14:20,349 näemme että meidän on lähetettävä sertifikaatti ja 183 00:14:20,349 --> 00:14:22,029 ssh-sertifikaattiavain 184 00:14:22,029 --> 00:14:25,689 voit käyttää tätä avainsanakonetta, joten toivottavasti et koskaan tallenna 185 00:14:25,689 --> 00:14:26,759 avaimesi 186 00:14:26,759 --> 00:14:29,097 ja jos kutsun moottoria siitä tulee ongelman 187 00:14:29,137 --> 00:14:33,017 ja me osoitamme tpm2tss -moottoria 188 00:14:33,017 --> 00:14:37,197 ja koska jonkun ärsyttävän bugin vuoksi EngineX ja ihmiset EngineX 189 00:14:37,197 --> 00:14:40,217 foorumilla ovat puhuneet siitä 190 00:14:41,227 --> 00:14:44,567 en löytänyt hyvää ratkaisua asian korjaamiseksi ja tästä syystä 191 00:14:44,567 --> 00:14:46,957 jouduin määrittelemään moottorin uudestaan täällä 192 00:14:46,997 --> 00:14:50,997 jotenka nyt kun kaikki tämä on kunnossa voimme vain 193 00:14:52,566 --> 00:14:56,566 käynnistää uudelleen 194 00:15:01,246 --> 00:15:04,836 voimme vain käynnistää EngineX:n uudelleen ja tällä kertaa käännämme sen 195 00:15:04,836 --> 00:15:10,236 ympäri. Joten jatkan vain luotetun verkkopalvelimeni isäntäjärjestelmässä 196 00:15:10,708 --> 00:15:14,708 yritä kirjautua siihen 197 00:15:14,968 --> 00:15:18,968 kyllä, koska emme luota sen sertifikaattiin välittömästi yea, 198 00:15:19,008 --> 00:15:23,008 mutta me voimme käyttää TPM:ää autentikoimiseen 199 00:15:25,938 --> 00:15:29,078 jotenka molemmat puolet voivat nyt aloittaa skriptaamisen 200 00:15:29,078 --> 00:15:33,078 Siisitä 201 00:15:33,078 --> 00:15:35,008 Nyt mennään 202 00:15:35,008 --> 00:15:39,008 Okei, joten se on helpoin tapa päästä alkuun kun yrität yhdistää 203 00:15:39,008 --> 00:15:42,171 TPM:n päivittäisiin bash-rutiineihin 204 00:15:42,938 --> 00:15:46,938 seuraavaksi hieman monimutkaisempi tapa tehdä asioita on pkcs11 205 00:15:49,037 --> 00:15:55,297 pkcs11on avoimen ryhmän standardisoitu API, jota Firefox käyttää 206 00:15:55,297 --> 00:15:58,338 esimerkiksi älykorttien kanssa kommunikoimiseen 207 00:15:58,757 --> 00:16:02,757 ja tietysti me myös työskentelemme... kuten nämä yhteisöt ja 208 00:16:02,757 --> 00:16:06,127 teemme jotain sen eteen 209 00:16:06,127 --> 00:16:09,598 meillä on jopa antenneja täällä huoneessa 210 00:16:09,598 --> 00:16:10,848 paljasin heidät 211 00:16:10,848 --> 00:16:15,465 Okei, olemme tällä hetkellä "orc0 face" 212 00:16:16,508 --> 00:16:20,508 Tämä on myös syy siihen miksi on outoa että asennustyökalut eivät 213 00:16:20,508 --> 00:16:24,508 asennu aina kun kutsut niitä asentaaksesi 214 00:16:25,895 --> 00:16:29,895 joten jos yrität ajaa näitä juttuja uudelleen kotoa käsin huomioi näiden 215 00:16:29,895 --> 00:16:36,005 diojen perusteella, että tämä on polku tpmp2-työkalun chekc.git arkistoon 216 00:16:37,990 --> 00:16:41,990 ja ainoa asia, joka todella saa asennuksen on kirjasto jota pkcs11 217 00:16:42,077 --> 00:16:43,857 käytämme myöhemmin 218 00:16:43,857 --> 00:16:45,127 Joka tapauksessa 219 00:16:45,127 --> 00:16:46,878 Otamme nämä muutamat käskyt täällä 220 00:16:46,878 --> 00:16:50,618 ja periaatteessa teemme alustuksen. Ensin laitamme pythonpath-juttuja ja 221 00:16:50,618 --> 00:16:52,008 muuta sellaista 222 00:16:52,815 --> 00:16:58,355 osoitamme tietokannan tallentamiseen kodin alle 223 00:16:58,358 --> 00:17:02,358 alustamme ja lisäämme tokenin joka käytännössä luo uuden älykortin 224 00:17:03,878 --> 00:17:06,141 ja sitten lisäämme avaimen 225 00:17:08,064 --> 00:17:09,574 Okei 226 00:17:09,854 --> 00:17:12,341 katsotaan toimiiko se oikein 227 00:17:15,701 --> 00:17:17,671 Näyttää hyvältä 228 00:17:19,531 --> 00:17:20,771 Joo 229 00:17:22,860 --> 00:17:28,801 ja siinä se meillä on. Loimme juuri älykortin tällä satunnaisella 230 00:17:28,811 --> 00:17:31,438 älykorttitunnuksella, josta sinun ei tarvitse välittää 231 00:17:31,466 --> 00:17:35,466 mitä hienoa tässä on? Olen menossa tähän ongelmaan koska haluan käyttää 232 00:17:35,466 --> 00:17:39,466 sitä todentaakseni ssh:n kautta 233 00:17:39,903 --> 00:17:44,183 koska en tiedä kuinka moni teistä ssh-asiakastodennusta käyttävistä käyttää 234 00:17:44,625 --> 00:17:47,955 allekirjoittavia julkisia avaimia 235 00:17:48,532 --> 00:17:50,782 Eli periaatteessa lähes kaikki 236 00:17:51,032 --> 00:17:52,048 Siistiä 237 00:17:52,048 --> 00:17:53,167 Hakkerikonferenssi 238 00:17:53,261 --> 00:17:57,261 Niin, ja kuka teistä ei suojaa avaintansa salasanalla vaan käyttää 239 00:17:57,261 --> 00:18:01,261 siihen tyhjää salasanaa? 240 00:18:03,971 --> 00:18:07,971 Okei. Teille kaikille tämä saattaa olla mielenkiintoista 241 00:18:09,881 --> 00:18:13,881 joten aiomme kutsua ssh-keygenillä ja mitä se tekee on ainoastaan 242 00:18:15,648 --> 00:18:17,108 Joo 243 00:18:19,898 --> 00:18:23,898 Generoi ssh-avaimen ja te kaikki luultavasti näette tämän 244 00:18:25,087 --> 00:18:27,717 Joten kopioin tämän 245 00:18:27,717 --> 00:18:30,527 ja menee isäntäkoneeseeni 246 00:18:31,308 --> 00:18:32,388 ja nyt menen 247 00:18:33,068 --> 00:18:34,858 lisätty valtuutetut avaimet 248 00:18:34,968 --> 00:18:38,238 ja lisään tämän avaimen 249 00:18:39,128 --> 00:18:41,598 ja palaan virtuaalikoneeseen 250 00:18:43,638 --> 00:18:46,638 Virtuaalinen työpöytä virtuaalisen työpöydän sisällä 251 00:18:47,458 --> 00:18:50,298 Se on kuin "pimp my ride" 252 00:18:51,178 --> 00:18:53,478 Okei, ja sitten voimme kirjautua sisään ssh:lla 253 00:18:54,248 --> 00:18:54,998 ja 254 00:18:57,939 --> 00:18:59,959 tämän pitäisi myös toimia nyt 255 00:18:59,959 --> 00:19:03,149 ja tässä pyydämme PIN-koodia älykorttiin jota alun perin kutsuin 256 00:19:03,169 --> 00:19:03,918 merkiksi 257 00:19:04,958 --> 00:19:06,958 jolle luultavasti löydät paremman nimen 258 00:19:07,888 --> 00:19:09,708 ja nyt olen sisällä 259 00:19:10,218 --> 00:19:11,728 eli se toimii myös 260 00:19:11,988 --> 00:19:15,098 (apploodit) 261 00:19:17,850 --> 00:19:20,970 mutta jotta asiat olisivat vielä siistimpi, mihin muuhun käytämme ssh:tä 262 00:19:20,978 --> 00:19:24,978 no me käytämme sitä tai ainakin minä käytän sitä gitiin 263 00:19:27,849 --> 00:19:31,099 otamme tämän avaimen uudelleen 264 00:19:31,854 --> 00:19:33,794 ja siirrymme Github:iin 265 00:19:34,204 --> 00:19:36,664 ja tämä on minun Github-tili 266 00:19:37,994 --> 00:19:39,894 Nyt menee mielenkiintoiseksi 267 00:19:41,424 --> 00:19:45,964 Lisään tämän ssh-avaimeksi 268 00:19:45,964 --> 00:19:46,724 ja 269 00:19:46,724 --> 00:19:49,004 Kyllä tallennan salasanoja 270 00:19:51,064 --> 00:19:54,594 millään heistä ei ole asiakkaan todennusta...asiakkaan todennustodistus 271 00:19:54,594 --> 00:19:57,264 kanssamme mitä muuta minun pitäisi tehdä 272 00:19:57,913 --> 00:20:01,913 joten asia jota teemme täällä on pohjimmiltaan että periaatteessa luon 273 00:20:01,943 --> 00:20:05,943 tämän siistin shell skriptin joka sisältää ssh-kutsun pkcss11-kirjastolla 274 00:20:07,236 --> 00:20:11,236 ja sitten viemme sen git_ssh -ympäristömuuttujan alle, mikä 275 00:20:11,236 --> 00:20:15,236 tarkoittaa, että ssh:n sijaan 276 00:20:15,896 --> 00:20:18,726 git kutsuu uutta ssh-juttuamme 277 00:20:18,726 --> 00:20:22,666 ja tämä käännetään 278 00:20:23,776 --> 00:20:27,776 kutsumalla pkcss11-palveluntarjoajaa 279 00:20:29,166 --> 00:20:32,296 seuraavaksi kloonataan 280 00:20:33,426 --> 00:20:35,686 ja täällä on uudelleen TPM-invokaatio 281 00:20:36,716 --> 00:20:38,726 Analoginen enemmän TPM kutsu 282 00:20:38,836 --> 00:20:39,896 ja täällä ollaan 283 00:20:40,096 --> 00:20:42,996 ja voimme nyt jopa mennä eteenpäin ja kirjautua ulos haarasta 284 00:20:44,696 --> 00:20:47,316 Luulen, että käytin tätä testeissäni, joten kutsun sitä 285 00:20:48,806 --> 00:20:49,536 Nyt 286 00:20:50,286 --> 00:20:51,016 Ei 287 00:20:52,076 --> 00:20:53,046 Tietysti 288 00:20:54,326 --> 00:20:56,656 Kirjaudutaan ulos uudesta haarasta 289 00:20:59,936 --> 00:21:01,516 git push origin 290 00:21:11,076 --> 00:21:14,856 ja se on puskettu ja voit mennä eteenpäin ja mennä nimiavaruuteeni 291 00:21:14,856 --> 00:21:18,796 Githubissa ja sinun pitäisi nähdä tämän mahtavan TPM-autentikoidun haaran 292 00:21:18,796 --> 00:21:19,740 pusku tuolla 293 00:21:21,897 --> 00:21:24,527 (aplodit) 294 00:21:27,010 --> 00:21:27,850 Okei 295 00:21:27,950 --> 00:21:32,640 kuten sanoin tämä on rc0\. Toivottavasti tulee pari bugia ennen 296 00:21:32,640 --> 00:21:34,490 lopullista julkaisua mutta 297 00:21:34,740 --> 00:21:37,380 äyttää aika käyttökelpoiselta, sanoisin 298 00:21:38,670 --> 00:21:41,900 Okei. Tulen seuraavaan asiaan joka on vielä kovasti työn alla 299 00:21:42,910 --> 00:21:45,360 Tämä on bittilokero Linuxille 300 00:21:46,770 --> 00:21:48,870 ja olen kirjoittanut tämän yli vuosi sitten 301 00:21:48,950 --> 00:21:52,140 ja ryhmässä oli yhdistämispyyntö 302 00:21:54,740 --> 00:21:59,045 ja olemme pohjimmiltaan uudelleen rakentaneet koko asian mutta ajattelin 303 00:21:59,045 --> 00:22:02,365 että olisi hauskaa tuoda tämä työ, jonka tein kauan sitten 304 00:22:03,800 --> 00:22:06,190 Mitä tämä tekee niin perustaa lukot ja krypton 305 00:22:09,190 --> 00:22:15,790 Idea on, että sinulla on äänenvoimakkuusnäppäin, jolla kokonaiset taltiot salataan, ja sitten sinulla on useita avaimia, jotka on tallennettu vetoomuksen lukko-otsikkoon 306 00:22:15,790 --> 00:22:19,790 jossa tämä äänenvoimakkuusavain salataan yleensä avaimella, joka on 307 00:22:19,790 --> 00:22:23,790 syöttämäsi salasanan oikealla puolella 308 00:22:24,027 --> 00:22:27,747 ja tämä sitten näyttää siltä, ​​ mitä näemme täällä keskellä 309 00:22:27,960 --> 00:22:31,120 jossa meillä on tämän tyyppinen avainpaikka nolla 310 00:22:31,560 --> 00:22:33,830 ja niinpä tein tuolloin, että jatkoin näitä 311 00:22:33,830 --> 00:22:37,570 Tämä on json joten jos käytät lukkoa ainakin uusi alimuoto 312 00:22:37,570 --> 00:22:40,870 Sinulla on json ja vetoomuksen otsikot 313 00:22:41,240 --> 00:22:43,920 Se on jotenkin mahtavaa 314 00:22:43,920 --> 00:22:46,960 Helpotti elämääni paljon tuolloin 315 00:22:46,980 --> 00:22:48,930 Meillä on siellä avainpaikka 316 00:22:48,990 --> 00:22:52,990 jotain sellaista ja me otamme äänenvoimakkuusnäppäimen 317 00:22:52,990 --> 00:22:56,990 ja käytämme yhtä TPM:n ei-volutaalista muistitilaa 318 00:22:57,888 --> 00:23:00,328 ja tallennamme äänenvoimakkuusnäppäimen suoraan 319 00:23:00,328 --> 00:23:01,838 sinne ja niin on 320 00:23:02,893 --> 00:23:04,933 ja kyllä vain muuta ei tarvita 321 00:23:04,993 --> 00:23:08,993 ja sitten mitä teemme alustamattomille Luks-otsikoille, tallennamme vain metadataa 322 00:23:08,993 --> 00:23:10,323 sinne ja niin on 323 00:23:10,926 --> 00:23:12,646 Esimerkiksi 324 00:23:12,853 --> 00:23:16,163 Mikä on se "nvindex" numero jonka alle varastoimme tavaraa? 325 00:23:16,933 --> 00:23:17,783 Okei 326 00:23:17,983 --> 00:23:20,123 Demon aika jälleen 327 00:23:22,593 --> 00:23:23,393 ja 328 00:23:31,053 --> 00:23:33,733 joten tämä on haaramme ryhmä josta poistun 329 00:23:33,733 --> 00:23:35,953 ja tulee olemaan 330 00:23:35,953 --> 00:23:39,143 Kokoamalla tämän livenä 331 00:23:40,647 --> 00:23:44,647 Samalla vielä yksi huomautus. Käyttöjärjestelmä jota ajetaan 332 00:23:44,650 --> 00:23:48,650 virtuaalikoneella on vakio Ubuntu-asennus 333 00:23:48,874 --> 00:23:50,414 ja 334 00:23:50,793 --> 00:23:54,703 valitsin juuri tämän salauksen LVM Ubuntun ohjatun asennustoiminnon aikana 335 00:23:58,583 --> 00:24:03,653 ja kuinka koskaan, valitettavasti se käyttää edelleen Luks1:tä tässä 336 00:24:03,713 --> 00:24:07,713 muodossa joten mitä sinun täytyy tehdä asennusmedialle jos haluat tehdä sen 337 00:24:07,810 --> 00:24:09,930 sinun on kutsuttava tämä "cryptsetup conver" 338 00:24:09,996 --> 00:24:13,296 joka muuntaa Luks1-muodon luks2-muotoon 339 00:24:14,073 --> 00:24:16,453 kaiken pitäisi olla nyt valmista 340 00:24:16,873 --> 00:24:17,923 Okei 341 00:24:18,209 --> 00:24:21,799 Kyllä vain. ​​Me kokosimme ja asensimme nyt päivitämme nopeasti 342 00:24:23,207 --> 00:24:26,737 korvaamme cryptolabin joka ei tee sitä kokoajan 343 00:24:27,606 --> 00:24:28,346 ja 344 00:24:29,473 --> 00:24:33,473 seuraava komento jota olemme suorittamassa, ja näette että ainoa ero on komennon "--tpm" lisääminen tähän 345 00:24:34,523 --> 00:24:36,473 Joka. Kyllä 346 00:24:37,793 --> 00:24:39,733 kutsuu käyttämään TPMää 347 00:24:40,723 --> 00:24:41,833 tila sille 348 00:24:42,673 --> 00:24:45,663 ja syötämme olemassa olevan salasanan 349 00:24:46,923 --> 00:24:50,923 syötämme uuden salasanan ja tätä uutta salasanaa käytetään TPMn 350 00:24:51,073 --> 00:24:52,453 todentamiseen 351 00:24:54,483 --> 00:24:55,253 ja 352 00:24:56,542 --> 00:24:59,422 meillä on vain 5 minuuttia, joten hyppään suoraan eteenpäin 353 00:24:59,763 --> 00:25:03,055 Kaiken pitäisi nyt olla kunnossa ja seuraavan uudelleenkäynnistyksen 354 00:25:03,055 --> 00:25:04,875 yhteydessä järjestelmä kysyy minulta 355 00:25:05,406 --> 00:25:08,096 TPM pohjaista salasanaa ja sitten 356 00:25:10,113 --> 00:25:12,823 pääsemme näkemään 357 00:25:14,503 --> 00:25:17,653 joten näemme tässä, että toinen avainpaikka on nyt TPM2-tyyppinen 358 00:25:19,373 --> 00:25:20,373 Okei 359 00:25:29,033 --> 00:25:32,203 Vielä yksi asia jonka haluan esitellä varhaisessa käynnistyksessä 360 00:25:32,204 --> 00:25:35,784 on eheyden tarkistus joka perustuu siihen mitä Matthew Garret puhui "@32c3" 361 00:25:37,064 --> 00:25:40,484 ja tämä on linkki hänen puheeseensa 362 00:25:40,734 --> 00:25:42,834 Kannattaa ehdottomasti käydä katsomassa se 363 00:25:43,324 --> 00:25:47,324 Joten tässä on kyse varhaisen käynnistyksen eheyden varmistamisesta ja 364 00:25:47,324 --> 00:25:50,354 jakamalla salaisuu TPMn ja älypuhelimesi välillä 365 00:25:50,368 --> 00:25:51,458 ja 366 00:25:51,704 --> 00:25:54,159 Kyllä. Tein juuri uudelleentoteutuksen ja aion 367 00:25:54,169 --> 00:25:55,859 esitellä myös sen 368 00:25:55,952 --> 00:26:00,181 Valmistautuessamme siihen on teidän kaikkien aika ottaa älypuhelimet esiin ja 369 00:26:00,181 --> 00:26:03,231 avata ilmainen TOTP-sovellus tai 370 00:26:03,302 --> 00:26:08,739 Google autentikaattori jotta voit varmistaa että kaikki toimii tarkoituksen 371 00:26:08,739 --> 00:26:10,019 mukaisesti 372 00:26:12,796 --> 00:26:15,806 ja tämän olen itse asiassa koonnut valmiiksi 373 00:26:16,366 --> 00:26:19,956 Muuten jos yleisössä on jok, joka on hyvä gtk-gui-suunnittelussa tule 374 00:26:19,966 --> 00:26:21,896 juttelemaan minulle 375 00:26:22,326 --> 00:26:24,596 Tässä näette minun tuotokseni 376 00:26:25,016 --> 00:26:25,806 Okei 377 00:26:25,946 --> 00:26:27,476 Aiomme suojella 378 00:26:29,046 --> 00:26:34,686 Pyörittämällä komennon pcr027 ja tämä varmistaa jokaisen käynnistyksen 379 00:26:34,686 --> 00:26:38,686 yhteydessä että tämä PCR-arvo on 380 00:26:38,892 --> 00:26:42,892 olivat samat kuin nyt kun käännämme tätä järjestelmää joten se tarkoittaa 381 00:26:43,147 --> 00:26:46,097 että jos sinulla on ydinpäivitys tai 382 00:26:46,097 --> 00:26:49,170 tai päivitä sisäinen RDM jälkeenpäin PCR-arvot vaihtelevat joten 383 00:26:49,170 --> 00:26:51,660 sinun täytyy käydä läpi tämä prosessi uudelleen 384 00:26:51,690 --> 00:26:55,580 Joten kaikki ovat skannatneet tämän toivottavasti omassa ilmaisessa TOTPssaan 385 00:26:55,930 --> 00:26:57,740 tai Google autentikaattorilla 386 00:26:57,900 --> 00:27:01,830 sitten voimme jatkaa ja voimme itse asiassa aloittaa järjestelmän 387 00:27:01,830 --> 00:27:04,100 uudelleenkäynnistyksen 388 00:27:06,490 --> 00:27:08,530 ja toivottavasti tämä toimii nyt 389 00:27:09,020 --> 00:27:12,789 koska monimutkaisin osa kaikissa näissä demoissa oli itse asiassa 390 00:27:12,789 --> 00:27:15,229 etäasetus "crap"n ja "implens"sin välillä. 391 00:27:16,700 --> 00:27:18,580 uskokaa tai älkää 392 00:27:20,130 --> 00:27:22,710 Okei ja näytöllä on tämä numer, joka on todella suuri 393 00:27:23,240 --> 00:27:25,640 828688\. Pitikö tämä paikkansa? 394 00:27:26,730 --> 00:27:27,740 Yleisö: Kyllä 395 00:27:28,080 --> 00:27:29,240 Hienoa 396 00:27:30,310 --> 00:27:31,660 (aplodit) 397 00:27:32,250 --> 00:27:37,380 ja toinen asia jonka teen nyt erittäin suojatun salasanan sijaan ja 398 00:27:37,380 --> 00:27:38,970 kirjoitan 1234 399 00:27:40,100 --> 00:27:43,160 Teidän täytyy uskoa minua ja mikä on TPM-salasana 400 00:27:44,420 --> 00:27:47,150 ja se itseasiassa käynnistyy käyttäen TPMää 401 00:27:47,720 --> 00:27:49,530 Mikä on 402 00:27:49,868 --> 00:27:51,288 Tässähän se on 403 00:27:51,401 --> 00:27:53,901 joten se toimii myös Luksien kanssa 404 00:27:54,097 --> 00:27:54,947 Okei 405 00:27:56,944 --> 00:28:00,314 Toivottavasti tämä antoi teille vaikutelman mitä voitte tehdä TPMllä 406 00:28:00,334 --> 00:28:02,014 jo tänään 407 00:28:02,946 --> 00:28:06,476 Jos haluat liittyä kehitykseen mukaan, liittyä hackroom-juttuihin tämä 408 00:28:06,476 --> 00:28:09,016 sivusto sisältää yhteisösivumme 409 00:28:10,094 --> 00:28:14,094 Missä meillä on gitter joten voit tulla puhumaan meille, minulle ja 410 00:28:14,114 --> 00:28:16,044 muille kehittäjille 411 00:28:16,854 --> 00:28:20,704 Voit katsoa niitä kahta otsikkotiedostoa jotka ovat tärkeimmät 412 00:28:20,704 --> 00:28:23,224 tällä hetkellä joten se on aivan uutta 413 00:28:24,424 --> 00:28:27,144 Julkaisimme sen juuri tai yhdistimme sen juuri masteriin 414 00:28:27,844 --> 00:28:29,884 Muistaakseni viikko sitten 415 00:28:30,554 --> 00:28:32,994 Olkaa hyvä ja katsokaa, testatkaa sitä 416 00:28:33,994 --> 00:28:35,454 Katsokaa myös 417 00:28:37,924 --> 00:28:41,924 työkalut. Kaikki työkalut jotka alkavat kirjaimella tpm2_ ovat 418 00:28:41,924 --> 00:28:46,824 periaatteessa"esapi" tai "eses" peilejä ja kaikki työkalujen etuliite tss_ ovat 419 00:28:46,824 --> 00:28:50,824 yksi yhteen "thappy" -sovituksia 420 00:28:51,681 --> 00:28:57,731 ja tässä on vielä yksi pro vinkki kun kehität ja jokin epäonnistuu yhtäkkiä 421 00:28:57,731 --> 00:29:01,567 se liittyy yleensä TPM-resurssien loppumiseen 422 00:29:02,134 --> 00:29:05,604 ja tämä komento siellä alhaalla jäädyttää TPMn sisäisen RAMin uudelleen 423 00:29:05,604 --> 00:29:07,704 jotta voit jatkaa työskentelyä 424 00:29:07,934 --> 00:29:08,694 Okei 425 00:29:08,966 --> 00:29:09,985 Kiitos 426 00:29:15,034 --> 00:29:16,404 "Kysymysten aika" 427 00:29:17,444 --> 00:29:18,174 Kiitos 428 00:29:18,844 --> 00:29:20,124 Se oli Andreas 429 00:29:20,219 --> 00:29:24,809 Ja nyt on kysymysten aika. Meillä on kysymyksiä internetissä ja meillä on 430 00:29:24,809 --> 00:29:28,809 kysymyksiä täällä 431 00:29:28,932 --> 00:29:29,702 Ja 432 00:29:31,574 --> 00:29:35,574 Katsokaa. Teillä kahdella on sama paita 433 00:29:36,074 --> 00:29:38,374 Hieno paita research exhaustion 434 00:29:39,264 --> 00:29:41,174 Okei, voisimme aloittaa numerosta neljä 435 00:29:42,554 --> 00:29:46,554 Henkilö yleisöstä: Okei. Oletetaan että sinulla on salausavaimet TPMssä ja 436 00:29:46,554 --> 00:29:50,034 hallituksesi vaikuttaa jollain tavalla TPMn tarjoajaan 437 00:29:51,024 --> 00:29:57,402 Henkilö yleisöstä: Joten ehkä voisi olla jokin tapa saada salausavain joten 438 00:29:57,402 --> 00:30:01,342 tämä ei ole hyvä lähestymistapa joten olisi mukavampaa antaa sinulle iso lihava 439 00:30:01,352 --> 00:30:03,102 mandaatti saadaksesi avaimet 440 00:30:03,164 --> 00:30:07,164 Henkilö yleisöstä: ja siellä on joitain muita avaimi jotka ovat TPMssä 441 00:30:07,164 --> 00:30:10,704 joten sinulla on oltava molemmat jotta v oit salata tavarasi 442 00:30:10,874 --> 00:30:14,874 Henkilö yleisöstä: joten se pitäisi tehdä näin. Jotta ei voida sanoa että 443 00:30:14,874 --> 00:30:18,814 henkilöä kidutetaan salauksen avaamiseksi 444 00:30:20,673 --> 00:30:24,533 Henkilö yleisöstä: tiedot toisella tietokoneella koska sillä on eri 445 00:30:24,533 --> 00:30:26,163 TPM salaisuuteen 446 00:30:26,163 --> 00:30:29,593 Henkilö yleisöstä: joten sinulla pitäisi olla todellinen kaksiosainen 447 00:30:29,593 --> 00:30:32,593 todennus ilman näitä avaimia TPMssä koska en luottaisi siihen 448 00:30:32,834 --> 00:30:36,034 Okei. Riippuu vainoharhaisuudestasi mutta se on varmasti hyvä idea 449 00:30:36,794 --> 00:30:37,674 Kiitos 450 00:30:38,484 --> 00:30:40,784 Vain kysymyksiä. Ei kommentteja 451 00:30:41,704 --> 00:30:42,774 En pahastu 452 00:30:44,474 --> 00:30:46,534 Kysymyksiä. Tämä on sääntö. 453 00:30:48,074 --> 00:30:49,554 Numero kaksi 454 00:30:50,104 --> 00:30:53,124 Henkilö yleisöstä: Minun on käytettävä Windowsia joka on salattu 455 00:30:53,124 --> 00:30:55,224 "bitlockerilla" ja toisella sijalla 456 00:30:55,407 --> 00:30:58,247 Henkilö yleisöstä: Kuinka todennäköistä on että bitlockerin 457 00:30:58,247 --> 00:31:01,167 tunnistetiedot tuhotaan tahattomasti näiden työkalujen kanssa 458 00:31:01,167 --> 00:31:02,817 työskennellessäni? 459 00:31:04,036 --> 00:31:07,406 Se riippuu paljolti siitä mitä työkaluja käytät ja mihin tarkoitukseen 460 00:31:07,966 --> 00:31:13,156 Tässä käyttämäni työkalut ja kaikki mitä näytin eivät asenna 461 00:31:13,156 --> 00:31:15,726 estäviä avaimia 462 00:31:15,926 --> 00:31:19,716 Luulen että oikeastaan pkcs11  asentaa presistan-avaimia, joten se 463 00:31:19,716 --> 00:31:22,786 kuluttaa osan resursseistasi ja myös crypto-jutuistasi 464 00:31:23,226 --> 00:31:27,376 ja huippujutut vievät jonkin verran "envy" -tilaa, ja jos uskot kuinka 465 00:31:27,376 --> 00:31:32,996 paljon TPM-resursseja Windows haluaa vaatia itselleen saatat törmätä ¨ 466 00:31:32,996 --> 00:31:35,006 resurssien loppumiseen. 467 00:31:35,444 --> 00:31:40,294 Mutta ei ole muita avaimia joita nämä työkalut tai demot poistavat 468 00:31:42,107 --> 00:31:44,997 Eli voit mennä huoletta ja käyttää noita 469 00:31:46,837 --> 00:31:48,007 Okei. Kiitos. 470 00:31:48,857 --> 00:31:51,167 Ehkäpä meillä on kysymys internetistä 471 00:31:51,867 --> 00:31:55,867 Henkilö yleisöstä: Joo muut laitteisto tokenit kuten "ubi-avain" 472 00:31:55,867 --> 00:31:59,467 heillä saattaa olla esimerkiksi painike jota sinun täytyy painaa saadaksesi 473 00:31:59,467 --> 00:32:03,027 jonkinlaisen todisteen läsnäolosta jotta ohjelmisto ei voi käyttää sitä 474 00:32:03,027 --> 00:32:06,178 Henkilö yleisöstä: taustalla ilman että tiedät siitä 475 00:32:06,178 --> 00:32:08,612 Henkilö yleisöstä: Kuinka tehdä sama käyttäen TPMää? 476 00:32:09,188 --> 00:32:10,828 Tällä hetkellä ei pysty 477 00:32:11,044 --> 00:32:15,044 Mutta toivon tai olen toivonut että TPM voisi käyttää lediä kymmenen 478 00:32:15,044 --> 00:32:17,768 vuoden päästä 479 00:32:18,254 --> 00:32:22,254 Todennäköisemmin näemme jossain vaiheessa tulevaisuudessa joitain 480 00:32:22,278 --> 00:32:26,278 gpio-käyttöisiä TPM-laitteita ja riippuen siitä mitä voimme tehdä niillä 481 00:32:26,808 --> 00:32:29,218 mahdollisesti pystymme sisällyttämään tämän 482 00:32:29,218 --> 00:32:32,048 tai saman tyylisiä ominaisuuksia tulevaisuudessa 483 00:32:32,098 --> 00:32:36,098 mutta toistaiseksi uskon että on ollut vain tutkimusprototyyppejä joita 484 00:32:36,098 --> 00:32:40,098 olen itse päässyt toteuttamaan TPMlle "cortex-r3" -laitteessa 485 00:32:41,250 --> 00:32:45,250 "gpion" hyödyllisyyden osoittamiseksi suoraan tpm:stä. 486 00:32:45,514 --> 00:32:47,814 Mutta se on ensin kehitettävä 487 00:32:48,780 --> 00:32:50,340 Okei. Kiitos 488 00:32:51,710 --> 00:32:53,360 Numero viisi kiitos 489 00:32:54,820 --> 00:32:56,850 Henkilö yleisöstä: Kyllä. Moi 490 00:32:57,790 --> 00:33:01,430 Henkilö yleisöstä: Voitko toteuttaa tämän universumin jatko-osan syötettynä 491 00:33:01,470 --> 00:33:04,300 edelleen TPMlle? Aiotteko tehdä sen? 492 00:33:05,720 --> 00:33:09,720 Kyllä ja ei. Voit toteuttaa osia fidosta käyttämällä TPMää joka on 493 00:33:09,720 --> 00:33:13,390 salauksen perustoiminto mutta fido sisältää myös mukautettuja tietomuotoja 494 00:33:14,660 --> 00:33:18,660 joita yleensä käsitellään myös fido-tunnuksella 495 00:33:19,810 --> 00:33:23,810 jossa sinulla on laskureita, jotka lisäävät jotain sellaista 496 00:33:24,530 --> 00:33:27,910 jota TPM ei tallenna sisäisesti koska TPM ei tiedä fido-tietorakenteista 497 00:33:27,920 --> 00:33:30,540 ja päinvastoin 498 00:33:31,280 --> 00:33:35,280 Kuitenkin fido2lle mielestäni oli tämäTPM-metastaattinentila 499 00:33:36,260 --> 00:33:40,260 mutta se olisi jonkun toteutettava 500 00:33:41,000 --> 00:33:45,000 Haluatko aloittaa työskentelyn sen parissa tule puhumaan minulle ja olen 501 00:33:45,000 --> 00:33:47,620 varmasti apunasi 502 00:33:48,450 --> 00:33:52,450 Joten tekemistä on paljon ja kyllä 503 00:33:52,730 --> 00:33:56,730 Jos joku teistä etsii tekemistä 504 00:33:57,640 --> 00:34:01,440 Voit vain mennä eteenpäin ja katsoa tätä github.io-yhteisösivua jos siirryt 505 00:34:01,440 --> 00:34:02,850 ohjelmistoon 506 00:34:03,430 --> 00:34:05,480 välilehti yläreunassa ja vierität alas 507 00:34:05,480 --> 00:34:09,480 on luettelo ohjelmista. Aloitamme siis ohjelmista joilla on jo TPM-tuki 508 00:34:09,480 --> 00:34:11,270 ja sitten meillä on 509 00:34:11,270 --> 00:34:14,690 vielä pidempi lista ohjelmista joissa oli TPMn suunnitteilla. On myös 510 00:34:14,700 --> 00:34:16,590 paljon asioita kuten 511 00:34:17,220 --> 00:34:21,220 Weboht ja Cryptoki ja vaikka mitä muita missä toivoisin näkevän TPM tuen 512 00:34:21,710 --> 00:34:25,710 Jopa niinkin yksinkertainen kuin "gpt" 513 00:34:26,190 --> 00:34:27,430 Mikä. Kyllä. 514 00:34:28,530 --> 00:34:30,460 Okei. Numero kaksi kiitos 515 00:34:31,295 --> 00:34:35,415 Henkilö yleisöstä: Kuinka monta erilaista avainta tai älykorttia voit 516 00:34:35,415 --> 00:34:37,138 tallentaa TPMään? 517 00:34:37,138 --> 00:34:40,628 Henkilö yleisöstä: Onko se vain yksi vai voitko tallentaa useampia? 518 00:34:41,308 --> 00:34:45,308 On hienoa, että TPMn perusperiaate on että TPM tallentaa vain hyvin 519 00:34:45,308 --> 00:34:46,908 vähän avaimia 520 00:34:48,170 --> 00:34:50,840 yleensä se on vain yksi tässä tapauksessa 521 00:34:50,850 --> 00:34:54,180 ja sitten kaikki muut avaimet salataan tällä avaimella ja tallennetaan 522 00:34:54,180 --> 00:34:55,250 kiintolevylle 523 00:34:56,000 --> 00:34:59,410 Tällä pkcs11llä joka meillä on täällä sinulla voi olla niin monta 524 00:34:59,410 --> 00:35:02,730 avainta kuin sinulla on vapaata kiintolevytilaa 525 00:35:03,690 --> 00:35:07,690 tai niin monta avainta "sql-lite" -työkalun avulla voit 526 00:35:07,690 --> 00:35:09,990 tallentaa tietokantaan 527 00:35:10,900 --> 00:35:12,940 Kiitos. Numero neljä kiitos. 528 00:35:13,440 --> 00:35:16,550 Henkilö yleisöstä: Hei. kiitos esityksestä. Minulla on ytimen 529 00:35:16,560 --> 00:35:19,170 päivityksiin liittyvä kysymys 530 00:35:19,720 --> 00:35:26,030 Jos päivitän ytimeni voinko mitata mikä kernal on seuraavassa 531 00:35:26,040 --> 00:35:27,590 käynnistyksessä 532 00:35:28,420 --> 00:35:31,970 ja kertoa TPMlleni että tämä uudelleensinetöi tällä hetkellä sinetöidyt 533 00:35:31,970 --> 00:35:35,320 avaimet tuleville ptr-arvoille,joita sen pitäisi odottaa seuraavassa 534 00:35:35,330 --> 00:35:37,000 käynnistyksessä? 535 00:35:37,680 --> 00:35:39,890 Teoriassa ehdottomasti kyllä 536 00:35:39,890 --> 00:35:43,031 Se on täysin yksinkertaista joten tutkija kertoo sinulle että se 537 00:35:43,031 --> 00:35:44,171 ei ole haaste 538 00:35:44,254 --> 00:35:47,654 Insinööri sen sijaan kertoo että tämä on eräänlainen ongelma 539 00:35:48,202 --> 00:35:49,032 ja 540 00:35:49,672 --> 00:35:52,752 ongelma on että sinun on jotenkin tiedettävä viitearvot 541 00:35:52,752 --> 00:35:55,712 etukäteen ja sitten sinun on laskettava uudelleen koko siihen m 542 00:35:55,722 --> 00:35:57,202 ennyt mittausketju 543 00:35:57,915 --> 00:36:01,075 joten tässä on kyse lähestymistavasta 544 00:36:01,512 --> 00:36:04,892 referenssi- ja eheysmittausjakelu että Linux-promot -konferenssissa oli 545 00:36:04,892 --> 00:36:07,352 osio jossa tätä ongelmaa käsiteltiin 546 00:36:08,102 --> 00:36:10,572 Jotenka tämä on siis 547 00:36:11,072 --> 00:36:13,672 Lähinnä infrastruktuuriongelma 548 00:36:14,262 --> 00:36:17,702 pikemminkin kuin itse asiassa TPMn ongelma 549 00:36:17,952 --> 00:36:20,112 tai TPMn-perusohjelmiston 550 00:36:20,882 --> 00:36:22,162 Okei. Kiitos. 551 00:36:22,192 --> 00:36:25,772 Joten meillä on vielä yksi minuutti joten olen erittäin pahoillani emme voi 552 00:36:25,772 --> 00:36:27,422 ottaa enempää kysymyksiä huoneesta 553 00:36:27,422 --> 00:36:29,752 mutta minulla on vielä yksi kysymys internetistä 554 00:36:30,092 --> 00:36:33,322 Henkilö yleisöstä: Jos en luota TPMään ja koneeseeni voinko saada 555 00:36:33,322 --> 00:36:36,202 toisenlaisen luotettavalta palveluntarjoajalta? Ovatko ne y 556 00:36:36,202 --> 00:36:38,642 hteensopivia siinä mielessä? 557 00:36:38,982 --> 00:36:42,182 Kyllä. Tietääkseni heillä on yhteensopiva pin-out ja yhteensopiva 558 00:36:42,182 --> 00:36:44,222 cpi-protokolla ja 559 00:36:44,912 --> 00:36:47,842 se on hieno asia että 560 00:36:48,162 --> 00:36:50,862 ne ovat yhteensopivia 561 00:36:51,452 --> 00:36:52,432 Varmasti 562 00:36:53,222 --> 00:36:54,452 Eteenpäin 563 00:36:55,582 --> 00:36:58,842 Paitsi ehkä intel ttp ftp joka toimii hallintamoottorilla 564 00:36:59,872 --> 00:37:03,872 Niillä tietysti jos myit ne RITllä ei ole niillä ole enään IOta 565 00:37:04,392 --> 00:37:06,522 Okei. Kiitos paljon. 566 00:37:07,122 --> 00:37:10,912 Jos haluat ottaa yhteyttä Andreaan mene verkkosivustolle. Olette nähneet 567 00:37:10,912 --> 00:37:12,602 sen aikaisemmin 568 00:37:13,262 --> 00:37:14,492 ja kiitos 569 00:37:14,902 --> 00:37:17,638 ja ehkä vielä yhdet raikuvat aplodit Andreakselle 570 00:37:17,642 --> 00:37:18,902 (aplodit) 571 00:37:18,902 --> 00:37:19,682 Kiitos 572 00:37:21,812 --> 00:37:25,812 Subtitles created by Musa Jallow (ITKST56 course assignment at JYU.fi)