Discussion :

[cr1ptal]

Hello,

J'ai vu que certaines CM proposent un connecteur TPM. Je comprends que le TPM (Trusted Platform Module) est un circuit mémoire qui stocke des clés de chiffrement au niveau carte mère. Ce qui protège mieux contre le vol d'un disque crypté; il ne contient pas les clés.
Maintenant, je ne comprends pas à quoi ce connecteur TPM va servir. L'accès au circuit TPM se fait par l'OS/Bios si je comprends bien. Et ce connecteur alors?

que la matrice soit avec vous, et votre esprit
/cr!ptal

[foetus]

D'après Google et de ce que j'ai compris le connecteur permet de brancher 1 module pour stocker mots de passe, configurations et tout 1 tas de choses (<- c'est peut être pour cela que certains ont 1 bouton "reset")

Apparemment, c'est 1 peu le chantier car il faut prendre 1 module avec la bonne version TPM de ta carte maman (1 ou 2)
Et pour son utilisation, tout le monde parle de Bitlocker (le logiciel de Microsoft pour chiffrer son disque dur) ... et de rien d'autre (mais il faudrait + creuser/ chercher)

Donc pour résumer 1 truc pas cher, supporter par pleins de logiciels surtout multiplateformes et que son utilité n'entre pas en concurrence avec 1 solution pure logiciel (comme TrueCrypt au hasard) (<- )

[cr1ptal]

Je crois que j'ai compris! Le connecteur TPM sert à connecter un petit module qui a un circuit TPM dans lequel sont stockées les clés de cryptage. Ca permet de ne pas stocker ces clés sur un DD, qui peut être volé. Donc, du coup, comme les voleurs de données ne sont pas de vrais experts, ils vont voler le DD mais laisser le module TPM bien gentiment sur la CM. Et la marmotte met le chocolat dans le papier alu...

[transgohan]

Il me semble que c'est un peu plus complexe que cela.
Les clés sont stockées sur le module, mais pour y accéder il faut la carte mère.

Donc pour voler et décrypter le disque dur, il faut le module ET la carte mère.
Sachant qu'un module se débranche facilement quand on veut partir (j'ai déjà vu des boitiers avec une trappe pour accéder au module).
Car bien évidemment laisser le module c'est un peu... Non je vais pas dire ce mot en fait... Mais tout le monde m'a compris hein ? On laisse pas les clés de la maison sur la porte d'entrée quand on part ?!

[cr1ptal]

Oui, il est plus facile de chopper aussi la carte mère avec le module TPM et le DD; dans ce cas, c'est maxi jackpot, pas de perte de temps. Mais si tu es un hackeur qui a roulé sa bosse, tu as simplement besoin du module. Tu le branches sur un lecteur (fait maison ou pas), et avec du travail tu extraits les clés du chip TPM. Ainsi, je comprends la réponse de TrueCrypt qui disait que le TPM était un semblant de sécurité supplémentaire :-)

[transgohan]

Ainsi, je comprends la réponse de TrueCrypt qui disait que le TPM était un semblant de sécurité supplémentaire :-)

Moi je ne vois qu'une accusation non fondée de leur part pour promouvoir leur produit.
Une bonne technologie TPM comme je le disais est amovible (c'est toujours le cas, mais faut le boitier PC fait pour...).
C'est comme les lecteurs de carte pour PC, si on laisse la carte en permanence dans le PC cela ne sert plus à rien.

[Christophe]

De ce que j'ai compris, le module TPM va contenir le hash cryptographique notamment pour bitlocker.
Si le disque est monté sur une autre machine, sans présence du TPM contenant les hashs, il faudra entrer les clés de cryptage conservés sur papier ou clé USB.

Avec Veracrypt, il faut saisir les clés à chaque démarrage.
Je ne sais pas ce qui compatible TPM hors bitlocker.
Il me semble avoir vu une notion de vtpm dans les produits type VMWAre permettant d'exposer le TPM aux VM.

[sevyc64]

Mais si tu es un hackeur qui a roulé sa bosse, tu as simplement besoin du module. Tu le branches sur un lecteur (fait maison ou pas), et avec du travail tu extraits les clés du chip TPM.

Il me semble que ce n'est pas si simple que ça.

Au début que c'était sorti, j'avais commencé à m'y intéressé un peu. De ce que j'avais compris, en présence d'un module, le stockage est en 2 parties. Le stockage est sur le module. Mais ce stockage est dépendant de la puce TPM implantée sur la CM, de sorte qu'il n'est possible de lire ce qui est stocké sur le module qu'à partir de la CM avec laquelle ça a été stocké. Sachant déjà qu'à la base, les clés de chiffrements dépendent elles-mêmes de la puce TPM de la CM, de sorte qu'elles ne peuvent être utilisées que sur cette CM.

Maintenant, j'avais pas plus approfondi que cela, car au final, si ça parait très sécurisé sur le papier, c'est plus contraignant qu'autre chose. En effet, une défaillance de CM est toujours possible, dans ce cas tout est perdu (de ce que j'avais compris). Il faut, par sécurité, avoir à coté une sauvegarde à jour non chiffrée si on ne veut pas perdre les données, générant du coup une grosse faille de sécurité potentielle.

[cr1ptal]

J'avais encrypté un SSD samsung sur ma tour. Puis, j'ai eu des problèmes avec la tour et j'ai essayé de le lire sur un laptop. Même sans TPM tu es déjà bloqué. Heureusement qu'il y avait une astuce avec la mise en veille et le reveil, puis une opération rapide, avant que le SSD soit completement actif et tu fais sauter le cryptage pour pouvoir réutiliser ton disque. (Je pouvais même pas le formater)

[Christophe]

dans ce cas tout est perdu

Tout n'est pas perdu, sauf si tu n'as pas gardé les clés de secours généré par bitlocker lors du cryptage.

En cas de perte des clés, tu n'as plus qu'à reformater le disque.