Trusted Platform Module (Güvenilir Platform Modulü)

Bugünki yazımın konusu “Trusted Computing Group” isimli grubun çalışmalarından biri olarak ortaya çıkan ve son zamanlarda çok sık konuşulan ve tartışılan konulardan birisi: TPM Trusted Platform Module (Güvenilir Platform modülü). Bu yazıyı okumadan önce, blogumuzdaki “Çok karıştırılan kavramlar: Security, Reliability, Safety, Trustability” isimli yazıya göz atmanızda büyük fayda görüyorum.

“Trusted Computing” grubu, çoklu platformlar, çevresel ve diğer aygıtlar arası donanım blokları ve yazılım arabirimleri oluşturmayı içeren donanım-etkin güvenilir hesaplama ve güvenlik teknolojileri gibi açık standartlar geliştirmeyi ve tanımlamayı amaçlayan kar gütmeyen bir yapılanmadır. TPM, bu grubun çalışmalarından biri olarak ortaya çıkmıştır. TPM ile ilgili daha detaylı bilgi edinmek isteyen arkadaşlar için benim yazımı oluştururken kullandığım Trusted Coputing Group Web sistesini ve şu linkte yer alan “Bilgi Güvenliğinde Yeni Bir Yaklaşım, Güvenilir Bilişim” başlıklı Türkçe makaleyi tavsiye etmek istiyorum.

Şimdi gelelim TPM’in ne olduğuna ve nasıl işlev gördüğüne:
TPM, günümüzde birçok bilgisayar üzerinde hazır gelen donanım tabanlı bir çeşit güvenlik ve kriptografi çipidir. Bu çip içerisinde dijital sertifika, kriptografik anahtarlar, parolalar ve benzeri birçok gizli bilgiyi barındırabilir. TPM aynı zamanda anahtar yönetimi, üzerinde çalıştığı PC’nin kimliğini doğrulama, elektronik belgeler ve e-postalar üzerinde güvenli elektronik imzalama, şifreleme, şifre çözme işlemlerini gerçekleştirme, tam-sürücü şifrelemeyi (full-drive encryption) yönetme, çok yönlü doğrulamada ikinci faktör olarak görev yapma ve üzerinde bulunduğu bilgisayarın güvenliğini ve bütünlüğünü değerlendirmeye yardımcı olma gibi bir çok alanda işlev görebilmektedir.

Teknoloji üreten firmaların birçoğu TPM’i, ürettikleri ürünlerde çok yenilikçi tarzlarda kullanabilmek için çaba göstermektedir. Örneğin HP, Lenova ve benzeri bir çok PC üreticisi ürünlerinde TPM destekli güvenlik yazılım araçlarını standart olarak sunmaya başlamıştır. Microsoft Vista Bitlocker aracı, TPM’i bilgisayarın güvenli açılışı için kullanmaktadır ve son örnek olarak Secude International AG, PC’ye erişimi güvenli kılmak ve sürücüleri şifrelemek için TPM’i kullanmaktadır.

TPM ‘in güvenilirliği sağlamada kullandığı iki metodoloji şunlardır:

Güven Kökeni(Root of Trust): Güven kökeni TPM tarafından oluşturulmakta olup, gerekli bütünlük değerlerinin hesaplanması, depolanması ve istenildiğinde güvenilir bir biçimde sunulması işlevlerini kapsar.

Geçişken Güven Prensibi(Transitive Trust): Bilgisayar açılırken ilk olarak TPM, BIOS kodunun bütünlüğünü kontrol eder ve sonucu PCR’lara (Bütünlük sonuçlarının depolandığı kaydediciler) yazar. Daha sonra ise kontrolü BIOS koduna geçirir. BIOS kodu ise kendinden sonra çalışacak olan boot loader’ı kontrol eder. Aynı süreç PC açılana kadar devam eder. Bu sayede PC’de çalışan tüm yazılım katmanları TPM tarafından kontrol edilmiş ve bütünlük değerleri PCRlara yazılmış olmaktadır. Bu sayede bütün katmanların güvenilirliği doğrulanabilmektedir.

İlk TPM uygulamaları PC’ler üzerine yoğunlaşsa da, sunucular üzerinde de TPM çalışmaları yapılmaktadır. Bu sayede güvenilir sunucu-taraflı hesaplama ve sunucu-istemci iletişimi hedeflenmektedir. IBM ve Dell gibi markalar sunucularında çoktan TPM destekli çiplere yer vermeye başlamıştır.

En çok kullanılan TPM uygulamaları ise şu şekildedir:
– Ağ Erişimi

Erişim Denetimi %75

Kablosuz (802.1x) %74

VPN (IPSec) %74

Aygıt Doğrulama %71

Aygıtı Delil Gösterme %48

– Veri Koruma

Güvenli E-posta %75

Tam-disk Şifreleme %67

Dosya/dizin Şifreleme %63

Anahtar Yönetimi %54

– Kullanıcı Doğrulama

PC’ye login olma %88

Kullanıcı Doğrulama %83

Güvenli Boot Sırası %79

Akıllı Kartlar %45

Parmakizi biyometrikleri %39

Mobile

Email

Securify Ltd.