TPM hardware versus fTPM
- Ersteller geohei
- Erstellt am
Kommt darauf an, wofür du es nutzen willst. Hardware TPMs sind Sicherheits-Hardware, meist sogar entsprechend zertifiziert (nicht selten EAL 5 nach CC). Firmware TPMs laufen in einem Trusted Execution Environment (TEE ) auf der CPU und sind eben hauptsächlich Software.
Je nach Angriffsmodell kann aber das fTPM auch einen Vorteil haben, da die Kommunikation mit dem Hardware TPM idR nicht ausreichend geschützt ist, ein Angreifer mit physischem Zugang also nicht so leicht abzuwehren ist.
Letzter Punkt ist die TPM-Spezifikation. Der Ryzen fTPM ist ein TPM 2.0, das Hardware-TPM evtl. nur 1.2.
Je nach Angriffsmodell kann aber das fTPM auch einen Vorteil haben, da die Kommunikation mit dem Hardware TPM idR nicht ausreichend geschützt ist, ein Angreifer mit physischem Zugang also nicht so leicht abzuwehren ist.
Letzter Punkt ist die TPM-Spezifikation. Der Ryzen fTPM ist ein TPM 2.0, das Hardware-TPM evtl. nur 1.2.
TE
TE
geohei
Komplett-PC-Aufrüster(in)
Kompetente Antwort !!!
Ich habe mir dieses Modul hier ausgesucht da ich ein ASUS X570 Mobo habe.
TPM-SPI | Motherboard Accessories | ASUS Global
Soweit ich sehe dürfte dies Teil ein TPM 2.0 sein (oder?).
Ich würde es anfänglich nur für Bitlocker benutzten.
Später kämen u.U. andere Applications (à la FIDO2, ...) hinzu.
Für was würdest du dich in dem Fall entscheiden?
Ich habe mir dieses Modul hier ausgesucht da ich ein ASUS X570 Mobo habe.
TPM-SPI | Motherboard Accessories | ASUS Global
Soweit ich sehe dürfte dies Teil ein TPM 2.0 sein (oder?).
Ich würde es anfänglich nur für Bitlocker benutzten.
Später kämen u.U. andere Applications (à la FIDO2, ...) hinzu.
Für was würdest du dich in dem Fall entscheiden?
Das ist keine ganz so einfach zu beantwortende Frage, wie so vieles im Bereich InfoSec. Neben der Frage nach dem "wofür" bleibt auch noch die Frage "wie genau", welche man sich nur selbst anhand seines eigenen Paranoialevels beantworten kann.
Ein einfaches Kriterium wäre z.B. die nach der Vertraunswürdigkeit bzw. angenommenen Kompetenz an den Hersteller. Soweit mir bekannt, gibt es zu deinen beiden Varianten bisher keine offengelegten Schwachstellen. Wem traust du also zu, dass dies auch so bleibt? Eher AMD, oder Nuvoton? Würdest du eher Schwachstellen in Prozessorhardware/Microcode vermuten, oder in (in diesem Fall nach EAL4+ zertifizierter) dedizierter Sicherheits-Hardware?
Ein praktischer Kriterium wäre z.B. die Frage nach der Platzierung des Root-of-Trust. Soll dies in der CPU liegen (tauscht du öfter mal die CPU?) oder auf einem Modul, welches man eventuell auch auf einem anderen Board nutzen könnte? Aber Vorsicht: Je nach Konfiguration des TPM (Paranoialevel!) gibt dieser erst dann seine Geheimnisse preis, wenn das Restsystem einem bekannten Zustand entspricht. Ein einfache Mitnahme des TPM in ein anderes System bedeutet nicht auch gleich, dass du es da auch nutzen kannst.
Letzter Punkt ist auch einfach die Qualität/Verfügbarkeit der Treiber. Ich persönlich setze grundsätzlich auf Linux, was einem zwar deutlich größere Möglichkeiten gibt TPMs auch tief im System zu etablieren (z.B. auch zur Authentifizierung im Netzwerk), aber man stößt beim "Herumbasteln" auch mal häufig auf Dinge, die nicht so straight forward funktionieren.
Ich würde, aber auch aus beruflicher Vorbelastung heraus, zur dedizierten Hardware greifen, aber das ist eher eine persönliche Präferenz.
Ein einfaches Kriterium wäre z.B. die nach der Vertraunswürdigkeit bzw. angenommenen Kompetenz an den Hersteller. Soweit mir bekannt, gibt es zu deinen beiden Varianten bisher keine offengelegten Schwachstellen. Wem traust du also zu, dass dies auch so bleibt? Eher AMD, oder Nuvoton? Würdest du eher Schwachstellen in Prozessorhardware/Microcode vermuten, oder in (in diesem Fall nach EAL4+ zertifizierter) dedizierter Sicherheits-Hardware?
Ein praktischer Kriterium wäre z.B. die Frage nach der Platzierung des Root-of-Trust. Soll dies in der CPU liegen (tauscht du öfter mal die CPU?) oder auf einem Modul, welches man eventuell auch auf einem anderen Board nutzen könnte? Aber Vorsicht: Je nach Konfiguration des TPM (Paranoialevel!) gibt dieser erst dann seine Geheimnisse preis, wenn das Restsystem einem bekannten Zustand entspricht. Ein einfache Mitnahme des TPM in ein anderes System bedeutet nicht auch gleich, dass du es da auch nutzen kannst.
Letzter Punkt ist auch einfach die Qualität/Verfügbarkeit der Treiber. Ich persönlich setze grundsätzlich auf Linux, was einem zwar deutlich größere Möglichkeiten gibt TPMs auch tief im System zu etablieren (z.B. auch zur Authentifizierung im Netzwerk), aber man stößt beim "Herumbasteln" auch mal häufig auf Dinge, die nicht so straight forward funktionieren.
Ich würde, aber auch aus beruflicher Vorbelastung heraus, zur dedizierten Hardware greifen, aber das ist eher eine persönliche Präferenz.
TE
TE
geohei
Komplett-PC-Aufrüster(in)
Meine Paranoia hällt sich in Grenzen. M.a.W. es muss nicht bis ins Jahr 3000 unknackbar sein.
Da beide Hersteller gleich glaubwürdig scheinen, ist das auch kein KO-Kriterium.
Die CPU werde ich wahrscheinlich nicht wechseln. Und wenn beim Umstecken des TPM Moduls die gewechselte Hardware für Probleme sorgt, sollten die Recovery Mechanismen ja trotzdem noch greifen (?).
Als Haupt-BS with W10 zum Einsatz kommen. Auf einer zweiten Partition ein Linux. Mit beiden BS sollte es mit dem ASUS TPM Modul keine Probleme geben (W10 wird auf der ASUS Seite gelistet).
Letzte Sache noch. Gibt es keine Kompatibilitätsprobleme mit Software/Hardware, die TPM benutzten/benötigen?
Da beide Hersteller gleich glaubwürdig scheinen, ist das auch kein KO-Kriterium.
Die CPU werde ich wahrscheinlich nicht wechseln. Und wenn beim Umstecken des TPM Moduls die gewechselte Hardware für Probleme sorgt, sollten die Recovery Mechanismen ja trotzdem noch greifen (?).
Als Haupt-BS with W10 zum Einsatz kommen. Auf einer zweiten Partition ein Linux. Mit beiden BS sollte es mit dem ASUS TPM Modul keine Probleme geben (W10 wird auf der ASUS Seite gelistet).
Letzte Sache noch. Gibt es keine Kompatibilitätsprobleme mit Software/Hardware, die TPM benutzten/benötigen?
