+
Trusted Computer Group Indra Priyandono
+
+
Tentang TCG n TCG
consortium. Founded in 1999.
n Main
players (promotors): (>200 members)
n Trusted
Computing Group adalah penerus dari Trusted Computing Platform Alliance (TCPA), TCG adalah sebuah organisasi yang dibentuk oleh AMD, HP, IBM, Infineon, Intel, Microsoft, dan Sun Microsystems untuk mengimplementasikan Trusted Computing.
+
n TCG
mengembangkan Trusted Platform Module (TPM), yaitu semacam kekayaan intelektual dalam semikonduktor atau IC, dimana spesifikasinya ditetapkan oleh TCG.
+
Tujuan n Hardware
protected (encrypted) storage: Hanya perangkat lunak yang "resmi" yang dapat mendekripsi data mis: melindungi kunci untuk mendekripsi file system Secure boot: metode untuk "otorisasi" software Attestation: Membuktikan ke remote server, software apa yang berjalan pada mesin saya.
+
Apa itu TPM? n TPM
adalah mikrokontroler yang menyimpan kunci, password dan sertifikat digital.
n Biasanya
ditempelkan pada motherboard PC, tetapi dapat juga digunakan pada perangkat komputasi yang membutuhkan fungsi tersebut. (laptop, cell phone, dll)
n Sifat
silikon ini memastikan bahwa informasi yang disimpan dibuat lebih aman dari serangan software eksternal dan pencurian fisik.
+
+
+
TPM Hardware n Extra
hardware: TPM n Trusted Platform Module (TPM) chip n Single 33MhZ clock.
n TPM
Chip vendors: (~.3$) n Atmel, Infineon, National, STMicro n Intel D875GRH motherboard
+
TPM Hardware
+
TPM Hardware n
I/O n
n
Mengelola arus informasi melalui komunikasi
Secure Controller n
Melakukan verifikasi perintah
n
Melaksanakan sesuai dengan kode perintah Mengontrol aliran eksekusi internal dari TPM
n
+
TPM Hardware n
ROM n
n
TCG Firmware
EEPROM n
User data
n
TPM keys [e.g., Endorsement Key (EK) and Storage Root Key (SRK) and owner secret]
n
Endorsement Key Certificate
+
TPM Hardware n
Tick counter n
n
Memberikan jejak audit pada perintah TPM
Security Features n
Active shield
n n
Over/Under voltage detection Low/High frequency sensor
n
Reset filter
n
Memory encryption
+
Integration of a TPM into a platform
+
TPM di dunia nyata n Sistem
yang berisikan TPM chips: n Lenovo (IBM) Thinkpads dan desktop n Fujitsu lifebook n HP desktop dan notebook n Acer, Toshiba, Panasonic, Gateway, Dell, …
+
Software menggunakan TPM: n Enkripsi
file / disk: Vista, IBM, HP, Softex
n Attestation/Pengesahan
untuk login perusahaan: Agar setiap orang mengetahuinya dan menggunakan. Cognizance, Wave
n Client-side
single sign on: IBM, Utimaco, Wave
+
TPM Components Kemampuan Crypto n
TPM menyediakan satu set kemampuan kripto yang memungkinkan fungsi kripto tertentu akan dieksekusi dalam hardware TPM. Hardware dan software diluar TPM tidak memiliki akses pada pelaksanaan fungsi-fungsi kripto dalam hardware TPM, dan dengan demikian, hanya dapat memberikan I/O pada TPM. n RSA Accelerator TPM berisi mesin hardware untuk melakukan enkripsi/ dekripsi hingga 2048 bit RSA. TPM menggunakan built-in engine RSA saat penandatanganan digital dan operasi key wrapping.
+
Mesin untuk SHA-1 algoritma hash TPM menggunakan built-in hash engine untuk menghitung nilai hash dari potongan-potongan kecil data. Potongan besar data (seperti pesan email) di luar TPM, sebagai hardware TPM mungkin terlalu lambat dalam kinerja untuk tujuan tersebut. n Random Number Generator RNG ini digunakan untuk menghasilkan/meng generate kunci untuk berbagai tujuan. n Terbatas NVRAM pada isiTPM n
+
TPM sebagai Endpoint Komunikasi n Pertukaran
pesan klasik didasarkan pada kriptografi asimetris menunjukkan bahwa pesan yang ditujukan untuk satu dan hanya satu individu dapat dienkripsi menggunakan kunci publik.
n Selain
itu, pesan dapat dilindungi dari gangguan dengan menandatangani dengan kunci pribadi.
+
n Kunci
adalah titik akhir komunikasi dan jika kunci dikelola tidak benar dapat mengakibatkan hilangnya keamanan.
n Selain
itu, kesalahan dikonfigurasi juga dapat mengakibatkan hilangnya keamanan.
n Alat
bantu TPM dalam meningkatkan keamanan dengan menyediakan manajemen kunci dan manajemen konfigurasi fitur
+
TPM: BitLocker n BitLocker
memerlukan modul TPM (versi 1.2 atau yang lebih tinggi) yang terpasang pada laptop/PC anda.
n TPM
adalah Trusted Platform Module, yaitu suatu modul Secure Cryptoprocessor berbentuk suatu chip yang ditanam di motherboard suatu laptop/ PC. Biasanya hanya high end laptop/PC yang sudah terpasang modul TPM ini.
+
Mengaktifkan BitLocker BitLocker mudah sekali untuk diaktifkan, caranya adalah : n
Pastikan Laptop/PC anda memiliki TPM (melalui menu BIOS atau melalui menu “Device Manager –> Security Devices”
n
Buka Windows Explorer, kemudian pilih hard disk (bisa internal atau removable) yang ingin diacak, klik kanan kemudian pilih “Turn On BitLocker”
n
Pilih password untuk unlock (bisa juga anda pilih Smart Card, jika anda punya)
n
Jangan lupa simpan recovery key ke dalam suatu file
+
+
n Proses
pengacakan hard disk memakan waktu cukup lama, namun setelah selesai maka proses baca/tulis hard disk akan kembali ke kecepatan normal, seolah-olah tidak ada beban encryption.
+
Skenario Perlindungan BitLocker n
BitLocker hanya melindungi data di laptop/PC anda jika laptop/PC anda dalam keadaan MATI (POWER OFF) atau HYBERNATE dan bukan sedang Log Off atau Sleep. Dalam power on, maka data di laptop/PC anda hanya terlindungi oleh password user saja.
n
Oleh karena itu jika anda benar-benar ingin keamanan maksimal, sangat direkomendasi supaya laptop/PC anda selalu di power off setelah selesai bekerja.
n
Nah, jika laptop/PC anda hilang tapi dalam keadaan power off, maka BitLocker akan melindungi data anda secara maksimal. Di bawah ini ada beberapa skenario perlindungan BitLocker :
+
n Jika
Penyerang memiliki akses ke laptop/PC anda langsung : BitLocker menggunakan kunci berupa PIN (Personal Identification Number), berupa sederatan digit atau karakter keyboard dengan panjang antara 4 sampai 20 digit/characters. Si penyerang bisa mencoba mencari kemungkinan kombinasi PIN menggunakan teknik yang disebut Brute Force Attack atau Dictionary Attack. Namun TPM akan mendeteksi hal ini, dan mencegah hal ini dengan menerapkan timer yang meningkat secara eksponensial untuk setiap kali percobaan PIN yang salah. TPM (tergantung si pembuat TPM) juga membatasi jumlah maksimum percobaan ini.
+
n Jika
Penyerang melepas hard disk internal anda dan mencoba akses dari PC lain : Jika si penyerang menggunakan Linux malah BitLocker tidak bisa dibaca sama sekali, karena Linux tidak mengenal BitLocker. Jika si penyerang menggunakan Windows 7 atau Server 2008 dan dukungan modul TPM, maka BitLocker akan meminta penyerang untuk memasukkan kunci BitLocker yang terdiri dari 160 buah karakter keyboard.
+
n Jika
Penyerang menggunakan aplikasi forensic komersial seperti Passware Kit Forensic: Jangan kawatir, semua aplikasi forensic tidak bisa membongkar BitLocker. Aplikasi forensic seperti ini membutuhkan akses ke komputer yang masih menyala aktif dan sudah masuk ke dalamnya sebagai user.
+
n Jika
Penyerang menggunakan tool hacker seperti OphCrack Live CD : Tool ini hanya bisa membongkar password Windows, tetapi tidak bisa membuka proteksi BitLocker. Data anda akan tetap aman dengan perlindungan BitLocker