توجه به راهکارهای امنیتی برای افزایش ضریب ایمنی سختافزار و نرمافزار در حوزه IT، باعث گسترش ارائه راهکارهای ایمنی مانند استفاده از تراشه TPM در سالهای اخیر شده است. ماژول TPM امروزه توسط بسیاری از کمپانیهای تولیدکننده سرور HPE، برای تضمین امنیت دستگاهها استفاده میشود زیرا این تراشه از آسیبرساندن نرمافزارهای مخرب به دستگاه و سرور جلوگیری خواهد کرد و با ذخیرهکردن بخشی از رمز عبور، امنیت اطلاعات و دادهها را افزایش میدهد. اما بهراستی ماژول TPM چیست؟ و عملکرد و شیوه نسب آن در سرورهای HPE ProLiant چگونه است؟ در این مقاله به این سوالات پاسخ میدهیم در صورت تمایل همراه ما باشید.
ماژول امنیتی TPM چیست؟
ماژول TPM مخفف عبارت Trusted Platform Module، یک استاندارد بین المللی پذیرفتهشده صنعت (ISO و ISO/IEC 11889) در سراسر جهان با بیش از ۲۰ سال سابقه استقرار و ارزیابی عمومی است.
اکثر TPM ها دارای گواهینامه استانداردهای پردازش اطلاعات فدرال FIPS140 هستند و توسط آزمایشگاههای Common Criteria laboratories ارزیابی شدهاند. TPM بهعنوان ماژولی از نشانههای احراز هویت در دستورالعمل NIST SP 800-63-3 ذکر شده است و میتواند بهعنوان یک دستگاه تأیید اعتبار چند عاملی استفاده شود. حتی برای استفاده در برنامههای کاربردی زیرساختهای حیاتی توسط ISO/IEC 62443 نیز توصیه میشود.
در یک تعریف ساده TPM یک روش رمزنگاری مبتنی بر سختافزار است، که بهدلیل داشتن چند مکانیزم امنیت فیزیکی در برابر دستکاری، نرمافزارهای مخرب، بدافزارها و حملات سایبری پیچیده مقاوم است. به این چیپست نیز Hardware Based Cryptography گفته میشود. از آنجایی که TPM دارای مدار منطقی و Firmware اختصاصی برای پردازش دستورات است، به سیستمعامل وابسته نیست بنابراین سیستم را در مقابل آسیبهای نرمافزاری مقاوم میکند. بنابراین TPM از اسرار کلیدهای نامتقارن (Asymmetric key’s) در برابر دشمنان نرمافزارها محافظت میکند حتی اگر مهاجم کنترل سیستمعامل را داشته باشد.
رمزنگاری بر اساس سختافزار بر این ایده استوار است که اطلاعاتی که در سختافزار ذخیره میشود بهتر از اطلاعاتی که در نرمافزارها نگهداری میشوند در برابر حملات نرمافزاری حفاظت میشوند و مقاوت بیشتری دارند. امنیت در لایه سختافزاری میتواند بهشدت حفاظت اطلاعات را بالا ببرد از جمله در ارتباطاتی مثل VPN یا تجهیزات وایرلس و یا نگهداری از فایلهای رمزنگاریشده (مانند:BitLocker) و همچنین رمزهای عبور. PIN Code ها با استفاده از TPM میتوانند درجه امنیتی خودشان را بهشدت افزایش دهند.
انواع و اقسام نرم افزارها وجود دارد که میتوانند کلیدهای رمزنگاری خودشان را بر اساس TPM طراحی کنند. اینگونه نرمافزارها دسترسی به اطلاعات بر روی تجهیزات پردازشکننده اطلاعات را بدون احراز هویت و تعیین سطح دسترسی مناسب توسط TPM ها بسیار سخت میکنند ، حتی اگر سختافزار شما هم به سرقت برود، اینگونه نرم افزارها میتوانند از دادههای شما حفاظت کنند. البته TPM نمیتواند نرمافزاری که بر روی سیستمعامل شما بر روی PC ها نصب شده است را کنترل کند. TPM فقط پارامترهای پیکربندی خود را قبل از بوت سیستمعامل تعریف میکند یا در اصطلاح فنی بهشکل Pre-Runtime پارامترهای پیکربندی را اجرا میکند.
این پردازنده رمزنگاری بسیار امن، با تولید کلیدهای رمزگذاری منحصربهفرد برای هر سختافزار طراحی شده است و با ذخیره قسمتی از رمز عبور درون خود باعث افزایش ضریب ایمنی اطلاعات و جلوگیری از دستکاریهای غیرمجاز میشود. بنابراین سیستمهایی که دارای چیپ TPM هستند، قابلیت ایجاد کلیدهای رمزنگاری و رمزگشایی را دارند.
به ذخیره کلیدهای رمزنگاری درون TPM، عبارت Wrapping و Binding گفته میشود. این نوع ذخیرهسازی از افشاشدن کلیدهای رمزنگاری جلوگیری میکند و یک قابلیت امنیتی مناسب برای کلیدهای رمزنگاری ایجاد میکند. کلیدهای رمزگذاری مخصوص هر سیستم میزبان (اHost system) برای احراز هویت سختافزاری هستند. در ادامه به کلیدهای TPM اشاره میشود:
- کلید تایید (EK): هر چیپ TPM حاوی یک جفت کلید RSA بهنام کلید تایید (EK) است. این جفت کلید در داخل تراشه نگهداری میشود و توسط نرمافزار قابل دسترسی نیست.
- کلید Storage Root Key: زمانی که کاربر یا مدیر، مالک سیستم است، کلید Storage Root ساخته میشود. این کلید درون TPM ذخیره میشود. به این نیز، کلید ریشه یا Root Wrapping Key گفته میشود.
- کلید دوم Attestation Identity Key : با مخلوط کردن (Hashing) بخشهای حیاتی فریمور (firmware) و نرمافزار قبل از اجرا، از دستگاه در برابر تغییرات سیستمافزار و نرمافزار غیرمجاز محافظت میکند. هنگامی که سیستم میخواهد به شبکه متصل شود، هشها به سروری فرستاده میشوند که تطابق مقادیر موردانتظاررا تأیید میکند. اگر هر یک از اجزای هششده اصلاح شده باشد، مطابقت با شکست مواجه میشود و سیستم نمیتواند وارد شبکه شود.
قسمت محرمانه و خصوصی کلید رمزنگاری که درون TPM قرار گرفته است به هیچ عنوان برای هیچ مولفه، نرمافزار، پردازش یا حتی شخص در دسترس نخواهد بود و کاملا بهطور محرمانه درون TPM نگهداری میشود.
قابلیتها و امکانات امنیتی ماژول TPM میزان امنیت را در بسیاری از حوزههای فناوری اطلاعات که نیازمند درجه امنیتی بالا هستند، افزایش میدهد. مانند: تجارت الکترونیک، نرم افزارهای کاربردی امن، بانکداری آنلاین، نگهداری اطلاعات محرمانه سازمانی، مدیریت مستندات امن، برقراری ارتباطات ایمن،امضای دیجیتال و مدیریت ایمیلهای امن.
ماژول TPM هماکنون در دو نسخه موجود است: TPM 1.2 و TPM 2.0.
نسخه TPM 1.2 از یک مجوز “مالک” یا Owner، یک کلید تایید (EK) برای امضا/تأیید و یک کلید Storage Root Key برای رمزگذاری پشتیبانی میکند. بنابراین در این نسخه کاربر یا نهاد (“مالک”) بر هر دو عملکرد امضا/تأیید و رمزگذاری TPM کنترل دارد.
اما نسخه TPM 2.0 هر چند دارای کلیدهای EK برای امضا/تأثیر و SRK برای رمزگذاری است، اما کنترل به دو سلسلهمراتب مختلف تقسیم میشود، سلسلهمراتب تایید Endorsement Hierarchy یا (EH) و سلسلهمراتب ذخیرهسازی Storage Hierarchy یا (SH). همچنین دارای یک پلتفرم سلسلهمراتبی Platform Hierarchy یا (PH) بهمنظور تعمیر و نگهداری برای سازندگان پلتفرم و سلسلهمراتب Null Hierarchy است. هر سلسلهمراتب “مالک” منحصربهفرد خود را برای مجوز دارد. به همین دلیل، TPM 2.0 از چهار مجوز پشتیبانی میکند که مدیریت را نسبت به نسخه قبل آسانتر و امنتر کرده است و دارای قابلیت پشتیبانی از الگوریتمهای RSA و ECC برای کلیدهای EK و SRK است.
عملکرد ماژول امنیتی TPM درسرورهای HPE چگونه است؟
امروزه اکثر تولیدکنندگان سرور در دنیا به سمت استفاده و قراردادن چیپستهای TPM بر روی محصولات خود هستند و در این حین Application های زیادی هم تولید شدهاند که مکانیزمهای امنیتی خودشان را بر اساس TPM طراحی و تولید کردهاند، برای مثل Application های ایمیل امن و یا رمزنگاری فایل. کمپانی HPE نیز برای تامین امنیت در سرورهای خود از ماژول امنیتی TPM استفاده کرده است. ناگفته نماند که بهدلیل همهگیری کرونا و لزوم استقرار ایمن فناوریها در محل، تعبیه تراشه TPM برای حفظ اطلاعات حساس بیش از پیش احساس شد.
ماژول TPM در سرورهای HPE بهعنوان یک چیپ Microcontroller است که:
- با ذخیره پارامترهای احراز هویت در پلتفرم سرور مانند پسورد، کلیدهای رمزگذاری و مجوزها از دسترسیهای غیرمجاز به سرور جلوگیری میکند.
- با استفاده از سیستمعامل و یا برنامههایی نظیر مایکروسافت ویندوز و بیت لاکر وظیفۀ ذخیره و تایید رمز عبور و گواهینامهها را برعهده دارد.
- در صورت هجوم ویروس و بدافزار محافظت از برنامهها را افزایش میدهد.
- به سیستمعامل و فریمور امکان میدهد تمام مراحل فرآیند بوت را اندازه گیری کنند.
هنگامی که قصد روشنکردن سرور خود را داشته باشید، تراشه کوچک TPM یک کد منحصربهفرد بهنام کلید رمزنگاری را ارائه میدهد. اگر همه چیز عادی باشد، رمزگذاری درایو باز میشود و سرور شما راهاندازی میشود. اگر مشکلی در کلید وجود داشته باشد، سرور بوت نمیشود. جای نگرانی نیست زیرا که ماژول نسبشده TPM در ارتباط با سایر فناوریهای امنیتی مانند فایروالها، نرم افزارهای آنتی ویروس، کارتهای هوشمند و تایید بیومتریک بهترین عملکرد را دارد.
هماکنون بهطور پیشفرض، زمانی که سرور HPE پس از نصب روشن میشود، نسخه TPM 2.0 در آن فعال میشود.
در حالت UEFI ماژول TPM را میتوان طوری پیکربندی کرد که بهعنوان TPM 2.0 یا TPM 1.2 کار کند. در حالت Boot Legacy، پیکربندی TPM را میتوان بین TPM 1.2 و TPM 2.0 تغییر داد، اما فقط عملیات TPM 1.2 پشتیبانی میشود. سرورهای نسل ۹ تنها در حالت UEFI از ماژول TPM پشتیبانی میکنند نه در حالت Legacy.
بر اساس آنچه در جدول اشاره شده است، به نکات زیر توجه کنید:
۱- ماژول TPM را تنها یکبار میتوان نصب کرد و نمیتوان آن را با ماژول TPM دیگری عوض کرد. مثلا چنانچه در سرور HPE ProLiant DL360 Gen10 ماژول TPM 1.2 را نسب کردهاید نمیتوانید آن را به TPM 2.0 ارتقا دهید.
۲- سرورهای نسل ۸ و قبلتر برای سازگاری با آن نیاز به آخرین آپدیت Firmware (فریمور) دارند.
۳- تراشههای TPM 2.0 به نسخه Linux 4.4 یا جدیدتر نیاز دارد.
۴- تراشههای TPM 2.0 با Ubuntu 16.04 و بالاتر پشتیبانی میشوند.
۵- تراشههای TPM 2.0 توسط Windows 7 64 بیتی با پیکربندی SP در حالت بوت UEFI + CSM پشتیبانی میشود.
۶- ویندوز ۸ با پشتیبانی از TPM 2.0 راه اندازی شد اما فقط از SHA-1 پشتیبانی میکند.
۷- برخی از سیستمهای ویندوز ۱۱ بدون تراشههای TPM 2.0 کار میکنند.
همانطور که میبینید، TPM 2.0 یک استاندارد قویتر و همهکارهتر از نسخه قبلی است. با این حال، این لزوماً به این معنی نیست که این انتخاب برای همه مناسب است. با توجه به برخی ملاحظات کلیدی هنگام استفاده از TPM 1.2 یا TPM 2.0 میتوانید تصمیمگیری درست داشته باشید.
راهاندازی ماژول امنیتی TPM در سرورهای HPE ProLiant
برای فعال کردن ماژول TPM مراحل زیر را در سرور خود انجام دهید:
۱- ابتدا کلید F9 را فشار دهید تا به ابزارهای سیستم دسترسی پیدا کنید.
۲- از قسمت the System Utilities screen گزینه System Configuration را انتخاب کنید، سپس وارد BIOS/Platform Configuration -RBSU شوید و بعد از آن Server Security را انتخاب کنید.
۳- در این مرحله گزینه Trusted Platform Module Options را انتخاب و روی Enter کلیلک کنید.
۴- برای فعال کردن و راهاندازی امن TPM و BIOS، گزینه Enabled را انتخاب کنید، در نهایت برای ذخیره انتخاب خود کلید F10 را فشار دهید.
۵- چنانچه از شما خواسته شد تغییر را در System Utilities ذخیره کنید، کلید Y را کلیک کنید.
برای خروج از System Utilities کلید ESC را فشار دهید.
۶- در این مرحله هنگامی که از شما راهاندازی مجدد سرور خواسته شد، روی کلید Enter کلیک کنید.
۷- بعد از مراحل اشارهشده هماکنون سرور شما برای بار دوم بدون ورودی کاربر راه اندازی مجدد میشود. در طول این راه اندازی مجدد، تنظیمات TPM اعمال میشود.
۸- اکنون میتوانید عملکرد TPM را در سیستمعامل فعال کنید، مانند Microsoft Windows BitLocker یا بوت اندازه گیری شده (measured boot).
جمعبندی
امروزه، بسیاری از شرکتهای فعال و بزرگ در تلاشند از اطلاعات و دادههای خود محافظت و از ورود بدافزار به سیستم شرکت جلوگیری کنند. ماژول امنیتی TPM ایمنی سیستم و سرور را بهطرز شگفتانگیزی افزایش میدهد و بهعنوان امنترین روش برای محافظت از اطلاعات ذخیرهشده در رایانه و یا سرور پذیرفته شده است. این ماژول امنیتی سرور تضمین میکند که هیچ کاربری از طریق حمله نرمافزاری یا حمله brute force به دادههای شما دسترسی پیدا نمیکند. در این پست ماژول امنیتی TPM و کارکرد آن درسرورهای HPE را بررسی کردیم. همچنین به شیوه راهاندازی آن در سرور اشاره شد. چنانچه تمایل به خرید سرور و تجهیزات جانبی دارید با کمپانی ارمغان اشراق بهعنوان یکی از واردکنندگان محصولات HPE در ایران تماس بگیرید. همکاران ما در این مجموعه آماده ارائه خدمات با کیفیت به شما عزیزان هستند.