Станок резьбонарезной tpm12: Настольный резьбонарезной станок TPM12 – цена, отзывы, характеристики с фото, инструкция, видео

alexxlab | 25.01.1997 | 0 | Разное

Содержание

Настольный резьбонарезной станок TPM12 – цена, отзывы, характеристики с фото, инструкция, видео

Настольный резьбонарезной станок TPM12 имеет возможность не только проводить нарезание резьб на трубах и других цилиндрических заготовках, но и осуществлять сверление в металлических изделиях.

Особенности

  • аппарат оснащен регулятором изменения скорости вращения рабочего вращающегося узла, в зависимости от плотности структуры обрабатываемого металла;
  • позволяет проводить нарезку резьбы не только с правым вращением, но и с левым;
  • вращение рабочего узла производится посредством ременной передачи, питающейся от бытовой сети в 220 В, что дает возможность универсального применения не только в пределах производственных площадей слесарного цеха, но и в импровизированных домашних мастерских;
  • удобная длинная рукоять обеспечивает плавное движение шпинделя при нарезании резьбы или сверлении, создавая оптимальное давление на металлическую заготовку;
  • устройство оборудовано массивной станиной, предотвращающей какие-либо перемещения станка во время работы;
  • компактное основание, а также вертикальное расположение рабочего механизма позволяют слесарю разместить агрегат даже в мастерской, не обладающей просторностью.

TPM12 – это оптимальный вариант для организаций, занятых производством различных штучных деталей и запасных частей из металла, а также для производственных объединений, деятельностью которых является монтирование трубных коммуникаций.


ХарактеристикаЗначение
Мощность двигателя, кВт:550 (380в)
Макс. использование потенциала, мм:чугун M12, сталь M8
Перемещение шпинделя, мм:45
Конус шпинделя:B16
Диапазон частот вращения шпинделя, об/мин:260, 440, 630
Диапазон частот реверсного вращения шпинделя, об/мин:320, 550, 770
Расстояние от шпинделя до стола, мм:260 mm
Расстояние от шпинделя до основания, мм:390 mm
Размер стола, мм:230×2306
Размер основания, мм:180×200
Диаметр колонны, мм:60
Общая высота, мм:825
Вес TPM12 , кг:58/48

Настольный резьбонарезной станок TPM12 в Санкт-Петербурге

Настольный резьбонарезной станок TPM12 имеет возможность не только проводить нарезание резьб на трубах и других цилиндрических заготовках, но и осуществлять сверление в металлических изделиях.

Особенности

  • аппарат оснащен регулятором изменения скорости вращения рабочего вращающегося узла, в зависимости от плотности структуры обрабатываемого металла;
  • позволяет проводить нарезку резьбы не только с правым вращением, но и с левым;
  • вращение рабочего узла производится посредством ременной передачи, питающейся от бытовой сети в 220 В, что дает возможность универсального применения не только в пределах производственных площадей слесарного цеха, но и в импровизированных домашних мастерских;
  • удобная длинная рукоять обеспечивает плавное движение шпинделя при нарезании резьбы или сверлении, создавая оптимальное давление на металлическую заготовку;
  • устройство оборудовано массивной станиной, предотвращающей какие-либо перемещения станка во время работы;
  • компактное основание, а также вертикальное расположение рабочего механизма позволяют слесарю разместить агрегат даже в мастерской, не обладающей просторностью.

TPM12 – это оптимальный вариант для организаций, занятых производством различных штучных деталей и запасных частей из металла, а также для производственных объединений, деятельностью которых является монтирование трубных коммуникаций.


ХарактеристикаЗначение
Мощность двигателя, кВт:550 (380в)
Макс. использование потенциала, мм:чугун M12, сталь M8
Перемещение шпинделя, мм:45
Конус шпинделя:B16
Диапазон частот вращения шпинделя, об/мин:260, 440, 630
Диапазон частот реверсного вращения шпинделя, об/мин:320, 550, 770
Расстояние от шпинделя до стола, мм:260 mm
Расстояние от шпинделя до основания, мм:390 mm
Размер стола, мм:230×2306
Размер основания, мм:180×200
Диаметр колонны, мм:60
Общая высота, мм:825
Вес TPM12 , кг:58/48

Настольный резьбонарезной станок TPM12 – мониторинг цен, отзывы покупателей, обзор характеристик

Настольный резьбонарезной станок TPM12 имеет возможность не только проводить нарезание резьб на трубах и других цилиндрических заготовках, но и осуществлять сверление в металлических изделиях.

Особенности

  • аппарат оснащен регулятором изменения скорости вращения рабочего вращающегося узла, в зависимости от плотности структуры обрабатываемого металла;
  • позволяет проводить нарезку резьбы не только с правым вращением, но и с левым;
  • вращение рабочего узла производится посредством ременной передачи, питающейся от бытовой сети в 220 В, что дает возможность универсального применения не только в пределах производственных площадей слесарного цеха, но и в импровизированных домашних мастерских;
  • удобная длинная рукоять обеспечивает плавное движение шпинделя при нарезании резьбы или сверлении, создавая оптимальное давление на металлическую заготовку;
  • устройство оборудовано массивной станиной, предотвращающей какие-либо перемещения станка во время работы;
  • компактное основание, а также вертикальное расположение рабочего механизма позволяют слесарю разместить агрегат даже в мастерской, не обладающей просторностью.

TPM12 – это оптимальный вариант для организаций, занятых производством различных штучных деталей и запасных частей из металла, а также для производственных объединений, деятельностью которых является монтирование трубных коммуникаций.


Технические характеристики настольного сверлильного станка TPM12

ХарактеристикаЗначение
Мощность двигателя, кВт:550 (380в)
Макс. использование потенциала, мм:чугун M12, сталь M8
Перемещение шпинделя, мм:45
Конус шпинделя:B16
Диапазон частот вращения шпинделя, об/мин:260, 440, 630
Диапазон частот реверсного вращения шпинделя, об/мин:320, 550, 770
Расстояние от шпинделя до стола, мм:260 mm
Расстояние от шпинделя до основания, мм:390 mm
Размер стола, мм:230×2306
Размер основания, мм:180×200
Диаметр колонны, мм:60
Общая высота, мм:825
Вес TPM12 , кг:58/48

Сверлильный резьбонарезной станок Zenitech TPM12

 Функциональные особенности сверлильного резьбонарезного станка Zenitech TPM12:

  • Регулятор изменения скорости вращения рабочего вращающегося узла, в зависимости от типа обрабатываемого металла
  • Производит нарезание резьбы правым и левым вращением
  • Вращение рабочего узла производится посредством ременной передачи, питающейся от бытовой сети в 220 В, что дает возможность универсального применения не только в пределах производственных площадей, но и в импровизированных домашних мастерских
  • Массивная станина предотвращает перемещения станка во время работы
  • Длинная рукоятка позволяет оператору производить плавное перемещение шпинделя во время сверления или нарезания резьбы и создавать оптимальное давление на заготовку
  • Компактное основание, а также вертикальное расположение рабочего механизма позволяют слесарю разместить станок даже в тесной мастерской

 

Технические характеристики сверлильного резьбонарезного станка Zenitech TPM12:
Мощность двигателя, Вт 550
Макс. использование потенциала, мм чугун М12, сталь М8
Перемещение шпинделя, мм 45
Конус: В16
Диапазон частот вращения шпинделя, об/мин

260, 440, 630

Диапазон частот реверсивного вращения шпинделя, об/мин

320, 550, 770

Расстояние от шпинделя до стола, мм 260
Расстояние от шпинделя до основания, мм 390
Размер стола, мм 230х230
Размер основания, мм 180х200
Диаметр колонны, мм 60
Общая высота, мм 825
Вес нетто/вес брутто, кг 48 / 52

 

 

Основные условия гарантии:

Гарантия на поставляемое оборудование — 12 месяцев

 

Вернуться к выбору сверлильного станка по металлу Zenitech

 

Другие модели сверлильных станков:

Станок настольный резьбонарезной модель ТРМ12 [925635]

Каталог → Оборудование для монтажа и обслуживания труб → Резьбонарезной инструмент → Резьбонарезные станки → Воткинский завод Производитель: Воткинский завод

Гарантия производителя: 1 год

Сертификат официального дилера:
Этот товар нравится другим пользователям:

Технические характеристики:

Мощность двигателя, кВт550
Макс. использование потенциала (чугун/сталь), ммM12/ M8
Перемещение шпинделя, мм45
Конус шпинделяB16
Диапазон частот вращения шпинделя, об/мин260, 440, 630
Диапазон частот реверсного вращения шпинделя, об/мин320, 550, 770
Расстояние от шпинделя до стола, мм260
Расстояние от шпинделя до основания, мм390
Размер стола, мм230×2306
Размер основания, мм180×200
Диаметр колонны, мм60
Общая высота, мм825
Вес, кг58/48

Описание:

Станок настольный резьбонарезной модель ТРМ12 идеально подходит как для мобильного использования на объекте, так и для стационарного использования в цеху, мастерской, на стройплощадке, при проведении ремонтных и монтажных работ.

Отзывы:

добавить отзыв

отправить отзыв

Отзывов ещё нет. Ваш отзыв будет первым.

Цена на товар Станок настольный резьбонарезной модель ТРМ12 может отличаться от розничной (магазинной) цены.
Фото, наименование, артикул, описание и технические характеристики товара могут отличаться и иметь неточности или могут быть изменены производителем без предварительного уведомления, также может меняться страна-производитель в зависимости от поставок.
Уточняйте важные для вас параметры и характеристики в магазинах у консультантов или по телефонам и электронной почте.
Проверяйте комплектацию товара и его технические возможности в момент получения товара.
Данный сайт носит исключительно информационный характер и ни при каких условиях не является публичной офертой, определяемой положениями Статьи 437.2 Гражданского кодекса РФ.

Похожие товары:

Резьбонарезной станок ROTORICA CT-50A

артикул: CT-50A

мощность – 750 Вт, напряжение -230В,

Отправить запрос

Станок резьбонарезной VOLL V-Matic A2 1/2-2″

артикул: 2.20050

мощность 1500 Вт, диаметр труб до 2″, скорость вращения 38 об/мин, масса 65 кг

Отправить запрос

Желобонакатный станок VOLL V-Groover 6

артикул: 2.24006

мощность 450 Вт, диаметр труб до 6″, скорость вращения 24 об/мин, масса 80 кг

Отправить запрос

Желобонакатный станок VOLL V-Groover 12

артикул: 2.24012

мощность 1100 Вт, диаметр труб до 12″, скорость вращения 24 об/мин, масса 120 кг

Отправить запрос

Станок резьбонарезной VOLL V-Matic A2 1/2-3″

артикул: 2.20080

мощность 1500 Вт, диаметр труб до 3″, скорость вращения 38 об/мин, масса 65 кг

Отправить запрос

security — множественные проблемы безопасности в TrouSerS tpm1.2 tscd Daemon

oss-security — многочисленные проблемы безопасности в TrouSerS tpm1.2 tscd Daemon [<предыдущая] [следующая>] [следующая тема>] [день] [месяц] [год] [список]
Дата: 20 мая 2020 г., 14:54:38 +0200
От кого: Матиас Герстнер 
Кому: [email protected]
Копия: брюки[email protected], [email protected]
Тема: Многочисленные проблемы безопасности в демоне TrouSerS tpm1.2 tscd

Привет,

Я обнаружил несколько проблем с безопасностью в демоне tcsd TrouSerS.
[1] тпм 1.2 стак.

Вступление
============

Демон tcsd управляет доступом к устройству /dev/tpm0, совместимому с tpm 1.2, на
Linux-системы. Демон использует непривилегированную учетную запись пользователя и группы для
беги как. По умолчанию они называются tss:tss.

tcsd может быть запущен непосредственно как пользователь и группа tss, например. через systemd или
через старт-стоп-демон. В этом случае устройство /dev/tpm0 должно принадлежать
пользователь тс. Этот режим работы безопасен и не зависит от
следующие выводы.

Если tcsd запущен с привилегиями root, он открывает /dev/tpm0 как root
и впоследствии сбрасывает привилегии непривилегированному пользователю.В этом случае тс
пользователь может добиться повышения привилегий. Следующая логика выполняется
ТСД:

1) демон читает конфигурацию в /etc/tcsd.conf предварительно убедившись
  что файл конфигурации принадлежит tss:tss mode 0600 (функция
  `conf_file_init()`). Из этого файла конфигурации путь `system_ps_file`
  (по умолчанию /var/lib/tpm/system.data) анализируется и используется для дальнейшего
  операции.

2) демон проверяет, что каталог, в котором находится `system_ps_file`
  содержится в exists (функция `ps_dirs_init()`, /var/lib/tpm по умолчанию).Каталог создается, если необходимо, с использованием `mkdir()` и режима 0700.
  После этого делается явный `chown()` для режима 0700 в случае, если режим
  каталог еще не соответствует этому режиму.

3) в функции `ps_init_disk_cache()` вызывается функция `get_file()`
  который открывает `system_ps_file`, используя `O_RDWR|O_CREAT` и режим 0600:

  `openat(AT_FDCWD, "/var/lib/tpm/system.data", O_RDWR|O_CREAT, 0600) = 4`

4) только после этих шагов происходит сброс привилегий на tss uid в
   функция `main()`.Проблемы с безопасностью
===============

В связи с этим возникают следующие проблемы безопасности:

а) Поскольку /var/lib/tpm принадлежит пользователю tss (согласно dist/Makefile.am),
   создание файла `system.data` на шаге 3) подвержено атакам по символическим ссылкам.
   tss может тем самым вызвать создание новых файлов или повреждение
   существующие файлы. Эти новые файлы заканчиваются с режимом 0600 и без `chown()` для
   tss выполняется с помощью tcsd. Таким образом, это выглядит как отсутствие полного локального корня
   повышение привилегий может быть достигнуто, но только DoS-атаки.б) tcsd удаляет только корневой uid, а не корневой gid на шаге 4). Звонок в
   `setgid()` отсутствует. Поэтому tcsd продолжает работать с корневой группой.
   привилегии, которые на самом деле не требуются. Это может дать дополнительные привилегии
   эскалации в сочетании с другими, еще неизвестными векторами атак.

c) Файл конфигурации /etc/tcsd.conf _требуется_ tcsd для
   принадлежит tss:tss mode 0600. Поэтому непривилегированный пользователь может изменить все
   настройки, связанные с демоном, включая путь `system_ps_file`.Это означает
   `mkdir()` и `chmod()`, выполненные на шаге 2), могут быть направлены на
   произвольный путь. Сюда также относится атака по символическим ссылкам, описанная в а)
   для произвольных путей.

   Из-за этого могут возникать дополнительные проблемы безопасности при манипулировании другими конфигурациями.
   параметры файла. Я не стал вникать в это глубже.

г) Не имеет прямого отношения к вышеизложенной логике. Пример файла спецификации RPM [5] в
   репозиторий TrouSerS использует небезопасные режимы файлов и каталогов для
   /var/lib/tpm и /usr/sbin/tcsd:

   ```
   # создаем место по умолчанию для файлов постоянного хранилища
   если тест -e %{_localstatedir}/tpm; потом
        mkdir -p %{_localstatedir}/tpm
        /bin/chown tss:tss %{_localstatedir}/tpm
        /bin/chmod 1777 %{_localstatedir}/tpm
   фи

   # chown демон
   /bin/chown tss:tss %{_sbindir}/tcsd
   ```

   Итак, здесь в /var/lib/tpm настроен общедоступный каталог sticky-bit.Это могло, это может
   разрешить произвольным пользователям настроить атаку по символической ссылке, упомянутую в а). Это могло бы
   также привести к утечке информации. Как только tcsd запускается как root, режим
   Однако файл /var/lib/tpm будет исправлен на шаге 1).

   Передача права собственности на /usr/sbin/tcsd пользователю tss позволит tss
   пользователь может заменить двоичный файл tcsd вредоносным кодом, который потенциально может быть
   выполняется пользователем root, что приводит к выполнению произвольного кода.

   Я не знаю ни одного дистрибутива, использующего этот спецификационный файл или его части.
   Это.Тем не менее, это очень плохой пример.

Смягчение и исправления
=======================

Мне кажется, лучше сразу запустить tcsd от имени пользователя и группы tss:tss.
и не полагаться на логику сброса привилегий, реализованную в самом демоне.
В этом случае все пункты а), б) и в) больше не должны вызывать проблем. я нашел
что в Debian и Gentoo Linux это уже так. Чтобы сделать эту работу
правило udev должно быть упаковано, чтобы передать право собственности на устройство /dev/tpm0
пользователь тс. Чтобы предотвратить регрессию при переходе от сброса привилегий
подход к этому новому подходу, возможно, уже существующему
/var/lib/tpm/система.файл auth должен быть безопасно передан пользователю tss
во время обновления пакетов.

В SUSE и Fedora Linux tcsd запускается как root через systemd, поэтому они
затронуты вопросы безопасности. Предварительно предложенное исправление исходного кода
прикреплен к этому письму. Это гарантирует, что `O_NOFOLLOW` добавлен к шагу 3)
для предотвращения атаки по символической ссылке. Так же добавляет в tss каплю рута gid
гид. И он изменяет проверку /etc/tcsd.conf таким образом, что право собственности root:tss
и режим 0640 нужны. Упаковка должна быть изменена соответствующим образом.Правильным долгосрочным решением, вероятно, должно быть *только* открытие /dev/tpm0 с правами root,
сразу перейти к tss:tss и только потом выполнять дальнейшую инициализацию
шаги. Последовательность инициализации в `tcsd_startup()` в настоящее время выполняется
полностью в контексте пользователя root и кажется довольно сложным. Может быть, есть
более подробно об этом, что я еще не знаю. По этой причине я не пробовал
патч в этом направлении еще.

Восходящая отчетность
==================

Я сообщил о проблемах а), б) и г) в частном порядке задокументированным вышестоящим контактам
без особого успеха (см. Хронологию ниже).Команда безопасности SUSE 90 дней
достигнуто максимальное время раскрытия, поэтому я публикую это сейчас в
несогласованный путь. Во время работы над исправлением я дополнительно обнаружил проблему
в). В настоящее время SUSE отслеживает проблемы в bsc#1164472 [6].

На мой взгляд, вопросы a), b) и c) заслуживают присвоения CVE. я не могу запросить
Однако я сам CVE, потому что IBM upstream сама является CNA. Поэтому
upstream требуется для назначения собственных CVE.

График
========

19 февраля 2020 г.: Я сообщил о результатах а), б) и г) в [email protected],
            контакт безопасности проекта согласно файлу README [2].
28 февраля 2020 г.: Я сообщил о результатах а), б) и г) по адресу [email protected],
            сопровождающий проекта согласно файлу AUTHORS [3].
16.03.2020: Я получил ответ от [email protected], в котором говорилось, что она
            рассмотрит выводы.
06.05.2020: Я напомнил [email protected], что последнее время раскрытия
            [4] для выводов приближается и попросил каких-либо обновлений.20.05.2020: Я начал работать над исправлением ошибок и их устранением, обнаружил
            дополнительный вывод c) и начал публиковать выводы.

[1]: https://sourceforge.net/projects/trousers
[2]: https://sourceforge.net/p/trousers/trousers/ci/master/tree/README
[3]: https://sourceforge.net/p/trousers/trousers/ci/master/tree/AUTHORS.
[4]: https://en.opensuse.org/openSUSE:Security_disclosure_policy
[5]: https://sourceforge.net/p/trousers/trousers/ci/master/tree/dist/trousers.spec.in
[6]: https://bugzilla.suse.com/show_bug.cgi?id=1164472

Наилучшие пожелания

Матиас

--
Маттиас Герстнер 
Dipl.-Wirtsch.-Inf. (ФХ), инженер по безопасности
https://www.suse.com/security
Телефон: +49 911 740 53 290
Идентификатор ключа GPG: 0x14C405C971923553

SUSE Software Solutions Germany GmbH
HRB 36809, АГ Нюрнберг
Гешефтсфюрер: Феликс Имендорфер


  Просмотр вложения " tcsd_fixes.patch " типа " text/x-diff " (2204 байт) 

  Скачать вложение "  подпись.asc  "типа"  application/pgp-signature  "(834 байта) 
 

Работает на блистах – больше списков рассылки

Пожалуйста, ознакомьтесь с Wiki с открытым исходным кодом Software Security, который является аналогом этого список рассылки.

Запутались в списках рассылки и их использовании? Читайте о списках рассылки в Википедии. и проверить эти рекомендации по правильному форматированию сообщений.

Разработка Fedora — Re: Поддержка Fedora TPM1.2

Симо Сорс @ 2020-12-04 07:32 МСК:

> В пт, 2020-12-04 в 14:08 +0000, Питер Робинсон написал:
>> В пятницу, 4 декабря 2020 г., в 14:04 Simo Sorce  написал:
>>> В четверг, 2020-12-03 в 21:25 +0000, Питер Робинсон написал:
>>> > > Мы планируем прекратить поддержку TPM1.2 в RHEL9. Чем поднял
>>> > > вопрос касаемо opencryptoki-tpmtok нужно ли его менять в
>>> > > Fedora тоже, так что я подумал посмотреть, что все думают о будущем
>>> > > Поддержка TPM1.2 в Fedora. Я знаю в какой-то момент в прошлом году или около того
>>> > > Брюки чуть не выпали из Fedora из-за того, что долгое время были осиротевшими
>>> > > Пока. Из того, что я смог найти, следующие пакеты имеют зависимости:
>>> > >
>>> > > ecryptfs-utils --disable-tspi
>>> > > openconnect — похоже, он будет поддерживать поддержку только в том случае,
>>> > > там, а также использует tpm2-tss.>>> > > strongswan --enable-tss-tss2 вместо --enable-tss-trousers?
>>> > > tboot - зависимость штанов была как раз в инструменте политики, который сейчас
>>> > > устарел в восходящем направлении.
>>> > > opencryptoki-tpmtok --disable-tpmtok
>>> > >
>>> > > Инструменты tpm-quote-tools, tpm-tools и брюки относятся к tpm1.2.
>>> > > пакеты.
>>> > >
>>> > > Другое дело, что в ядре на данный момент нет возможности собрать
>>> > > только с tpm1.2 или tpm2.0, поэтому ядро ​​поддерживает tpm1.2.
>>> > > Еще бы там.
>>> > >
>>> > > Я не думаю, что Fedora нужно отказываться от поддержки tpm1.2, если люди этого хотят.
>>> > > Продолжайте поддерживать его, но хотел поставить вопрос там и посмотреть
>>> > > Как все считали.
>>> >
>>> > Я думаю, что это должно быть брошено, tpm2 поставляется в железе на 5+
>>> лет и tpm1 имеет проблемы с безопасностью, поэтому я думаю, что сейчас самое время сбросить
>>> это.Пожалуйста, сделайте предложение об изменении Fedora, чтобы убедиться, что оно передано
>>>> Правильно.
>>>
>>> Не повредит ли это людям, чьи ключи застряли в устройстве TPM 1.2?
>>
>> Не повредит ли это пользователям RHEL аналогичным образом?
>
> Можно, но это RHEL, а это Fedora, нет?
>
>> Какова вероятность
>> Эти пользователи так или иначе активно обновляются?
>
> Обновления в RHEL гораздо важнее и обычно лучше исследуются
> (тоже редко, обычно там переустанавливают).>
> В дистрибутиве Fedora обновление без слишком пристального внимания к примечаниям к выпуску
> общий.
>
> Конечно, количество людей, использующих TPM 1.2 в Fedora, вероятно,
> очень маленький, поэтому это изменение может быть приемлемым, но я просто хотел поднять
> проблема.
>
> Есть ли способ после обновления вообще использовать TPM 1.2 (даже если он
> требует установки пакетов copr/других репозиториев)? Или людям нужно
> откатить свою систему, чтобы вообще получить доступ к этим секретам?
>
> Симо.

Да, поддержка ядра в драйвере осталась бы.В настоящее время
код драйвера не может быть скомпилирован только для tpm1.2 или tpm2.0. Так что
было бы вопросом, как заставить инструменты пользовательского пространства разговаривать с ним.
_______________________________________________
Список рассылки devel -- [email protected]
Чтобы отказаться от подписки, отправьте электронное письмо по адресу [email protected]
Кодекс поведения Fedora: https://docs.fedoraproject.org/en-US/project/code-of-conduct/
Рекомендации по спискам: https://fedoraproject.org/wiki/Mailing_list_guidelines
Архивы списков: https://lists.fedoraproject.org/архивы/список/[email protected]



 

Интеграция аппаратной безопасности — AWS IoT Greengrass

Эта функция доступна для версии 2.5.3 и более поздних версий Компонент ядра зелени. В настоящее время AWS IoT Greengrass не поддерживает эту функцию на основных устройствах Windows.

Программное обеспечение AWS IoT Greengrass Core можно настроить для использования аппаратного модуля безопасности (HSM) через Интерфейс PKCS#11. Эта особенность позволяет безопасно хранить закрытый ключ и сертификат устройства, чтобы они не открытые или дублированные в программном обеспечении.Вы можете хранить закрытый ключ и сертификат на аппаратном модуль, такой как HSM или доверенный платформенный модуль (TPM).

Программное обеспечение AWS IoT Greengrass Core использует закрытый ключ и сертификат X.509 для аутентификации подключений к сервисы AWS IoT и AWS IoT Greengrass. Секретный менеджер компонент использует этот закрытый ключ для безопасного шифрования и расшифровки секретов, которые вы развертывание на основном устройстве Greengrass. Когда вы настраиваете базовое устройство для использования HSM, эти компоненты используйте закрытый ключ и сертификат, хранящиеся в HSM.

Компонент брокера Moquette MQTT также хранит закрытый ключ для сертификата своего локального сервера MQTT. Этот компонент хранит закрытый ключ в файловой системе устройства в рабочей папке компонента. В настоящее время AWS IoT Greengrass не поддерживает поддерживать хранение этого закрытого ключа или сертификата в HSM.

Требования

Для использования HSM на основном устройстве Greengrass необходимо выполнить следующие требования:

  • Ядро Гринграсса v2.5.3 или более поздней версии, установленной на основном устройстве. Вы можете выбрать совместимую версию при установке программного обеспечения AWS IoT Greengrass Core на основное устройство.

  • Компонент поставщика PKCS#11 установлен на основном устройстве. Вы можете скачать и установить этот компонент при установке программное обеспечение AWS IoT Greengrass Core на основном устройстве.

  • Аппаратный модуль безопасности, поддерживающий ключи RSA с размером ключа RSA-2048 (или больше) и PKCS#1 v1.5 схема подписи.

    В настоящее время AWS IoT Greengrass не поддерживает ключи ECC. Для получения информации о ключах, которые поддерживается, см. документацию для вашего модуля HSM.

  • Библиотека поставщика PKCS#11, которую программное обеспечение AWS IoT Greengrass Core может загружать во время выполнения (с помощью libdl) для вызывать функции PKCS#11. Библиотека поставщика PKCS#11 должна реализовывать следующий PKCS#11. API операций:

    • C_Инициализация

    • C_Finalize

    • C_GetSlotList

    • C_GetSlotInfo

    • C_GetTokenInfo

    • C_OpenSession

    • C_GetSessionInfo

    • C_CloseSession

    • C_Логин

    • C_Logout

    • C_GetAttributeValue

    • C_FindObjectsInit

    • C_FindObjects

    • C_FindObjectsFinal

    • C_DecryptInit

    • C_Decrypt

    • C_DecryptUpdate

    • C_DecryptFinal

    • C_SignInit

    • C_Sign

    • C_SignUpdate

    • C_SignFinal

    • C_GetMechanismList

    • C_GetMechanismInfo

    • C_GetInfo

    • C_GetFunctionList

  • Аппаратный модуль должен разрешаться по метке слота, как определено в PKCS#11. Технические характеристики.

  • Вы должны хранить закрытый ключ и сертификат в HSM в одном и том же слоте, и они должны использовать одну и ту же метку объекта и идентификатор объекта, если модуль HSM поддерживает идентификаторы объектов.

  • Сертификат и закрытый ключ должны разрешать метки объектов.

  • Закрытый ключ должен иметь следующие разрешения:

  • (Необязательно) Для использования менеджера секретов компонент, вы должны использовать версию 2.1.0 или более поздней версии, а закрытый ключ должен иметь следующие разрешения:

Передовые методы обеспечения безопасности оборудования

При настройке аппаратной безопасности на ядре Greengrass учитывайте следующие рекомендации. устройства.

  • Генерируйте закрытые ключи непосредственно в HSM с помощью внутреннего аппаратного случайного числа. генератор. Этот подход более безопасен, чем импорт закрытого ключа, который вы создаете. в другом месте, потому что закрытый ключ остается в HSM.

  • Настройте неизменяемость закрытых ключей и запретите экспорт.

  • Используйте инструмент подготовки, рекомендованный поставщиком аппаратного обеспечения HSM, для создания запрос на подпись сертификата (CSR) с использованием закрытого ключа с аппаратной защитой, а затем используйте консоль AWS IoT или API для создания сертификата клиента.

Рекомендации по обеспечению безопасности для ротации ключей не применяются при создании закрытых ключей на ХСМ.

Установите программное обеспечение AWS IoT Greengrass Core с оборудованием безопасность

При установке программного обеспечения AWS IoT Greengrass Core можно настроить его на использование закрытого ключа, генерировать в HSM. Этот подход следует рекомендациям по обеспечению безопасности для создания закрытого ключа в HSM, поэтому закрытый ключ остается в HSM.

Чтобы установить программное обеспечение AWS IoT Greengrass Core с аппаратной защитой, выполните следующие действия:

  1. Сгенерируйте закрытый ключ в HSM.

  2. Создайте запрос на подпись сертификата (CSR) из закрытого ключа.

  3. Создайте сертификат из CSR. Вы можете создать сертификат, подписанный AWS IoT или другой корневой центр сертификации (ЦС). Для получения дополнительной информации о том, как использовать другой корневой ЦС, см. Создание собственного клиента сертификаты в AWS IoT Core Developer Guide .

  4. Загрузите сертификат AWS IoT и импортируйте его в HSM.

  5. Установите программное обеспечение AWS IoT Greengrass Core из файла конфигурации, в котором указано использование PKCS#11. компонент поставщика, а также закрытый ключ и сертификат в HSM.

Вы можете выбрать один из следующих вариантов установки для установки программного обеспечения AWS IoT Greengrass Core. с аппаратной защитой:

В настоящее время AWS IoT Greengrass не поддерживает установку программного обеспечения AWS IoT Greengrass Core с аппаратной защитой при вы устанавливаете с автоматической подготовкой ресурсов или Предоставление парка AWS IoT.

Настройка аппаратной безопасности на существующем ядре устройство

Вы можете импортировать закрытый ключ и сертификат основного устройства в HSM для настройки оборудования. безопасность.

  • У вас должен быть root-доступ к файловой системе основного устройства.

  • В этой процедуре вы отключаете программное обеспечение AWS IoT Greengrass Core, поэтому основное устройство находится в автономном режиме. и недоступен, пока вы настраиваете аппаратную безопасность.

Чтобы настроить аппаратную безопасность на существующем основном устройстве, выполните следующие действия:

  1. Инициализировать HSM.

  2. Разверните компонент поставщика PKCS#11 к основному устройству.

  3. Остановить программное обеспечение AWS IoT Greengrass Core.

  4. Импортируйте закрытый ключ и сертификат основного устройства в HSM.

  5. Обновите файл конфигурации программного обеспечения AWS IoT Greengrass Core, чтобы использовать закрытый ключ и сертификат. в ХСМ.

  6. Запустите программное обеспечение AWS IoT Greengrass Core.

Шаг 1. Инициализируйте оборудование модуль безопасности

Выполните следующий шаг, чтобы инициализировать HSM на основном устройстве.

Для инициализации аппаратного модуля безопасности

  • Инициализируйте токен PKCS#11 в HSM и сохраните идентификатор слота и PIN-код пользователя для токен.Ознакомьтесь с документацией по вашему HSM, чтобы узнать, как инициализировать токен. Ты используйте идентификатор слота и PIN-код пользователя позже при развертывании и настройке поставщика PKCS#11. составная часть.

Шаг 2. Разверните PKCS#11 компонент поставщика

Выполните следующие шаги, чтобы развернуть и настроить компонент поставщика PKCS#11. Вы можете развернуть компонента к одному или нескольким основным устройствам.

  1. В меню навигации консоли AWS IoT Greengrass выберите Компоненты .

  2. На странице Components выберите Public вкладку компоненты , а затем выберите aws.greengrass.crypto.Pkcs11Provider .

  3. На aws.greengrass.crypto.Pkcs11Provider на странице выберите Развернуть .

  4. Из Добавить в развертывание , выберите существующее развертывание для пересмотреть или создать новое развертывание, а затем выбрать Следующий .

  5. Если вы решили создать новое развертывание, выберите целевое основное устройство или объект группа для развертывания. На странице Укажите цель в разделе Цель развертывания , выберите основное устройство или группу вещей и затем выберите Далее .

  6. На странице Выберите компоненты в разделе Общедоступный компоненты , выберите авс.greengrass.crypto.Pkcs11Provider , а затем выберите Далее .

  7. На странице Настройка компонентов выберите aws.greengrass.crypto.Pkcs11Provider , а затем сделать следующее:

    1. Выберите Настроить компонент .

    2. В конфигурации ох.greengrass.crypto.Pkcs11Provider модальный, под Обновление конфигурации , в Конфигурация для merge введите следующее обновление конфигурации. Обновите следующие параметры конфигурации со значениями для целевых основных устройств. Укажите идентификатор слота и PIN-код пользователя, в котором вы инициализировали токен PKCS#11. ранее. Вы импортируете закрытый ключ и сертификат в этот слот в HSM. потом.

      имя

      Имя конфигурации PKCS#11.

      библиотека

      Абсолютный путь файла к библиотеке реализации PKCS#11, которую AWS IoT Greengrass Core программное обеспечение может загружаться с помощью libdl.

      гнездо

      Идентификатор слота, содержащего закрытый ключ и сертификат устройства.Это значение отличается от индекса слота или метки слота.

      ПИН пользователя

      PIN-код пользователя для доступа к слоту.

        {
        "имя": "softhsm_pkcs11",
        "библиотека": "/usr/lib/softhsm/libsofthsm2.so",
        "слот": 1,
        "Пин-код пользователя": "1234"
      }  
    3. Выберите Подтвердите , чтобы закрыть модальное окно, а затем выберите Следующий .

  8. На странице Настройка дополнительных параметров оставьте значение по умолчанию. параметры конфигурации и выберите Далее .

  9. На странице Обзор выберите Развернуть

Чтобы развернуть компонент поставщика PKCS#11, создайте документ развертывания, который включает aws.greengrass.crypto.Pkcs11Provider в объекте компонентов , и укажите обновление конфигурации для компонента.Следуйте инструкциям в разделе Создание развертываний, чтобы создать новый развертывание или изменение существующего развертывания.

В следующем примере документа о частичном развертывании указано, что нужно развернуть и настроить компонент поставщика PKCS#11. Обновите следующие параметры конфигурации с помощью значения для целевых основных устройств. Сохраните идентификатор слота и PIN-код пользователя, чтобы использовать их позже, когда вы импортировать закрытый ключ и сертификат в HSM.

имя

Имя конфигурации PKCS#11.

библиотека

Абсолютный путь файла к библиотеке реализации PKCS#11, которую AWS IoT Greengrass Core программное обеспечение может загружаться с помощью libdl.

гнездо

Идентификатор слота, содержащего закрытый ключ и сертификат устройства. Это значение отличается от индекса слота или метки слота.

ПИН пользователя

PIN-код пользователя для доступа к слоту.

  {
  "имя": "softhsm_pkcs11",
  "библиотека": "/usr/lib/softhsm/libsofthsm2.so",
  "слот": 1,
  "Пин-код пользователя": "1234"
}  
  {
   ...,
  "компоненты": {
     ...,
    "aws.greengrass.crypto.Pkcs11Provider": {
      "Версия компонента": "2.0.0",
      "обновление конфигурации": {
        "merge": "{\"имя\":\"softhsm_pkcs11\",\"библиотека\":\"/usr/lib/softhsm/libsofthsm2.so\",\"слот\":1,\"userPin \":\"1234\"}"
      }
    }
  }
}  

Выполнение развертывания может занять несколько минут.Вы можете использовать сервис AWS IoT Greengrass для проверить статус развертывания. Вы можете проверить журналы программного обеспечения AWS IoT Greengrass Core, чтобы убедиться, что Компонент поставщика PKCS#11 развернут успешно. Для получения дополнительной информации см. следующее:

В случае сбоя развертывания можно устранить неполадки развертывания на каждом основном устройстве. За дополнительную информацию см. в разделе Устранение неполадок AWS IoT Greengrass V2.

Шаг 3. Обновите конфигурация на основном устройстве

Программное обеспечение AWS IoT Greengrass Core использует файл конфигурации, который определяет, как работает устройство.В этом файле конфигурации указано, где найти закрытый ключ и сертификат, устройство использует для подключения к облаку AWS. Выполните следующие шаги, чтобы импортировать ядро закрытый ключ и сертификат устройства в HSM и обновите файл конфигурации для использования ХСМ.

Чтобы обновить конфигурацию основного устройства для использования аппаратной защиты

  1. Остановить программное обеспечение AWS IoT Greengrass Core.Если вы настроили ПО AWS IoT Greengrass Core в качестве системной службы с помощью systemd можно запустить следующие команда для остановки программного обеспечения.

      sudo systemctl остановить greengrass.service  
  2. Найдите файлы закрытого ключа и сертификата основного устройства.

    • Если вы установили программное обеспечение AWS IoT Greengrass Core с автоматической подготовкой или парком инициализация, закрытый ключ существует по адресу /гринграсс/v2 /privKey.ключ , а сертификат существует по адресу /greengrass/v2 /thingCert.crt .

    • Если вы установили программное обеспечение AWS IoT Greengrass Core с ручной инициализацией, закрытый ключ существует по адресу /greengrass/v2 /private.pem.key по умолчанию и сертификат существует по адресу /greengrass/v2 /device.pem.crt по умолчанию.

    Вы также можете проверить систему .privateKeyPath и свойства system.certificateFilePath в /greengrass/v2 /config/efficientConfig.yaml , чтобы найти расположение эти файлы.

  3. Импортируйте закрытый ключ и сертификат в HSM. Проверьте документацию на ваш HSM, чтобы узнать, как импортировать в него закрытые ключи и сертификаты. Импортировать закрытый ключ и сертификат с использованием идентификатора слота и PIN-кода пользователя, в котором вы инициализировали Токен PKCS#11 ранее.Вы должны использовать ту же метку объекта и идентификатор объекта для частного ключ и сертификат. Сохраните метку объекта, указанную при импорте каждого файл. Вы будете использовать эту метку позже при обновлении конфигурации программного обеспечения AWS IoT Greengrass Core для использования закрытый ключ и сертификат в HSM.

  4. Обновите конфигурацию AWS IoT Greengrass Core, чтобы использовать закрытый ключ и сертификат в HSM. К обновить конфигурацию, вы изменяете файл конфигурации AWS IoT Greengrass Core и запускаете AWS IoT Greengrass Core программное обеспечение с обновленным файлом конфигурации, чтобы применить новую конфигурацию.

    Сделайте следующее:

    1. Создайте резервную копию файла конфигурации AWS IoT Greengrass Core. Вы можете использовать эту резервную копию для восстановить основное устройство, если у вас возникнут проблемы при настройке оборудования безопасность.

        sudo cp  /greengrass/v2  /config/efficientConfig.yaml ~/ggc-config-backup.yaml  
    2. Откройте файл конфигурации AWS IoT Greengrass Core в текстовом редакторе.Например, вы можете запустить следующую команду, чтобы использовать GNU nano для редактирования файла. Замените /greengrass/v2 на путь в корневую папку Greengrass.

        sudo nano  /greengrass/v2  /config/efficientConfig.yaml  
    3. Замените значение system.privateKeyPath на URI PKCS#11. для закрытого ключа в HSM. Заменить iotdevicekey с меткой объекта, куда вы ранее импортировали закрытый ключ и сертификат.

        pkcs11:object=  iotdevicekey  ;type=private  
    4. Замените значение system.certificateFilePath на URI PKCS#11. для сертификата в HSM. Заменить iotdevicekey с меткой объекта, куда вы ранее импортировали закрытый ключ и сертификат.

        pkcs11: объект =  iotdevicekey  ; тип = сертификат  

    После выполнения этих шагов свойство system в AWS IoT Greengrass Core файл конфигурации должен выглядеть примерно так, как показано в следующем примере.

      система:
      CertificateFilePath: «pkcs11: объект =  iotdevicekey ; тип = сертификат»
      privateKeyPath: "pkcs11:object=  iotdevicekey ; type=private"
      rootCaPath: " /greengrass/v2  /rootCA.pem"
      корневой путь: "/зеленая трава/v2 "
      вещьИмя: " MyGreengrassCore "  
  5. Применить конфигурацию в обновленном файле EffectiveConfig.yaml файл. Бегите Гринграсс.jar с параметром --init-config параметр для применения конфигурации в EffectiveConfig.yaml . Замените /greengrass/v2 на путь к корневой папке Greengrass.

      sudo java -Droot="  /greengrass/v2  " \
      -jar  /greengrass/v2  /alts/current/distro/lib/Greengrass.jar \
      --начать ложь \
      --init-config  /greengrass/v2  /config/efficientConfig.yaml  
  6. Запустите программное обеспечение AWS IoT Greengrass Core.Если вы настроили ПО AWS IoT Greengrass Core в качестве системной службы с помощью systemd можно запустить следующие команда для запуска программы.

      sudo systemctl start greengrass.service  

    Дополнительные сведения см. в статье Запуск программного обеспечения AWS IoT Greengrass Core.

  7. Проверьте журналы программного обеспечения AWS IoT Greengrass Core, чтобы убедиться, что программное обеспечение запускается и подключается к Облако АВС.Программное обеспечение AWS IoT Greengrass Core использует закрытый ключ и сертификат для подключения к Сервисы AWS IoT и AWS IoT Greengrass.

      sudo tail -f  /greengrass/v2  /logs/greengrass.log  

    Следующие сообщения журнала уровня INFO указывают на то, что AWS IoT Greengrass Core программное обеспечение успешно подключается к сервисам AWS IoT и AWS IoT Greengrass.

      2021-12-06T22:47:53.702Z [INFO] (Thread-3) ком.aws.greengrass.mqttclient.AwsIotMqttClient: успешное подключение к AWS IoT Core. {clientId=MyGreengrassCore5, sessionPresent=false}  
  8. (необязательно) После проверки того, что программное обеспечение AWS IoT Greengrass Core работает с закрытым ключом и сертификат в HSM, удалите файлы закрытого ключа и сертификата из папки устройства. файловая система. Выполните следующую команду и замените пути к файлам путями к закрытый ключ и файлы сертификатов.

      sudo rm   /greengrass/v2  /privKey.key 
    sudo rm   /greengrass/v2  /thingCert.crt   

Использовать оборудование без поддержки PKCS#11

Библиотека PKCS#11 обычно предоставляется поставщиком оборудования или имеет открытый исходный код. За например, с аппаратным обеспечением, соответствующим стандартам (таким как TPM1.2), можно было бы использовать существующее программное обеспечение с открытым исходным кодом. Однако, если на вашем оборудовании нет соответствующего PKCS#11 реализации библиотеки, или если вы хотите написать собственный поставщик PKCS#11, обратитесь к Представитель службы поддержки Amazon Web Services Enterprise с вопросами, связанными с интеграцией.

См. также

брюки-тек

  • Резьба
  • Дата
  • Более ранние сообщения

Сообщения по темам

  • [TrouSerS-tech] Запрос информации: штаны на будущие дистрибутивы Дебора Веларде Бабб
    • Re: [TrouSerS-tech] Запрос информации: штаны на будущие дистрибутивы Тимо Линдфорс
    • Re: [TrouSerS-tech] Запрос информации: штаны на будущие дистрибутивы Кен Голдман
    • Re: [TrouSerS-tech] [TrouSerS-users] Запрос информации: штаны на будущие дистрибутивы Дэвид Челленер
  • [TrouSerS-tech] [Patch 0/1] tcsd: проверьте возвращаемые значения вызовов setgid и setuid. Джерри Сницелаар
    • [TrouSerS-tech] [PATCH 1/1] tcsd: проверьте возвращаемые значения вызовов setgid и setuid.Джерри Сницелаар
    • Re: [TrouSerS-tech] [Patch 0/1] tcsd: Проверить возвращаемые значения вызовов setgid и setuid Дебора Веларде Бабб
  • [TrouSerS-tech] [GIT] Создана основная ветка Trousers. БРЮКИ_0_3_15 Дебора через TrouSerS-tech
  • Выпущены [TrouSerS-tech] брюки-0.3.15 и tpm-tools-1.3.9.2 Дебора Веларде Бабб
  • [TrouSerS-tech] [PATCH] dist: установить tcsd.conf как root: tss 0640 Джордж МакКоллистер
    • Re: [TrouSerS-tech] [PATCH] dist: установить tcsd.conf от имени пользователя root: tss 0640 Дебора Веларде Бабб
  • [TrouSerS-tech] Запрашивайте патчи перед окончательным выпуском Дебора Веларде Бабб
  • [TrouSerS-tech] [PATCH брюки] man3/Tspi_Data_Seal: исправить опечатку mann[ae]r наб
  • Брюки [TrouSerS-tech] [PATCH]: удаление вмятин Джерри Сницелаар
  • [TrouSerS-tech] Многочисленные проблемы безопасности в демоне TrouSerS tpm1.2 tscd Матиас Герстнер
    • Re: [TrouSerS-tech] Многочисленные проблемы безопасности в файле TrouSerS tpm1.2 tscd Демон Дебора Веларде Бабб
    • Re: [TrouSerS-tech] Многочисленные проблемы безопасности в демоне TrouSerS tpm1.2 tscd Маттиас Герстнер
    • Re: [TrouSerS-tech] Многочисленные проблемы безопасности в демоне TrouSerS tpm1.2 tscd Дебора Веларде Бабб
    • Re: [TrouSerS-tech] Многочисленные проблемы безопасности в демоне TrouSerS tpm1.2 tscd Маттиас Герстнер
    • Re: [TrouSerS-tech] Многочисленные проблемы безопасности в демоне TrouSerS tpm1.2 tscd Дебора Веларде Бабб
    • Re: [TrouSerS-tech] [oss-security] Многочисленные проблемы безопасности в файле TrouSerS tpm1.2 tscd Демон Марко Бенатто
    • Re: [TrouSerS-tech] [oss-security] Многочисленные проблемы безопасности в демоне TrouSerS tpm1.2 tscd Дебора Веларде Бабб
    • Re: [TrouSerS-tech] [oss-security] Многочисленные проблемы безопасности в демоне TrouSerS tpm1.2 tscd Марко Бенатто
    • Re: [TrouSerS-tech] [oss-security] Многочисленные проблемы безопасности в демоне TrouSerS tpm1.2 tscd Джерри Сницелаар
    • Re: [TrouSerS-tech] [oss-security] Многочисленные проблемы безопасности в файле TrouSerS tpm1.2 tscd Демон Йонас Витшел
    • Re: [TrouSerS-tech] [ВНЕШНИЙ] Re: [oss-security] Многочисленные проблемы безопасности в демоне TrouSerS tpm1.2 tscd Джеймс Боттомли
    • Re: [TrouSerS-tech] Многочисленные проблемы безопасности в демоне TrouSerS tpm1.2 tscd Дебора Веларде Бабб
    • Re: [TrouSerS-tech] Многочисленные проблемы безопасности в демоне TrouSerS tpm1.2 tscd Дебора Веларде Бабб
  • [TrouSerS-tech] [PATCH] брюки: исправление ошибки сборки Джерри Сницелаар
    • Re: Брюки [TrouSerS-tech] [PATCH]: устранить сбой сборки Дебора Веларде Бабб
  • [TrouSerS-tech] [PATCH] tpm-tools: определите BOOL, если он не определен в tpm_unseal.час Джерри Сницелаар
  • [TrouSerS-tech] Сетевые пространства имен TCSD/TSPI Джон Брауш
  • [TrouSerS-tech] Ошибка, связанная с запуском tcsd Рики Тигг
    • Re: [TrouSerS-tech] Ошибка, связанная с запуском tcsd Тимо Линдфорс
  • [TrouSerS-tech] [PATCH] Поддержка использования PCR 15-23 для запечатывания данных Тимо Юхани Линдфорс
  • [TrouSerS-tech] [PATCH] Поддержка использования PCR 15-24 для запечатывания данных Тимо Юхани Линдфорс
    • Re: [TrouSerS-tech] [PATCH] Поддержка использования PCR 15-24 для запечатывания данных Кен Голдман
    • Re: [TrouSerS-tech] [PATCH] Поддержка использования PCR 15-24 для запечатывания данных Тимо Линдфорс
    • Re: [TrouSerS-tech] [PATCH] Поддержка использования PCR 15-24 для запечатывания данных Тимо Линдфорс
    • Re: [TrouSerS-tech] [PATCH] Поддержка использования PCR 15-24 для запечатывания данных Дебора Веларде Бабб
    • Re: [TrouSerS-tech] [PATCH] Поддержка использования PCR 15-24 для запечатывания данных Тимо Линдфорс
    • Re: [TrouSerS-tech] [PATCH] Поддержка использования PCR 15-24 для запечатывания данных Тимо Линдфорс
    • Re: [TrouSerS-tech] [PATCH] Поддержка использования PCR 15-24 для запечатывания данных Тимо Линдфорс
    • Re: [TrouSerS-tech] [PATCH] Поддержка использования PCR 15-24 для запечатывания данных Дебора Веларде Бабб
    • Re: [TrouSerS-tech] [PATCH] Поддержка использования PCR 15-24 для запечатывания данных Дебора Веларде Бабб
    • Re: [TrouSerS-tech] [PATCH] Поддержка использования PCR 15-24 для запечатывания данных Тимо Линдфорс
    • Re: [TrouSerS-tech] [PATCH] Поддержка использования PCR 15-24 для запечатывания данных Дебора Веларде Бабб
  • [TrouSerS-tech] [RFC PATCH] tpm-tools: не используйте __no_optimize Джерри Сницелаар
  • [TrouSerS-tech] [RFC PATCH] брюки: не используйте __no_optimize Джерри Сницелаар
    • Re: Брюки [TrouSerS-tech] [RFC PATCH]: не используйте __no_optimize Дебора Веларде Бабб
  • [TrouSerS-tech] annocheck предупреждения для tpm-инструментов и брюк Джерри Сницелаар
  • [TrouSerS-tech] [PATCH] tpm-tools: исправить устаревшую сигнатуру функции на справочной странице tpmUnsealFile Джерри Сницелаар
  • [TrouSerS-tech] [PATCH 0/1] tpm-tools: очистка справочной страницы Джерри Сницелаар
    • [TrouSerS-tech] [PATCH 1/1] tpm-tools: очистка справочной страницы Джерри Сницелаар
  • [TrouSerS-tech] [PATCH 0/2] брюки: очистите использование после бесплатных предупреждений от сканирования укрытия Джерри Сницелаар
    • [TrouSerS-tech] [PATCH 1/2] брюки: очистите использование после освобождения в Transport_TerminateHandle Джерри Сницелаар
    • [TrouSerS-tech] [PATCH 2/2] брюки: исправление возможного использования после бесплатного использования в ima_get_entry Джерри Сницелаар
  • [TrouSerS-tech] tcsd отстой с бесконечным циклом и 100% загрузкой процессора Виджай Джадхав
  • [TrouSerS-tech] tpm-tools: поврежден вывод команды tpm_version. Матиас Герстнер
    • Re: [TrouSerS-tech] tpm-tools: поврежден вывод команды tpm_version Дебора Веларде
  • [TrouSerS-tech] вопрос о __memset и __tspi_memset Джерри Сницелаар
  • [TrouSerS-tech] [PATCH] Предотвращение сбоев аутентификации, которых можно избежать, из-за которых TPM отказывается выполнять команды. Стефан Бергер
  • [TrouSerS-tech] относительно хранения данных в NV-памяти tpm без использования методов авторизации или хранения ключей.Аббараджу Манойсай
    • Re: [TrouSerS-tech] относительно хранения данных в NV-памяти tpm без использования методов авторизации или хранения ключей. Дебора Веларде
  • [TrouSerS-tech] E: подпроцесс /usr/bin/dpkg возвратил код ошибки (1) Шрути АГГАРВАЛ
  • Сборка [TrouSerS-tech] [PATCH]: не переопределять –localstatedir –mandir –sysconfdir Андре Драшик
  • Re: [TrouSerS-tech] [TrouSerS-users] Поддержка API Trousers на оборудовании TPM 2.0 Дебора Веларде
  • [TrouSerS-tech] Fwd: поддержка API брюк на TPM 2.0 оборудование Промила Янгра
  • [TrouSerS-tech] 【пожалуйста】【брюки】TCSD TCS ERROR: TCS GetCapability не удалось с результатом = 0x9a 阿建
    • Re: [TrouSerS-tech] 【пожалуйста】【брюки】TCSD TCS ERROR: TCS GetCapability не удалось с результатом = 0x9a Джерри Сницелаар
    • Re: [TrouSerS-tech] [пожалуйста][брюки]TCSD TCS ERROR: TCS GetCapability не удалось с результатом = 0x9a 阿建
    • Re: [TrouSerS-tech] [пожалуйста][брюки]TCSD TCS ERROR: TCS GetCapability не удалось с результатом = 0x9a Джерри Сницелаар
    • Re: [TrouSerS-tech] [пожалуйста][брюки]TCSD TCS ERROR: TCS GetCapability не удалось с результатом = 0x9a 阿建
  • [TrouSerS-tech] Спонсор Debian для пакета TSS2 Хон Чинг (Вики) Ло
  • [TrouSerS-tech] [tpm-tools PATCH] Проверка выделения контекста шифрования и освобождение после использования Джерри Сницелаар
  • [TrouSerS-tech] [ИСПРАВЛЕНИЕ] obj_context: разблокировать мьютекс в ошибочном пути Джерри Сницелаар
  • [TrouSerS-tech] [tpm-tools PATCH 0/3] исправления для OpenSSL 1.1 Михал Шмидт
    • [TrouSerS-tech] [tpm-tools PATCH 3/3] Выделение контекстов шифрования OpenSSL для запечатывания/распечатывания Михал Шмидт
    • [TrouSerS-tech] [tpm-tools PATCH 1/3] Исправлена ​​сборка с OpenSSL 1.1 из-за того, что EVP_PKEY был непрозрачной структурой. Михал Шмидт
    • [TrouSerS-tech] [tpm-tools PATCH 2/3] Исправить сборку с OpenSSL 1.1 из-за того, что RSA является непрозрачной структурой. Михал Шмидт
    • Re: [TrouSerS-tech] [tpm-tools PATCH 0/3] исправления для OpenSSL 1.1 Дебора
  • [TrouSerS-tech] [tpm-tools] Нет поддержки OpenSSL < 1.1,0 Уср сорок два
  • [TrouSerS-tech] Поддержка TPM v2.0 в брюках Насим, Кам
    • Re: [TrouSerS-tech] Поддержка TPM v2.0 в брюках Кен Голдман
  • [TrouSerS-tech] [PATCH 0/1] Поддержка движка TPM2 для openssl Джеймс Боттомли
    • [TrouSerS-tech] [PATCH 1/1] добавить версию TPM2 для модуля create_tpm2_key и libtpm2.so. Джеймс Боттомли
    • Re: [TrouSerS-tech] [tpmdd-devel] [PATCH 1/1] добавить версию TPM2 для create_tpm2_key и движка libtpm2.so Джейсон Ганторп
    • Re: [TrouSerS-tech] [tpmdd-devel] [PATCH 1/1] добавить версию TPM2 для create_tpm2_key и libtpm2.так двигатель Джеймс Боттомли
    • Re: [TrouSerS-tech] [tpmdd-devel] [PATCH 1/1] добавить версию TPM2 для create_tpm2_key и движка libtpm2.so Джейсон Ганторп
    • Re: [TrouSerS-tech] [tpmdd-devel] [PATCH 1/1] добавить версию TPM2 для create_tpm2_key и движка libtpm2.so Джеймс Боттомли
    • Re: [TrouSerS-tech] [tpmdd-devel] [PATCH 1/1] добавить версию TPM2 для create_tpm2_key и движка libtpm2.so Джейсон Ганторп
    • [TrouSerS-tech] добавляет версию TPM2 для create_tpm2_key и libtpm2.поэтому движок -> Алгоритмы хеширования Кеннет Голдман
    • Re: [TrouSerS-tech] [tpmdd-devel] добавить версию TPM2 для create_tpm2_key и движка libtpm2.so -> Алгоритмы хеширования Джейсон Ганторп
    • Re: [TrouSerS-tech] [Ibmtpm20tss-users] [tpmdd-devel] добавить версию TPM2 create_tpm2_key и движок libtpm2.so -> Алгоритмы хеширования Джеймс Боттомли
    • Re: [TrouSerS-tech] [Ibmtpm20tss-users] [tpmdd-devel] добавить версию TPM2 create_tpm2_key и движок libtpm2.so -> Алгоритмы хеширования Кеннет Голдман
    • Re: [TrouSerS-tech] [tpmdd-devel] добавить версию TPM2 для create_tpm2_key и libtpm2.поэтому движок -> Алгоритмы хеширования Кеннет Голдман
    • Re: [TrouSerS-tech] [tpmdd-devel] [PATCH 1/1] добавить версию TPM2 для create_tpm2_key и движка libtpm2.so Яркко Саккинен
    • Re: [TrouSerS-tech] [PATCH 1/1] добавить версию TPM2 для модуля create_tpm2_key и libtpm2.so Кен Голдман
    • Re: [TrouSerS-tech] [Ibmtpm20tss-users] [tpmdd-devel] [PATCH 1/1] добавить версию TPM2 для create_tpm2_key и движок libtpm2.so Кеннет Голдман
    • Re: [TrouSerS-tech] [tpmdd-devel] [PATCH 1/1] добавить версию TPM2 для create_tpm2_key и libtpm2.так двигатель Андрей Пронин
  • [TrouSerS-tech] Предложение по форме ASN.1 для ключей TPM1.2 и TPM2 Джеймс Боттомли
    • Re: [TrouSerS-tech] [openssl-dev] Предложение по форме ASN.1 для ключей TPM1.2 и TPM2 Ричард Левитт
    • Re: [TrouSerS-tech] [openssl-dev] Предложение по форме ASN.1 для ключей TPM1.2 и TPM2 Джеймс Боттомли
    • Re: [TrouSerS-tech] [gnutls-devel] Предложение по форме ASN.1 для ключей TPM1.2 и TPM2 Никос Маврогианнопулос
    • Re: [TrouSerS-tech] [gnutls-devel] Предложение по АСН.1 форма ключей TPM1.2 и TPM2 Джеймс Боттомли
    • Re: [TrouSerS-tech] [gnutls-devel] Предложение по форме ASN.1 для ключей TPM1.2 и TPM2 Никос Маврогианнопулос
    • Re: [TrouSerS-tech] [gnutls-devel] Предложение по форме ASN.1 для ключей TPM1.2 и TPM2 Джеймс Боттомли
    • Re: [TrouSerS-tech] [gnutls-devel] Предложение по форме ASN.1 для ключей TPM1.2 и TPM2 Кен Голдман
    • Re: [TrouSerS-tech] [gnutls-devel] Предложение по форме ASN.1 для ключей TPM1.2 и TPM2 Никос Маврогианнопулос
    • Re: [TrouSerS-tech] [gnutls-devel] Предложение по АСН.1 форма ключей TPM1.2 и TPM2 Джеймс Боттомли
    • Re: [TrouSerS-tech] [gnutls-devel] Предложение по форме ASN.1 для ключей TPM1.2 и TPM2 Никос Маврогианопулос
    • Re: [TrouSerS-tech] [gnutls-devel] Предложение по форме ASN.1 для ключей TPM1.2 и TPM2 Джеймс Боттомли
    • Re: [TrouSerS-tech] [gnutls-devel] Предложение по форме ASN.1 для ключей TPM1.2 и TPM2 Никос Маврогианопулос
    • Re: [TrouSerS-tech] [gnutls-devel] Предложение по форме ASN.1 TPM1.2 и ключи TPM2 Джеймс Боттомли
    • Re: [TrouSerS-tech] [openssl-dev] [gnutls-devel] Предложение по форме ASN.1 для ключей TPM1.2 и TPM2 Эрванн Абалиа
  • [TrouSerS-tech] [RFC 0/1] Поддержка ядра TPM2 для openssl Джеймс Боттомли
    • [TrouSerS-tech] [RFC 1/1] добавить версию TPM2 для модуля create_tpm2_key и libtpm2.so. Джеймс Боттомли
    • Re: [TrouSerS-tech] [RFC 0/1] Поддержка механизма TPM2 для openssl Джеймс Боттомли
  • [TrouSerS-tech] [PATCH] openssl tpm engine: добавлен новый метод openssl bio для плавной загрузки ключей tpm Джеймс Боттомли
    • [TrouSerS-tech] [PATCH] openssl tpm engine: добавлен новый метод openssl bio для плавной загрузки ключей tpm Джеймс Боттомли
  • [TrouSerS-tech] [PATCH 0/3] обновления удобства использования для openssl_tpm_engine Джеймс Боттомли
    • [TrouSerS-tech] [PATCH 1/3] сначала попробуйте известный авторитет для SRK Джеймс Боттомли
    • [TrouSerS-tech] [PATCH 2/3] Обрабатывать ключи EVP Джеймс Боттомли
    • [TrouSerS-tech] [PATCH 3/3] Добавлен параметр для случайной миграции. Джеймс Боттомли
  • [TrouSerS-tech] Кажется, штаны выгнали из Debian Томас Хабетс
    • Re: [TrouSerS-tech] Fwd: Штаны выкидывают из дебиана, похоже Хон Чинг (Вики) Ло
    • Re: [TrouSerS-tech] Fwd: Штаны выкидывают из дебиана, похоже Томас Хабетс
    • Re: [TrouSerS-tech] Fwd: Штаны выкидывают из дебиана, похоже Хон Чинг (Вики) Ло
    • Re: [TrouSerS-tech] Fwd: Штаны выкидывают из дебиана, похоже Хон Чинг (Вики) Ло
    • Re: [TrouSerS-tech] Fwd: Штаны выкидывают из дебиана, похоже Томас Хабетс
    • Re: [TrouSerS-tech] Fwd: Штаны выкидывают из дебиана, похоже Хон Чинг (Вики) Ло
    • Re: [TrouSerS-tech] Fwd: Штаны выкидывают из дебиана, похоже Кен Голдман
  • [TrouSerS-tech] Предложение веб-сайта 1.1.x Кен Голдман
  • [TrouSerS-tech] [Fwd: Re: Fwd: [PATCH 1/4] tsp_tcsi_param.c: включить для POSIX_MAX] Хон Чинг (Вики) Ло
  • [TrouSerS-tech] src/trspi/crypto/openssl/hash.c Кен Голдман
  • [TrouSerS-tech] [PATCH 3/4] Переименуйте configure.in в configure.ac Феликс Янда
  • [TrouSerS-tech] брюки с портом на AIX ФОР, МАКСИМИЛИЕН
    • [TrouSerS-tech] брюки с портом на AIX ФОР, МАКСИМИЛИЕН
  • [TrouSerS-tech] [PATCH 1/4] tsp_tcsi_param.c: включить для POSIX_MAX Феликс Янда
    • [TrouSerS-tech] Fwd: Fwd: [PATCH 1/4] tsp_tcsi_param.c: включить для POSIX_MAX Хон Чинг Ло
    • [TrouSerS-tech] [PATCH v2] tsp_tcsi_param.c: включить для POSIX_MAX Феликс Янда
  • [TrouSerS-tech] [ИСПРАВЛЕНИЕ] Исправить запутанный отступ в tpm_present.c, из-за которого не удается выполнить сборку с помощью GCC 6. Майк Героу
  • [TrouSerS-tech] Ошибка сборки с OpenSSL 1.0 Пьер Шиффлиер
  • [TrouSerS-tech] [PATCH 2/4] бутстраф.sh: сделать исполняемый файл Феликс Янда
  • [TrouSerS-tech] [PATCH 4/4] automake: включить подкаталоги Феликс Янда
  • [TrouSerS-tech] [PATCH] Makefile.am: при необходимости убедитесь, что libintl находится в LDFLAGS Сэмюэл Мартин
  • [TrouSerS-tech] [PATCH] tpm_nvread.c: необходимо включить для POSIX Энтони Г. Бэзил
  • [TrouSerS-tech] Поддержка TCG TSS Family 2.0 Бейли, Абдул М.
    • Re: [TrouSerS-tech] Поддержка TCG TSS Family 2.0 Хон Чинг Ло
  • [TrouSerS-tech] [PATCH] tpm, tpm_tis: исправление TPM 2.0 зондирование Яркко Саккинен
    • Re: [TrouSerS-tech] [PATCH] tpm, tpm_tis: исправление проверки TPM 2.0 Питер Хьюве
    • Re: [TrouSerS-tech] [PATCH] tpm, tpm_tis: исправление проверки TPM 2.0 Яркко Саккинен
    • Re: [TrouSerS-tech] [tpmdd-devel] [PATCH] tpm, tpm_tis: исправление проверки TPM 2.0 Питерхьюве
    • Re: [TrouSerS-tech] [PATCH] tpm, tpm_tis: исправление проверки TPM 2.0 Стефан Бергер
    • Re: [TrouSerS-tech] [PATCH] tpm, tpm_tis: исправление проверки TPM 2.0 Яркко Саккинен
    • Re: [TrouSerS-tech] [PATCH] tpm, tpm_tis: исправление TPM 2.0 зондирование Стефан Бергер
    • Re: [TrouSerS-tech] [PATCH] tpm, tpm_tis: исправление проверки TPM 2.0 Яркко Саккинен
  • [TrouSerS-tech] [PATCH v2] tpm: исправить пути приостановки/возобновления для TPM 2.0 Яркко Саккинен
    • Re: [TrouSerS-tech] [PATCH v2] tpm: исправить пути приостановки/возобновления для TPM 2.0 Скотт Дойл
    • Re: [TrouSerS-tech] [PATCH v2] tpm: исправить пути приостановки/возобновления для TPM 2.0 Яркко Саккинен
  • [TrouSerS-tech] [PATCH] tpm: исправить пути приостановки/возобновления для TPM 2.0 Яркко Саккинен
    • Re: [TrouSerS-tech] [tpmdd-devel] [PATCH] tpm: исправить пути приостановки/возобновления для TPM 2.0 Скотт Дойл
    • Re: [TrouSerS-tech] [tpmdd-devel] [PATCH] tpm: исправить пути приостановки/возобновления для TPM 2.0 Яркко Саккинен
    • Re: [TrouSerS-tech] [tpmdd-devel] [PATCH] tpm: исправить пути приостановки/возобновления для TPM 2.0 Джейсон Ганторп
    • Re: [TrouSerS-tech] [tpmdd-devel] [PATCH] tpm: исправить пути приостановки/возобновления для TPM 2.0 Яркко Саккинен
    • Re: [TrouSerS-tech] [tpmdd-devel] [PATCH] tpm: исправить пути приостановки/возобновления для TPM 2.0 Яркко Саккинен
  • [TrouSerS-tech] [PATCH] tpm: исправить ошибку строки формата в tpm-chip.c Яркко Саккинен
  • [TrouSerS-tech] Брюки не могут подключиться к Software_TPM 1198230…@qq.com
    • Re: [TrouSerS-tech] Брюки не могут подключиться к Software_TPM Хон Чинг Ло
  • [TrouSerS-tech] [PATCH] tpm, tpm_crb: исправить ошибку сборки Яркко Саккинен
  • [TrouSerS-tech] TrouSerS ERROR: tddl.c:132 Не удалось найти устройство для открытия! жморенов
  • [TrouSerS-tech] [PATCH v10 0/8] TPM 2.0 поддержка Яркко Саккинен
    • [TrouSerS-tech] [PATCH v10 7/8] tpm: интерфейс TPM 2.0 CRB Яркко Саккинен
    • [TrouSerS-tech] [PATCH v10 4/8] tpm: переименовать chip->dev в chip->pdev Яркко Саккинен
    • [TrouSerS-tech] [PATCH v10 3/8] tpm: исправлена ​​ошибка поиска интерфейса PPI. Яркко Саккинен
    • [TrouSerS-tech] [PATCH v10 8/8] tpm: интерфейс TPM 2.0 FIFO Яркко Саккинен
    • Re: [TrouSerS-tech] [PATCH v10 8/8] tpm: интерфейс TPM 2.0 FIFO Стефан Бергер
    • Re: [TrouSerS-tech] [PATCH v10 8/8] tpm: TPM 2.0 Интерфейс ФИФО Яркко Саккинен
    • Re: [TrouSerS-tech] [PATCH v10 8/8] tpm: интерфейс TPM 2.0 FIFO Стефан Бергер
    • [TrouSerS-tech] [PATCH v10 2/8] tpm: двухфазные функции управления чипами Яркко Саккинен
    • Re: [TrouSerS-tech] [PATCH v10 0/8] Поддержка TPM 2.0 Яркко Саккинен
    • Re: [TrouSerS-tech] [PATCH v10 0/8] Поддержка TPM 2.0 Питер Хью
    • Re: [TrouSerS-tech] [PATCH v10 0/8] Поддержка TPM 2.0 Яркко Саккинен
    • Re: [TrouSerS-tech] [tpmdd-devel] [PATCH v10 0/8] TPM 2.0 поддержка Питер Хью
    • Re: [TrouSerS-tech] [tpmdd-devel] [PATCH v10 0/8] Поддержка TPM 2.0 Яркко Саккинен
    • Re: [TrouSerS-tech] [tpmdd-devel] [PATCH v10 0/8] Поддержка TPM 2.0 Кен Голдман
    • [TrouSerS-tech] [PATCH v10 1/8] tpm: объединить повторяющиеся функции send_cmd() Яркко Саккинен
    • Re: [TrouSerS-tech] [PATCH v10 1/8] tpm: объединить повторяющиеся функции send_cmd() Стефан Бергер
    • Re: [TrouSerS-tech] [PATCH v10 1/8] tpm: объединить повторяющиеся функции send_cmd() Яркко Саккинен
    • Re: [TrouSerS-tech] [PATCH v10 1/8] tpm: объединить повторяющиеся функции send_cmd() Питерхьюве
    • Re: [TrouSerS-tech] [PATCH v10 1/8] tpm: объединить повторяющиеся функции send_cmd() Яркко Саккинен
    • [TrouSerS-tech] [PATCH v10 6/8] tpm: TPM 2.0 базовая поддержка Яркко Саккинен
    • [TrouSerS-tech] [PATCH v10 5/8] tpm: класс устройства для tpm Яркко Саккинен
  • [TrouSerS-tech] [PATCH v8 0/8] Поддержка TPM 2.0 Яркко Саккинен
    • [TrouSerS-tech] [PATCH v8 8/8] tpm: интерфейс TPM 2.0 FIFO Яркко Саккинен
    • [TrouSerS-tech] [PATCH v8 1/8] tpm: объединить повторяющиеся функции send_cmd() Яркко Саккинен
    • [TrouSerS-tech] [PATCH v8 6/8] tpm: базовая поддержка TPM 2.0 Яркко Саккинен
    • Re: [TrouSerS-tech] [tpmdd-devel] [PATCH v8 6/8] tpm: TPM 2.0 базовая поддержка Стефан Бергер
    • Re: [TrouSerS-tech] [tpmdd-devel] [PATCH v8 6/8] tpm: базовая поддержка TPM 2.0 Стефан Бергер
    • Re: [TrouSerS-tech] [tpmdd-devel] [PATCH v8 6/8] tpm: базовая поддержка TPM 2.0 Питер Хьюве
  • Предыдущие сообщения

Безопасность | Случайные страницы Джеймса Боттомли

Одной из новинок конференции Linux Plumbers Conference в этом году стала микроконференция TPM, которая способствовала активным дискуссиям как на самой сессии, так и в коридорах.Довольно много дискуссий вызвал мой доклад «Руководство для начинающих по TPM», в основном потому, что я обвинил Trusted Computing Group в отвратительном отказе от принятия TPM за что-либо, ссылаясь на невероятную сложность их стека.

Главный вывод из этого обсуждения заключается в том, что большая часть сложности этого стека может быть скрыта от пользователей, и мы должны сосредоточиться на том, чтобы заставить TPM «просто работать» для всех криптографических функций, где у нас есть параллели в существующих уровнях безопасности (например, хранилище ключей).Одним из больших преимуществ TPM по сравнению с USB-токенами pkcs11 является то, что он имеет формат файла для ключей TPM (я объясню это позже), который можно использовать непосредственно вместо стандартных файлов закрытых ключей. Однако, прежде чем мы дойдем до этого, давайте обсудим некоторые основы того, как работает ваш TPM и как его использовать.

Основы TPM

Обратите внимание, что все, что я говорю ниже, относится к TPM 1,2 (тип, который большинство людей использует в своих ноутбуках) TPM 2,0 сейчас появляются на рынке, но есть вероятность, что у вас есть 1.2.

TPM обычно поставляется на вашем ноутбуке в неинициализированном состоянии. В старых ноутбуках TPM традиционно отключен, и вам обычно нужно найти запись в меню BIOS, чтобы включить его. В более современных ноутбуках (благодаря Windows 10) TPM включен в BIOS и готов к установке ОС, чтобы использовать его. Все доверенные платформенные модули поставляются с одним установленным производителем ключом, называемым ключом подтверждения (EK). Этот ключ уникален для вашего TPM (например, идентификационная метка) и используется как часть протокола аттестации.Поскольку EK — это уникальная метка, протокол аттестации довольно сложен и включает в себя так называемый ЦС конфиденциальности для защиты вашей личности, но, поскольку нет необходимости использовать TPM в качестве безопасного хранилища ключей, я не буду вдаваться в подробности.

Другой важный ключ, который необходимо сгенерировать, называется корневым ключом хранилища. Этот ключ создается внутри доверенного платформенного модуля, как только кто-то становится его владельцем. Пакет, который вам нужен, чтобы начать использовать tpm, — это tpm-tools, который входит в состав большинства дистрибутивов.У вас также должны быть установлены штаны стека Linux TSS (часто достаточно просто установить tpm-tools) и должна быть запущена часть штанов tcsd (обычно systemctl start tcsd; systemctl enable tcsd). Я обычно настраиваю свой TPM с паролем владельца (для таких вещей, как сброс атак по словарю), но хорошо известным корневым ключом хранилища. Чтобы сделать это из полностью очищенного и включенного TPM, выполните

.
 tpm_takeownership-z 

И введите выбранный вами пароль владельца при появлении запроса.Если вы получили сообщение об ошибке, скорее всего, вам нужно вернуться в меню BIOS и активно очистить и сбросить доверенный платформенный модуль (обычно в параметрах безопасности).

Помимо полномочий и доверенного стека безопасности

Для TPM «полномочия» — это 20-байтовое число, которое вы используете, чтобы доказать, что вам разрешено манипулировать любым объектом, который вы пытаетесь использовать. TPM обычно имеет хорошо известный способ преобразования введенных паролей в эти 20-байтовые коды. Способ, которым вы подтверждаете, что знаете полномочия, заключается в добавлении кода проверки подлинности хэшированного сообщения (HMAC) в команду TPM.Это означает, что хэш может быть сгенерирован только тем, кто знает права доступа к объекту, но любой, кто видит хеш, не может получить из него полномочия. Полезность этого заключается в том, что библиотека брюк (tspi) генерирует HMAC до того, как команда TPM будет передана центральному демону (tcsd), что означает, что никто, кроме вас и TPM, не знает полномочий

.

Последнее, что вам нужно знать о полномочиях, это то, что TPM имеет концепцию «хорошо известных полномочий», которая просто означает предоставление 20 байтов нулей.Это немного парадоксально, иметь секрет, который знают все, однако на это есть причины: для большинства объектов в TPM запрашивать права доступа для их использования необязательно, но для некоторых это обязательно. Для объектов (таких как SRK), где полномочия являются обязательными, использование общеизвестных полномочий эквивалентно утверждению, что на самом деле мне не нужна авторизация для этого объекта.

Корневой ключ хранилища (SRK)

После того, как вы сгенерируете это выше, доверенный платформенный модуль будет постоянно скрывать секретную часть, но его можно убедить предоставить кому-либо общедоступную часть.В TPM 1.2 SRK — это ключ RSA 2048. В большинстве современных доверенных платформенных модулей вы должны указать доверенному платформенному модулю, что вы хотите, чтобы любой мог прочитать общедоступную часть корневого ключа хранилища, что вы делаете с помощью этой команды

.
 tpm_restrictsrk -a 

Вам будет предложено ввести пароль владельца. Как только вы выполните эту команду, любой, кто знает полномочия SRK (которые вы установили как общеизвестные), сможет прочитать общедоступную часть.

К чему вся эта суета по поводу авторизации SRK? Что ж, традиционно TPM предназначен для использования во враждебной многопользовательской среде.В непринужденной среде без авторизации, которую я посоветовал вам настроить, любой, кто знает SRK, может загрузить любой объект хранилища (например, ключ или защищенный большой двоичный объект) в TPM. Это означает, что, поскольку хранилище TPM очень ограничено, теоретически они могут провести DoS-атаку против TPM, просто заполнив его объектами. На ноутбуке, где есть только один пользователь (вы), обычно это не проблема, поэтому рекомендуется использовать хорошо известный авторитет, что значительно упрощает использование TPM.

Способ, которым внешние объекты (например, ключи или большие двоичные объекты данных) загружаются в TPM, заключается в том, что все они имеют родителя (который должен быть ключом хранилища) и шифруются в общедоступной части этого ключа (на языке TPM, это называется обертыванием).Доверенный платформенный модуль может иметь глубокую иерархию ключей (все они в конечном итоге являются родительскими для SRK), но для ноутбука имеет смысл просто использовать SRK в качестве единственного ключа хранения и обернуть все для него в качестве родителя. Теперь вот причина хорошо известных полномочий: чтобы загрузить объект в TPM, его нужно не только обернуть родительским ключом, вам также необходимо использовать полномочия родительского ключа для выполнения загрузки. Объект, который вы используете, также имеет отдельные полномочия. Это означает, что когда вы загружаете и используете ключ, если вы установили пароль SRK, вам в конечном итоге придется вводить как пароль SRK, так и пароль ключа почти каждый раз, когда вы его используете, что немного неудобно. боль.

Инструменты, используемые для создания упакованных ключей, находятся в пакете openssl_tpm_engine. Я сделал несколько исправлений, чтобы сделать его более простым в использовании (в основном, сначала попробовав общеизвестный авторитет, прежде чем запрашивать пароль SRK), поэтому вы можете увидеть мою исправленную версию здесь. Первое, что вы можете сделать, это взять любой файл ключа PEM, который у вас есть, и обернуть его для вашего tpm

.
 create_tpm_key -m -w test.key test.tpm.key 

При этом создается файл ключа TPM test.tpm.key, содержащий упакованный ключ для вашего TPM без полномочий (чтобы добавить пароль полномочий, используйте параметр -a).Если вы нажмете файл test.tpm.key, вы увидите, что он выглядит как стандартный файл PEM, за исключением того, что охранники теперь

.
 ----- НАЧАТЬ КЛЮЧ TSS BLOB-----
-----КОНЕЦ КЛЮЧЕВОГО БЛОБА TSS----- 

Этот ключ теперь упакован для SRK вашего TPM и может использоваться только на вашем ноутбуке. Если вам посчастливилось использовать приложение, связанное с gnutls, вы можете просто использовать этот ключ с URI  tpmkey:file=<путь к test.tpm.key>. Если вы используете openssl, вам нужно исправить его, чтобы он легко использовал ключи TPM (см. ниже).

В идеале, однако, поскольку это файлы PEM с уникальными средствами защиты, любой провайдер SSL должен просто распознать средства защиты и загрузить ключ в TPM. Это означает, что для использования ключа TPM вы берете стандартный закрытый ключ PEM. файл, преобразуйте его в файл ключа TPM, а затем просто скопируйте его туда, откуда использовался исходный файл ключа, и вуаля! вы используете ключ на основе TPM. Это то, что делают приведенные ниже патчи openssl.

Получение ключей TPM для «просто работы» с openssl

В openssl внешние процессоры шифрования, такие как TPM или ключи USB, используются механизмами.Механизм, который вам нужен для TPM, также находится в пакете openssl_tpm_engine, поэтому после установки этого пакета он становится доступным. К сожалению, openssl естественным образом не использует конкретный движок, если это не указано (большинство инструментов openssl имеют для этого параметр -engine). Однако необходимость указывать движок в каждом приложении несколько портит аспект «просто работает», который мы ищем, поэтому патчи openssl здесь позволяют движку указать, что он знает, как анализировать файл PEM, и может загрузить из него ключ. .Это позволяет вам просто заменить исходный файл ключа файлом ключа, защищенным TPM, и ваше приложение продолжит работу с ним.

В качестве демонстрации полезности я использую его на своем текущем ноутбуке со всеми своими ключами VPN. Его также можно использовать с ключами openssh, поскольку они являются стандартными файлами PEM. Однако то, как openssh работает с агентами, означает, что агент не может обрабатывать ключи, и вам нужно вводить пароль (если вы установили один ключ) каждый раз, когда вы его используете.

Следует отметить, что идея использования ключей TPM на основе PEM только для работы в openssl встречает сопротивление.Однако это работает только в gnutls (при условии, что вы измените имя файла на URL-адрес tpmkey:file=).

Выводы (или Насколько хорошо это работает?)

Как я уже сказал выше, в настоящее время я использую эту схему для своих ключей openvpn и ssh. Должен признаться, поскольку я часто использую openssh, мне очень надоело вводить пароль при каждой операции ssh, поэтому я вернулся к использованию ключей, не основанных на TPM, которые могут обрабатываться агентом. Исправление этого в моем списке вещей, на которые стоит обратить внимание. Тем не менее, я все еще использую ключи на основе TPM для моего openvpn.

Даже для openvpn, правда есть икота: демон штанов, tcsd, периодически вылетает на моей платформе. Когда это происходит, VPN отключается (поскольку VPN требуется транзакция аутентификации на основе ключей каждый час для ротации ключей симметричного шифрования). К сожалению, простого перезапуска tcsd недостаточно, поскольку дизайн брюк не кажется устойчивым к этому сбою (даже несмотря на то, что часть tspi, связанная с приложением, может воссоздать все ключи), поэтому саму VPN необходимо перезапустить, когда это произойдет. происходит, что делает его довольно недружественным для пользователя.Починка брюк, чтобы справиться с отказом tcsd, также входит в мой список вещей, которые нужно исправить…

Китай Пакер BA Поставщики, производители – Индивидуальный пакер BA

  • Гидравлический комплект постоянного пакера BA

    Несъемный пакер “BA” компании RuiFeng представляет собой разбуриваемый эксплуатационный пакер с гидравлическим приводом, предназначенный для заканчивания одной или нескольких зон. Он имеет увеличенное отверстие в верхнем уплотнении для создания максимально возможного внутреннего диаметра пакера и узла уплотнения. Пакер устанавливается за счет давления в НКТ, и во время установки не требуется движения или вращения НКТ.

    Добавить к запросу

  • Внутренний превентор — вставной обратный клапан Инструмент для извлечения

    RuiFeng модели «RT» используется для извлечения пакеров RuiFeng «WB» или других извлекаемых пакеров с верхней резьбой защелки.

    Добавить к запросу

  • Шарики подшипника точности нитрида кремния Си3н4 диаметра 12,0 12,7мм керамические

    Извлекаемый пакер RuiFeng WB с уплотняющим отверстием представляет собой надежный пакер среднего и высокого давления для различных применений, таких как добыча, закачка, гидроразрыв пласта, интенсификация притока и гравийная набивка.Пакеры могут быть как гидравлическими, так и канатными. В случае наклонных или наклонно-направленных скважин, в которых сложно спустить пакер с механической регулировкой, идеально подходит пакер с гидравлической регулировкой.

    Добавить к запросу

  • Трубный анкерный штормовой клапан и компенсатор

    Извлекаемый пакер RuiFeng WB с уплотняющим отверстием представляет собой надежный пакер среднего и высокого давления для различных применений, таких как добыча, закачка, гидроразрыв пласта, интенсификация притока и гравийная набивка. Пакеры могут быть как гидравлическими, так и канатными.В случае наклонных или наклонно-направленных скважин, в которых сложно спустить пакер с механической регулировкой, идеально подходит пакер с гидравлической регулировкой.

    Добавить к запросу

  • Высокоскоростная автоматическая роторная машина для вакуумной упаковки риса

    Постоянный пакер «HT» компании RuiFeng представляет собой разбуриваемый эксплуатационный пакер с гидравлическим приводом, предназначенный для заканчивания за один проход. Он устанавливается за счет давления НКТ на временную пробку под пакером. В этой конструкции используется верхнее резьбовое соединение, чтобы исключить необходимость в анкерной защелке с резьбой.

    Добавить к запросу

  • Добавка к буровому раствору Shark-загуститель-органофильная глина Ht-Benvis Gold

    Постоянный пакер «HT» компании RuiFeng представляет собой разбуриваемый эксплуатационный пакер с гидравлическим приводом, предназначенный для заканчивания за один проход. Он устанавливается за счет давления НКТ на временную пробку под пакером. В этой конструкции используется верхнее резьбовое соединение, чтобы исключить необходимость в анкерной защелке с резьбой.

    Добавить к запросу

  • Shark-Benvis Gold Добавка-загуститель для буровых растворов Пакер

    RuiFeng модели HP представляет собой эксплуатационный пакер с гидравлическим приводом, предназначенным для заканчивания скважин с одним или несколькими пакерами.Пакер устанавливается путем прижатия НКТ к временному тампонирующему устройству под пакером. Движение или вращение трубки во время настройки не требуется. Пакер HP оснащен клиньями с двойным захватом, которые надежно удерживают перепады давления и предотвращают перемещение пакета элементов.

    Добавить к запросу

  • Извлекаемый пакер Eml Mechanical Set Пакер

    RuiFeng «EP» представляет собой одноколонный гидравлический пакер, извлекаемый из НКТ, предназначенный для скважин с использованием системы ЭЦН.Он включает в себя несколько сквозных портов, которые можно использовать для подключения электрического кабеля, газоотводного клапана, клапана впрыска химикатов, забойной линии управления или других принадлежностей ЭЦН.

    Добавить к запросу

  • Машина завалки кетчупа опарника меда опарника томатной пасты точности 0,5%

    Изолирующий пакер модели GL представляет собой изолирующий пакер, который устанавливается гидравлическим давлением и освобождается при захвате. Изолирующий пакер модели GL — это высокопроизводительный пакер с простой механикой и большим отверстием.Изолирующий пакер модели GL в основном используется для изоляции зон, этот пакер совместим с пакером RF-Model FS или другими инструментами, может использоваться для послойного обнаружения воды, послойного перекрытия воды, послойного подкисления, послойного контроля песка и послойной добычи.

    Добавить к запросу

  • Портативная ленточная пила дизельного типа Mj1300 Гидравлический наладчик

    RuiFeng SP используется для гидравлической установки извлекаемых уплотняющих пакеров RuiFeng модели «WB» или других подобных пакеров с механической установкой.Устанавливается на НКТ или бурильную колонну и применим для установки пакера в наклонно-направленных или наклонных скважинах, где использование канатного оборудования затруднительно.

    Добавить к запросу

Первый Предыдущий 12345 Следующий Последний 1/5 .

Добавить комментарий

Ваш адрес email не будет опубликован.