17 votos

AMD fTPM - ¿Qué hace esta opción de firmware?

Tengo la placa base ASRock X370 Professional Gaming (AM4) con CPU Ryzen 7. Tiene opción de actualización de firmware de red, pero tuve que desactivar el fTPM para activar la opción de flash de red.

¿Qué es exactamente la opción fTPM? ¿Qué hace la habilitación? He leído que está relacionado con el Bitlocker, pero tengo un disco Bitlocker, funciona igual con esta opción desactivada o activada.

24voto

Nick Dixon Puntos 154

"fTPM" es un tipo de TPM que se implementa en el firmware del sistema en lugar de usar un chip dedicado.

El TPM es un "elemento seguro" a prueba de manipulaciones que se utiliza para guardar claves criptográficas (incluidos los certificados de tarjetas inteligentes y las credenciales BitLocker). BitLocker lo utiliza principalmente para la sistema disco, ya que el TPM puede proporcionar sin contraseña desbloqueando mientras sigue resistiendo a los ataques externos (es decir, sella la clave de cifrado con el estado actual del sistema). Sin un TPM, tendrías que desbloquear el disco del sistema usando una contraseña, una clave de recuperación o una memoria USB en cada reinicio.

Esto no se aplica tanto a datos discos, ya que Windows ya está en pleno funcionamiento una vez que se accede a ellos, puede proporcionar un desbloqueo automático sin un TPM simplemente almacenando la contraseña del disco de datos en su cuenta de Windows. (Y obviamente no afecta al desbloqueo con una contraseña.)


Las razones más probables por las que necesita desactivar el (f)TPM antes de actualizar el firmware son:

  1. El firmware del sistema es parte del mencionado "estado actual del sistema". Si lo actualizas, cualquier cosa que se haya sellado previamente contra él será inutilizable; por ejemplo, si utilizas BitLocker con un TPM, necesitarás usar la clave de recuperación. Algunos fabricantes insisten en que el TPM se desactive manualmente para que sirva de recordatorio al usuario de que necesitará otros medios para desbloquear el disco del sistema.

  2. Es una práctica relativamente común forzar el borrado de todos los secretos antes de que se produzca una actualización del firmware, también llamada "resistencia a los ataques internos". Porque el fTPM es parte de firmware del sistema, su actualización puede convertirse en un riesgo para la seguridad: si el nuevo firmware tiene un fallo o está atrasado, puede pasar por alto las protecciones que se suponía que debía proporcionar; por ejemplo, podría "olvidarse" convenientemente de comprobar el estado del sistema antes de liberar las claves. No sé si "deshabilitar" el fTPM borra su contenido, pero si lo hace, sería una explicación muy probable.

0 votos

El TPM no contiene ni "certificados de tarjetas inteligentes", ni "credenciales de BitLocker". Éstas sólo están selladas a él o son atestiguadas por él.

0 votos

@: No me refiero a la atestación, sino a la generación de claves en el chip, donde terminas con una clave privada que no es extraíble del chip, por ejemplo, usando 'tpm2_create' o 'p11tool --generate'. (Aunque esto no almacena físicamente la clave en el TPM, sigue devolviendo un blob encriptado que es inutilizable excepto cargándolo de nuevo en el mismo TPM, que es funcionalmente lo mismo que tenerlo realmente almacenado allí).

0 votos

Estás hablando, citando "El TPM es un "elemento seguro" resistente a la manipulación que se utiliza para mantener las claves criptográficas (incluidos los certificados de las tarjetas inteligentes y las credenciales de BitLocker)" . Lo cual no es en absoluto cierto.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: