からくり箱 保守記録


ほとんど嘘が書いてあります。
質問されても答える事はできません
業務機ワールドの話なのでコンシューマパソコンの事はわかりません
アレな記事はパスかけてます(アレです)

カテゴリ: TPM

Infineon_TPM_2.0
前の嘘くさい記事の続き的な TPMとかbitlockerとか

TPM
Trusted Platform Module

車好きな人はTPMS タイヤ・プレッシャー・モニタリング・システムが思い浮かぶかもなぁ
工場とかでいうTPMはTPM(Total Productive Maintenance)でこっちの方が一般的や
生産性を高めよ!ってスローガンのリアルダークソウルみたいな話やな
aaa
最近、車とPC業界の境目がだんだん無くなってきて似たような用語がややこしぃ事になっとる
PCメーカーが自動運転の車の開発やっとるしなぁ・・・・いかん、しょっぱなから脱線した

直訳すると
Trusted 信頼できる
Platform 場所、ホーム、デッキ
Module 基本単位、組み立てユニット
信頼できるなにか・・・的な

トラスト・ミー!
米国大統領にそう言い続けた日本国総理大臣がいたとかいなかったとか
なんだかあんまり信頼できなさそうなチップに思えてきた

まぁ、マザーボード上に装着されたLSIチップだ
データ暗号化しても解除キーもデータも同じハードディスクの中にあったら意味ないやん
鍵は別のデバイスにしようぜ!ってマザーボードにひっそり乗ってるチップな訳ですわ
なので使用しているマザーボードにTPMチップがなければ関係がない
※メーカーによっては後付オプションとかあったりします

自作系のマザーメーカーだとだいたいオプションである
ASUSとかギガバイトとか

機能としてはいわゆる暗号化、公開鍵と暗号鍵の生成、管理
デジタル署名の生成、検証という昔からあるベタな仕事をする訳だがそれをHDD上のデータとして扱う訳でなく専用モジュールで行う
耐タンパー性不揮発性メモリで保存、管理する
耐タンパー性に関しては、外部からの読み取りができない仕組み
簡単には解析されない的なアレ・・・詳細はググれば技術資料はいくらでも出てくる

あぁ、あれね、ハッキングに強い的なタッパーだかバンパーだかのアレな認識でええと思う

個人向けのデスクトップパソコンにはあまり付いてなかったのですが
昔からノートPCには結構ついてました、最近は個人向けPCにもついてたりする
指紋認証とかカードリーダー機能とかが付いてるのにはOSがVISTAの頃からついてました
regasitpm
古いレガシーなシステムだとTPM表記ではなく、内蔵セキュリティとか
セキュリティ○○デバイス的な表示になっている事が多いです
当時はHDDとメールの暗号化くらいにしかほとんど使われなかったです

会社向けのパソコンなんかもセキュリティ機能が個人向けよりマシマシになってるのでほとんど付いてるビットロッカーとか会社パソコンだと見た事ある人も多いんちゃうやろか?

TPMが入ってるPCは
デバイスマネージャーにセキュリティデバイスの項目があって
その中にトラステッドプラットフォームモジュールの記載があれば入ってる
バージョン1.2なら1.2 2.0なら2.0って書いてある
無題

HDDの暗号化、BIOSやOSのログイン認証
指紋認証とかFeliCaチップのカード読み取りの機能はこのTPMチップ管理な訳だ
WindowsOSとしてはVISTAからの正式サポート

技術規格的にはTCG(Trusted Computing Group)という団体が取りまとめている
世に普及し始めた頃のバージョンは1.2だが、最新はバージョン2.0

今、1.2から2.0へ移行しましょうねーというムーブメントがある訳ですわ

TPMチップのファームウェアを更新すれば1.2から2.0にバージョンアップできる

現状、世の中のパソコンのTPMチップはバージョン1.2と2.0が混在状態なんだけども
Windows10はTPM2.0必須と言われている
別に使えなくなる訳ではないんだけども、これからは2.0前提でやっていくよという事だ

1.2のままだと脆弱性があるとか、使えない機能があるとか色々OSに意地悪言われる
2.0なになるとなにが変わるのよってのは、まぁ、いろいろパワーアップや

スーパーサイヤ人とスーパーサイヤ人2みたいなもんだ
sp01sp02
オーラがちょっと違うねん
スーパーサイヤ人の各バージョンの違いをまったく分からない人に説明って大変やん
きっちりアニメ版のドラゴンボールを最近の分まで追っかけてない人に説明するのは難しいやろ?
まぁ、そんなもんや
もっと強い!でいいんじゃなかろうか
オラ、ワクワクすっぞ

本気で知りたい人はこんなページ見てないしな

一向に有効活用されない日本のマイナンバーと違って
EU圏では個人IDでの認証、決済がどんどん進んでいる
アジア圏でも中国を筆頭に電子デバイスでの決済や契約締結が発達してるので
セキュリティ関連がとても重要な訳なんですわ

TPMはWindowsVISTA以降対応だが、TPM2.0に対応するのはWindows8以降であり
まだまだ実稼働端末として多いWindows7にはTPM2.0は対応しとらんのですよ

つまり、新しく買った最近のPCにWindows7を入れて使いたい場合はTPMのバージョンを2.0から1.2にダウングレードせにゃならん人と
古いPCにWindows10を入れて、TPMのバージョンを1.2から2.0にアップデートせにゃならん人がこの世のどこかにいる訳なんですわ

メーカーによっては1.2→2.0のアップグレードはWIN7上でないと出来ないとか
逆に2.0→1.2はWIN10のOS上でしか出来ないとか凹む仕様もある
バージョンアップするにはまずWIN7入れて2.0にアップデートしてからWIN10を入れなおす必要があったり、なんだかなぁと
正直TPMなんかまともに考えて設定してる人は日本にはあまりいないけども
時々、真面目にセキュリティを考えてる人が真剣に考えて
そしてその社員が逃げ出して、誰もセキュリティ解除できないブラックボックスを生産してる

話がそれたな

殆どは1.2から2.0へのバージョンアップが必要なケースなんじゃないかなぁ、どうなんだろね

メーカー問わず基本的な注意項目はBIOS設定だ

Windows7用のBIOS設定とWindows10用のBIOS設定は結構違う
Windows7用BIOS設定のWindows7PCをBIOS設定を変えずに無料アップデートキャンペーンを利用してWindows10にした人とかは結構カオスな事になっとるけどもなぁ
謎の怪奇現象が起こるのでWindows10で使いたいならBIOS設定を変更して一からWindows10をクリーンインストールする事を強くお勧めする

BIOSはバージョンが古ければ最新版にアップデートが必要な場合も多い
特に1.2→2.0に関しては旧BIOSでは想定されてなかった動きなので初期BIOSでは対応できないケースが多い、メーカーの注意を良く確認しよう

ブート項目の 高速起動(高速ブート、ファストブートとか表現はいろいろやけど)
WIN10ならON 7ならOFF
レガシーブート 10ならOFF 7ならON
UEFIブート 10ならON 7なら基本はOFFだけども・・わかってONにする人はわかってONもあり
セキュアブート 10ならON 7ならOFF
※だいたいコレなだけで絶対じゃない!
UEFIなんてオラのマザボにはねぇだ~とか言う人はもうTPMの事なんて忘れようぜ!なっ

ASUSはこの辺
asus
giga
ギガバイトはこのへん

んで、そもそものTPMチップのON OFFな
BIOS上でTPMデバイスをOFF、無効、ディセーブルにしてると、反応せん奴多いからな
TPM弄りたいならONにしましょう
設定項目にだいたい今1.2なのか2.0なのか表示されてます
HPはこの辺
biostpm

TPMの操作が上手くいかないとか言うてTPMが無効化されてるとかBIOS設定そもそも見てないとか、BIOSなにそれ美味しいの?みたいな人は関わらない方が良いです
変に暗号化されてPCにアクセスできなくなって終わります
素直にTPM2.0の新しいパソコンを買ってWIN10で使えばいいんじゃないかな
パソコン詳しくないぞってバブったりオギャったりする人は手を出さない方が良いと思います

やり方に関してはマザーボードの仕様によって違ってくる場合もあるので
使用マザーメーカーの注意を確認が大事
簡単にOS上で操作できるアプリケーションを提供してくれてるメーカーも多い

TPMチップのファームの書き換えは、回数制限がある(だいたい64回)
上手くいかないからって、パニックになってボタン連打とか何度もトライとかはやめよう

そもそもそのPCにTPMチップがあるのかないのかしっかり確認しよう
TPMチップなんぞないのに騒いでたらかっちょわるいぞ
互換性のあるTPMが見つかりません、とかなったら
そもそもTPMあるの?ONになっとる?とか確認しよう
特に今のOSがWIN7の人は、OSの能力ではTPMチップ情報を殆ど読み取れないのでなおさらメーカー指示を参照してください

場合によってはTPMチップのメーカーの選択が必要なケースもあります
殆どは、IFK表示なんじゃないかなぁ
インフィニオンテクノロジーズ社 ドイツの半導体メーカー

osjyo
設定されてればプログラムの一覧にInfineonなんちゃら~ってある
ちょっと前にTPMチップの脆弱性問題があったので、バージョン変更以外にも
アップデートをした人は多いんじゃないかなぁ

割と話題になった、去年の秋ごろだったっけ?

VAIO、同社製品採用のInfineon製TPMセキュリティチップに脆弱性
Information on TPM firmware update for Microsoft Windows systems as announced on Microsoft`s patchday on October 10th 2017

TPM 脆弱性 とかでググれば山ほど出て来る

TPMのアップデートの具体的な操作は使用マザーなりPCメーカーのやり方順守で
ミスったら起動せんようになるかもしれんしな、自己責任や
分からん人がやるような作業じゃないし
そもそも1.2→2.0なんかはメーカー側が対応しない事のが多い、WIN7用PCとして販売して
ユーザが勝手にWIN10にした古いPCとか、知らんがな!
買った時XPでした~みたいなね、販売時のOSと規格にしか動作保障ないのは当たり前やからなぁ
新しいの買って、無理やりWIN7を勝手に入れて対応してくれとか、それこそ知らんがな!って話やし、

対応してる所は、ドライバとかの最新版ダウンロードページなんかにファームウェアが置いてあったりするので覗いてみるといい
気の利いたメーカーはすし屋のさび抜きサービスよろしく
PC購入時に、へぃ大将!TPMは1.2にしやすか?2.0にしやすか?
などと希望の物を乗せてくれる

2.0を1.2にするって事は使いたいOSがWIN7な訳やん
WIN7はTPM2.0は非対応やから、OS上で稼働するメーカーの便利ツールは使えなくて、BIOS設定と外部メディアロードで操作とか、コマンドプロンプト作業が必須な場合もあるで
そもそもレガシー環境だとTPM情報をOSサイドから呼び出しする機能がなかったりするで

テケトーにググるとDELLとHPの記事が結構ヒットする
ワールドワイドに商売してるメーカーはこの手のドキュメント量が多いのが強いなぁ
英語記事でも、グーグル先生で日本語翻訳させたら、だいたい意味わかるしなぁ


マザーボードの規格
あるべきBIOSの設定
現状のTPMファームウェアのバージョン
使いたいOS
予定のTPM利用方法

この辺の情報確認が非常に大事である

マジデいろんなパターンあるねん!メーカー同じでも製品違うとやり方とか表示違うし
アレがONじゃないとダメとか
BIOSのマスターパスワード設定してないとダメとかな!
そらそうや、漏えい、盗難防止のTPMのONOFFがパスワードもかけてないBIOSでONOFFできたら意味ないもんなぁ
変に失敗されてイチャモンつけられても怖いから詳細はしらん
関西のおばちゃん風 ナンヤシランケドって奴だ、このブログが全部そうだ

正直、上手くいかなくて悩んでる人は
危ないから、アキラメロン

ちゃんと情報収集して必要環境を整えてから実行しましょうという注意喚起なのである
暗号化してあるものがすでにある人は非常時の解除キーを用意しておくように!
大事なデータはバックアップしておこうな
本人含め、誰も開けられない金庫にお宝をしまっちゃうオジサンになりたくないだろ?

パソコン不慣れな人がどうこうするものやないとは言うたものの
TPM2.0対応してないとアクセスさせないとか使わせないとか
一定のセキュリティ基準を満たした相手じゃないと会話もしませんよってのがEUのムーブメントなんだわ
私、なんだかよくわからないけども、TPMをあれしてナニしないとコレが使えないとか言われて
どうしましょう!助けてーみたいな
現状やっぱり、TPMの変更に関する所は自己責任項目な感じ
強制的な書き換えなんかしないで必要な環境のハードを購入しましょう
だよなぁ

大量にこの作業をせにゃならん人はご愁傷様である

適当にググっておもしろかったページのリンクをはっとくわ


★DELL

TPM バージョンを切り替える方法


Trusted Platform Module(TPM)セキュリティ機能をアクティブにする - KB Article - 274261

Dell TPM 2.0 Update Utility

Dell TPM 2.0 Firmware Update Utility


TPM1.2 または 2.0 の間に変更できないため、 TPM が所有されている

TPM 1.2 vs. 2.0 Features

How To Change TPM Modes 1.2<->2.0


以前の所有権の資格情報についてTPM チップをクリアする方法


Trusted Platform Module(TPM)の取り付け


★HP
HP TPM コンフィギュレーションユーティリティを使用した TPM version の変更手順

From TPM 1.2 to TPM 2.0

Windows 10 Anniversary Edition対応TPMファームウェアのHP TPM Configuration Utility

HP TPM 構成ユーティリティのご案内: TPMファームウェアのアップデートの許可およびTPM 1.2と2.0間の変換


TPM 1.2と2.0間の変換


え?BISO入られへん?パスワードわからん?
チップの所有者権がない・・・あぁ、鬱になってやめた前任者が全部やった
引き継ぎ資料もなんもない

うふふ、あるよねぇ~~~

ホムセン行ってチェーンソーでも買ってこようぜ!

アレをナニしちゃえ

このエントリーをはてなブックマークに追加 mixiチェック Share on Tumblr Clip to Evernote


000

TPMとbitlockerとか

ハードウェアレベルの暗号化とか増えてきた
エイヤーでマザーボードとっかえちゃうとHDD読めなくなる
その辺は、まぁ、鍵かけた人の自己責任なので知ったこっちゃないんだけども
あ~あれね~暗号化の~セキュリティーがどーとかって奴~
ぐらいの薄っぺらい認識しかないので、自習 

まずBitLocker
HDDのアイコン右クリすると出てくる奴 

これ自体は結構昔からあるWindowsVISTA以降のOSで
Enterprise版とUltimate版に標準搭載されてる機能
homeとかproにはない、一般の人には縁がないけど法人向けPCだと結構見かける

要するにハードディスクを暗号化しますよ
盗まれても中身見られませんよって代物
ノートPCなんかで使う人が多いってモノやんね

んで、これを使うにはOSのグレード以外に、マザーボードにTPMっていうセキュリティチップが乗ってる必要がある
無くても、起動ドライブ以外の暗号化は出来るし
USBメモリをTPMチップ代替えとして使う事もできる

このチップのあるマザーボードのBIOS管理画面にはTPMのONOFFとか制御権限の設定項目があるという訳ね

んで、暗号化するときは、パス忘れや、故障とかで部品が変わってしまう時に備えて
USBメモリを回復キーにしたり
回復パスワードを作っとかないといかんのね

BitLockerは暗号化のソフトウェアなんね
でも、マザーボードのTPMチップと連動してるので
物理パーツ依存の部分もあるって事ね

RAID管理チップがマザーにあって、OS側にIRST入れてRAID組むみたいな関係に近いのかな?

肝はTPMチップって奴か
TPM01TPM02
こういう奴か、これもハンダ割れで浮いちゃいそうね

こいつをBIOS上で設定するのか
TPMって何の略だ?

Trusted Platform Module
信頼できるプラットホーム?
なんじゃそりゃ

いい加減ね、もうね、マザーボードにおかしなチップをわんさか乗せて
なんでもかんでもUEFIだーVPROだーAMTだーとかマザーで制御させるのやめようよ
なんか1個でも不調になれば、だいたいマザーボード交換
10万円越えコースになるんだよ

脱線した
 TPM03
TPM04
だいたいのメーカーでアドバンス項目かセキュリティ項目の所で設定するみたいね
TPMって表現じゃなくて、セキュリティ、デバイスセキュリティ、セキュリティチップなんて表現もある
○○キーみたいな表現もあるな
 
鍵、セキュリティ、チップこのあたりのキーワードだな
このチップは、ビットロッカーだけじゃなくて、指紋認証やらの別のセキュリティアプリでも使われてたりするので、マザーのデフォルト値が使えるモードになってるかなってないかのチェックは必要な訳か
0_3832
BIOS側で有効になってないと起動時こうなるらしい

マザーボードの設定如何で満足に起動するかも怪しくなって来たけども
これって、マザーのコイン電池消耗で設定記憶できずに揮発し始めたらどうなるんだろ?
毎回設定しなおさないとダメとかになるのか? どこのメーカーも物理記憶させる領域があるんやろか? 
むぅ~よくわがんね

この辺の話は、端末使用者側サイドの責任で行われるから保守側は知ったこっちゃない
自己責任でやればいいし、データが読めなくなりましたってなっても知らん
フォーマットしてOSから入れなおせばーってなる事多い
緊急時の復活の呪文の用意してない人が悪いですよ

マウスコンピューターのTPM関連の注意事項
https://www2.mouse-jp.co.jp/ssl/user_support2/sc_faq_documents.asp?FaqID=16803
****************************************
【 ※注意事項※ 】

・ すべての状況においてハード、データの保護を保証するものではありません。
TPM を設定する際には複数のパスワード設定が必要になります。パスワードを忘れた場合は暗号化したデータや設定などの復元が不可能になりますので必ずパスワードを控えてください。

・ ファイルやフォルダによっては暗号化を行うとシステムが起動しないなどの不具合がおきる場合があります。
暗号化を行なう際には、マニュアルに記載されている 「 TPM による暗号についての注意事項について 」 を必ずご確認ください。

・ 設定作業時に非常時の復元用ファイルを保存する必要があります。リムーバブルメディア ( USB フラッシュメモリーなど ) のご用意をお願いします。

・ お客様が TPM をご使用、または利用しない場合において発生した損害、損失については、弊社は一切の責任は負いかねます。

・ 本製品を修理に出される際はすべてのパスワードを解除してください。修理作業ができない可能性があります。

・ 予め管理者権限のあるアカウントでログインしてください。

・ 予め USB フラッシュメモリーなどの 「 リムーバブルメディア 」 を PC に接続してください。


****************************************
TPM05
ビットロッカーじゃなくても、メーカー製PCに入ってるSecurity PlatformもTPMなのか
ビジネスPC系はどこのメーカーも入ってるなぁ 理解して使う分にはいいけども
訳わからず使われたら、トラブル時どうしようもない気がするなぁ

ハードウェアによる暗号化ファイルシステム(EFS)
指定したファイルやフォルダーを暗号化して保護します。
(Windows 7 Home Premiumは非対応)

Personal Secure Drive(PSD) 暗号化された仮想ドライブを作成します。

ほぅ、Security Platformでそのユーザーログイン時だけの秘密の仮想ドライブが作れるのか
秘密ファイル置き場にモッテコイ、でもアドミンにはバレバレ、あかんやん

PC見てくれって言われても、PCアクセス出来ないじゃどないしょうもないな
マウスさんも苦労してるんやろかぃな?

また脱線してきた

逆にTPM認証通ればOSのログインまで認証を引っ張れるのか
指紋認証すれば、自分のログインIDでログインするまで自動化できるって事か
それは便利やな
TPMを使ったサード製の怪しげな機械も生まれるって訳か

メールの暗号鍵と公開鍵みたいなもんで、暗号鍵をハードディスクじゃなくて
マザーボード上のTPMチップが持つって事みたいなイメージでいいのかな?
殆どは、ハードディスクの盗難防止
データ流出しても、鍵ないと読めませんよっ!目的やろなぁ

PCが多機能化して、ギミック増えて壊れやすくなって、データはクラウドなりサーバなり
どっかしらのストレージで一括管理
もう少し回線やマシン速度が上がれば、世の中みんなシンクライアント状態になるんやろかねぇ

テクノロジーの進歩はすんばらしいけど、故障耐性がまったく上がってない所か
ROHS以後ハンダ割れしやすくなったし、埃が溜まって熱暴走とか増えちゃってる気もする
もっと熱くなれよ!
いや、故障耐性はあがってるんやろうけどもそれ以上にスペック上がりで発熱やらが増してるんやろなぁ
冷却不全になると、一気にダメになる

まぁ、いいや
なんとなくTPM回りの事がうすーく理解できた

しかし、Cドライブの暗号化なんぞして通常利用でトラブルでないのか?

あ、出てるわ

パナソニックノート
****************************************
http://askpc.panasonic.co.jp/security/info/tpm.html


内蔵セキュリティチップ(TPM)ご使用時のお願い

平素は Panasonic PC をご愛用いただき、誠にありがとうございます。

レッツノートCF-R4G、T4G、W4G、Y4Gシリーズに搭載されているTPMを利用して特定のファイルを暗号化すると、コンピューターを起動できなくなるなどの問題が発生する場合があります。

本問題を改善するためのアップデートプログラムを公開致しましたので、下記よりダウンロードの上、導入くださいますようお願い致します。

****************************************

ですよね~、そういう事もあるよね~

まぁ、どこのメーカーでもやらかしはあるもんです
関連ソフトウェアや、BIOSのバージョン確認、更新状況の確認、アップデートなどは注意深く扱わないと痛い目見そうですな





TPM1.2⇔2.0の話はまた別に
TPMチップのバージョン変更よもやま 1.2⇔2.0








このエントリーをはてなブックマークに追加 mixiチェック Share on Tumblr Clip to Evernote

↑このページのトップヘ