一般的に、PCに電源が投入されると、BIOS起動 > ブートローダー起動 > OS起動 という動作で起動を行いますが、インテル トラステッド・エグゼキューション・テクノロジー対応システムでは、電源が投入されると、システムのリソースを使わず、対応CPU内で動作するAC(Authenticated Code)モジュールが動作し、BIOS起動前に、セキュリティチップ(TPM:Trusted Platform Module)に格納されたデータを参照して、BIOS改ざんの有無を確認し、改ざんされていなければBIOSを起動し次の起動手順に進みます。
次に同様の手法で、ブートローダー改ざんの有無を確認し、改ざんされていなければ、ブートローダー起動します。
OSも同様の手順により起動されます。
起動の度に、コンピュータが信頼できるかどうかを測定(メジャーメント)し、信頼性を確保しながら起動を行うことによりセキュリティの高さを確保しています。
ソフトウェアでセキュリティを確保する、アンチウィルスソフトのように、ブラックリストと比較して、悪いものを排除する手法を取ることが一般的ですが、PC起動前に、ブラックリストの更新が必要であったり、時間の経過とともにブラックリストのデータ量が増えて、起動に時間を要したりします。
しかし、インテル トラステッド・エグゼキューション・テクノロジー対応システムでは、セキュリティチップ(TPM 1.2)に内蔵されたシステムから隔絶されたフラッシュ領域に、起動に必要なモジュールをハッシュ関数を用いて算出したハッシュ値を記録しています。
起動の度に、このハッシュ値を比較することで、改ざんの有無を判断して起動ステップを進めまることで、PCのセキュリティを確保します。
インテル トラステッド・エグゼキューション・テクノロジーをセットアップしてみました。
先ずは、マザーボードに組み込まれたセキュリティチップ(TPM)の活性化を行ない、有効にします。
TMPチップは、下記マザーボード写真の右下に実装されています。
Windowsのデバイスマネージャーからも、セキュリティチップが確認できます。
Windowsのコマンドプロンプトから、"tpm.msc"と入力してEnterキーを押すと、「コンピューターのトラステッド プラットフォーム モジュール(TPM)の管理(ローカルコンピューター)」が起動します。
ここで、現在のトラステッド プラットフォーム モジュールの状態が確認できます。
トラステッド プラットフォーム モジュールが一度も有効になっていないか、現在無効になってる場合は、画面右端のフレームにある、TMPをクリア…を選択します。
すると、別ウィンドウが開いて、所有者パスワードの有無を聞いてきます。
初めての操作なので、TPM所有者パスワードを持っていません。(N)を選択します。
再起動を要求されますので、再起動ボタンを押します。
POST画面で、"TPMの初期化をすると、TPMに保持されていた暗号キーが全て消去されるので、暗号キーにアクセスできなくなり、暗号キーで暗号化したデータにアクセスできなくなる。
という注意文が表示されます。ここで、ESCキーを押すとTPMクリアはキャンセルされます。
F12キーを押すと、TPMがクリアされます。
Windowsが起動すると、TPMハードウェアを有効にします。というメッセージが表示され、再度、再起動を要求されます。
再起動終了後に、今度は、TPM所有者パスワードを作成します。というメッセージが表示されますので、「パスワードを自動的に作成します(推奨)(A)」を選択すると、
数字40桁のパスワードが表示され、パスワードを保存するか印刷するか聞いてきますので、「パスワードを保存します(S)」を選択し、
USBメモリ等に保存します。
今後、TPMの設定変更に必要なパスワードなので、大事に保管します。コンピュータ名.tpmというテキストファイルが保存されます。
保存が終了すると、TPMクリアの完了です。
ここで、再度、「コンピューターのとっらすテッド プラットフォーム モジュール(TPM)の管理(ローカルコンピューター)」を起動すると、TPM管理項目に、「TPMはオンで、所有権は取得されています」と表示されています。
これで、TPMは正常動作をしていますので、ドライブの暗号化を行うBitLockerでTPMを使うことも可能になりました。
「コンピューターのとっらすテッド プラットフォーム モジュール(TPM)の管理(ローカルコンピューター)」の左タブのコマンド管理を選択すると、TPMコマンドの一覧と説明が表示されます。
コマンド番号151が、TPMの起動コマンドのようで、PCの起動プロセス中にTPMに送られ、ソフトウェアで実行することはできないようです。
マザーボードのBIOS画面を呼び出し、Securityタブの、Intel Trusted Execution Technologyを、enableに設定するだけです。
今回の、第二の謎は、技術レベルも非常に高く、個人レベルで検証を行うことが非常に難しい謎でした。
本来であれば、レビューPCに対してハッキング等を行い、インテル トラステッド・エグゼキューション・テクノロジーの有効性を確認したかったのですが、私の技術レベルの低さと時間切れで、このようなレビューになってしまいました。
今後、時間を見つけて、時間を掛けて検証して行きたいと思います。
ZIGSOWにログインするとコメントやこのアイテムを持っているユーザー全員に質問できます。