Il s'agit d'enboyer, signés par la puce TPM, les hashs des composants matériels et logiciels d'un ordinateur.
C'est autrement plus intrusif !
GNNNIIII ?????
Le remote attestation permet en passant par un tiers de vérifier que la clef que tu as fait créer par le tiers et qui a été transmise depuis le TPM du tiers jusque dans ton TPM est bien présent et de certifier cette information auprès d'un autre tiers.
C'est exactement l'équivalent des certicats "classiques" sauf que celà se joue entre TPM.
Pour finir il n'y a que deux choses qui peuvent sortir du TPM : soit un message décodé (par exemple suite à un challenge response, ou dans le cadre normal de l'utilisation du TPM pour déchiffrer un message); soit une clef migrable a condition que ce soit vers un autre TPM et seulement via une connection sécurisé.
Relis bien le document de TCG que j'ai cité ci-dessus où ils reconnaissent que cette remote attestation est un fait.
On va pas reprendre le troll ici. Je t'ai déjà démontré, il y a un an que
a) La config sur laquelle un tiers insiste même si il n'y a pas de raison sécuritaire à un tel choix est une config précédamment rencontrée. En d'autres termes le tiers client peut s'assurer via le tiers de confiance que tu as bien toujours la même config que celle créée précédamment. il ne peut en aucun cas en déduire ton OS, tes disques durs, ta carte graphique ou quoi que ce soit d'autre.
b)Toutes les clefs accessibles de l'extérieur sont migrables. En d'autres termes tu peux parfaitement déplacer la clef de ton tiers client d'une zone à une autre. dans ce cas tu nepourras plus être validée par remote attestation, mais tu pourras toujours lire l'ensemble des doccuments qui ont étés cryptés avec cette clef (ce qui limite vachement l'utilisation dans le cadre du DRM). Si tu veux continuer à faire de la remote attestation, tu peux aussi simplement copier la clef. La copie dans la zone certifiée sera toujours valide aux yeux du tiers client, la copie dans une zone plus laxiste sera utilisable comme bon te semble.
Au final cette technique n'est utile que pour un admin qui veut vérifier que ses machines n'ont pas étés compromises avant de les admettre sur le réseau (par exemple). A part çà...
[^] # Re: "remote attestation" avouée par TCG et aussi par IBM, refuser = gagn
Posté par Jerome Herman . En réponse à la dépêche Sortie de Linux 2.6.12. Évalué à 4.
C'est autrement plus intrusif !
GNNNIIII ?????
Le remote attestation permet en passant par un tiers de vérifier que la clef que tu as fait créer par le tiers et qui a été transmise depuis le TPM du tiers jusque dans ton TPM est bien présent et de certifier cette information auprès d'un autre tiers.
C'est exactement l'équivalent des certicats "classiques" sauf que celà se joue entre TPM.
Pour finir il n'y a que deux choses qui peuvent sortir du TPM : soit un message décodé (par exemple suite à un challenge response, ou dans le cadre normal de l'utilisation du TPM pour déchiffrer un message); soit une clef migrable a condition que ce soit vers un autre TPM et seulement via une connection sécurisé.
Relis bien le document de TCG que j'ai cité ci-dessus où ils reconnaissent que cette remote attestation est un fait.
On va pas reprendre le troll ici. Je t'ai déjà démontré, il y a un an que
a) La config sur laquelle un tiers insiste même si il n'y a pas de raison sécuritaire à un tel choix est une config précédamment rencontrée. En d'autres termes le tiers client peut s'assurer via le tiers de confiance que tu as bien toujours la même config que celle créée précédamment. il ne peut en aucun cas en déduire ton OS, tes disques durs, ta carte graphique ou quoi que ce soit d'autre.
b)Toutes les clefs accessibles de l'extérieur sont migrables. En d'autres termes tu peux parfaitement déplacer la clef de ton tiers client d'une zone à une autre. dans ce cas tu nepourras plus être validée par remote attestation, mais tu pourras toujours lire l'ensemble des doccuments qui ont étés cryptés avec cette clef (ce qui limite vachement l'utilisation dans le cadre du DRM). Si tu veux continuer à faire de la remote attestation, tu peux aussi simplement copier la clef. La copie dans la zone certifiée sera toujours valide aux yeux du tiers client, la copie dans une zone plus laxiste sera utilisable comme bon te semble.
Au final cette technique n'est utile que pour un admin qui veut vérifier que ses machines n'ont pas étés compromises avant de les admettre sur le réseau (par exemple). A part çà...