Bèta van Rufus kan Windows 11 op niet-compatibele systemen installeren

Wat je schrijft is de klassieke denkfout die velen maken bij het horen van TPM, dat het enkel dient om private keys op te slaan om aan disk encryptie/bitlocker te doen. De reden daarvoor is dat in het verleden TPM enkel daar hoofzakelijk voor gebruikt werd maar Win11 wilt, eindelijk, veel meer met die TPM gaan doen.

TPM is afzonderlijke hardware chip bedoeld om private keys op te slaan maar TPM is niet het enigste, je bankkaart is in feite juist hetzelfde maar ook je Android telefoon komt met trusted boot (vs secure boot) en Trusted zone (vs TPM). Ik neem aan dat het met iOS ook al lang vergelijkbaar is met Android.

Private keys heb je continu nodig, bijvoorbeeld om aan disk encryptie te doen zoals bitlocker maar evengoed het moment je Tweakers open doet want dan zet je een SSL connectie op waarbij je public keys uitwisselt in beide richtingen. Maar ook bij user acounts and kerberos (active directory) maak je aan de lopende band private keys aan. Of als je biometrische login gebruikt zoals een fingerprint reader.

Het probleem is dat Windows al die private keys opslaagt in het OS en het woord private al aangeeft dat het uiterst belangerijk is dat die nooit lekken. De enigste uitzondering tot kort was bitlocker omdat je dan een private key moet opslaan voor het OS dus dan kan je hem ook niet in de OS laag opslaan.

Win11 wilt dus net zoals Android al lang gedaan heeft, niet meer die private keys in de OS laag gezien de OS laag nu eenmaal altijd kwetsbaar is. Die moeten nu allemaal in die digitale hardware kluis welke TPM noemt in een X86 omgeving. En niet enkel voor private keys die het OS aanmaakt maar evengoed voor software zoals de private key die je hebt aangemaakt in je browser toen je naar deze site surfte, het word dus via API mogelijk gemaakt om als applicatie tevens keys in die kluis te stoppen.

Dat levert wel 1 probleem op, je OS geeft de private keys weg aan de hardware dus het OS moet de hardware kunnen vertrouwen. En uiteraard wilt iemand die je systeem binnen wilt geraken niets liever dan al je private keys ontfrutselen, zowat heel het cybersecurity verhaal is immers gebasseerd op private & public keys. Vandaar dat je dus een trust moet hebben tussen hardware en OS en zeker moet zijn dat er geen ongewenste gasten tussen zitten en dan eindig je met secure boot voor Windows of trusted boot voor Android.

Dat staat dan nog los van onderliggende virtualisatie & afschermen van memory, kort door de bocht verhinderen dat malware code kan injecteren in het OS inclusief drivers (die dit ook moeten ondersteunen dus obscure drivers die nog onder Win10 werkten gaan eruit) alsook verhinderen dat applicaties elkaar kunnen beinvloeden. Dat vereist dan weer een reeks techniek in de CPU afdeling alsook dat die dat kan uitvoeren zonder prestatie impact. Gezien dat nieuw is dat Windows dat gebruikt, en vroeger niet van belang was voor consumenten, heleboel CPU's die uit de boot vallen.

Dan is er nog een toekomstige feature welke Win11 nog niet afdwingt in de officiële requirements en dat is bescherming van het SMM, dat is een modus waarin de CPU code verwerkt op het allerhoogste niveau alsook word alle andere instructies inclusief het volledige OS gepauzeerd. Word gebruikt als de CPU oververhit zodat die kan meteen kan afsluiten maar ook voor power events onder ACPI, USB hotswap en nog een heleboel zaken. Maar SMM modus word ook gebruikt als er zaken ingesteld worden op de TPM. Het is bijgevolg zeer onwenselijk als malware in die SMM modus terecht komt.

Intel heeft SMM protectie in hun vPro platform sinds Coffeelake (mits de CPU vPro heeft in de eerste plaats), AMD heeft op dit moment nog 0.0, Qualcomm vanaf SD850.

Mogelijks moet Tweakers eens een goede deep dive doen in W11 security.

[Reactie gewijzigd door sprankel op 22 juli 2024 15:02]