Intel Platform Trust Technology (PTT): TPM voor de massa

Sinds een paar jaar is Intel® Platform Trust Technology (PTT) echt klaar voor gebruik. Jarenlang was de TPM-specificatie (Trusted Platform Module) leidend op het gebied van de beveiliging van personal computers, industriële pc’s en servers. TPM heeft een aantal standaarden en interfaces opgesteld waarmee systeemmakers hun digitale betrouwbaarheid in systeemhardware kunnen integreren. Dus je vraagt je misschien af – wat is PTT? Hoe verschilt het van TPM? Lees verder voor meer informatie.

Wat is Trusted Platform Module (TPM)?

Trusted Platform Module ofwel TPM gebruikt unieke cryptografische sleutels die opgeslagen zijn op fysieke media en rechtstreeks op het moederbord zijn gesoldeerd. Zo creëert TPM de zogeheten ‘root of trust’. Met TPM kunnen makers van besturingssystemen zoals Microsoft zorgen voor een veilige codering van de hele schijf om gegevens te vergrendelen, zelfs als een schijf wordt verwijderd. Daarnaast kunnen hier systeemcontroles mee worden ingeschakeld waarmee low-level opstartcode wordt gecontroleerd voordat deze wordt uitgevoerd. We schreven er een hele blog over, die je hier kunt lezen.

Wat is Platform Trust Technology (PTT)?

PTT-architectuur (Platform Trust Technology) implementeert TPM in systeemfirmware. Voor het besturingssysteem en je applicaties ziet PTT er hetzelfde uit als TPM; het werkt ook hetzelfde. Het verschil tussen PTT en TPM is echter dat computers met Intel PTT geen dedicated processor of geheugen nodig hebben. In plaats daarvan vertrouwen ze op de low-level systeemverificatie die zorgt voor beveiligde toegang tot de hostprocessor en het geheugen van het systeem.

Het resultaat: PTT wordt geïmplementeerd op low-power pc’s, tablets en andere apparaten die in het verleden de extra kosten, complexiteit, stroomverbruik of vereiste fysieke ruimte die gepaard gaan met op hardware gebaseerde TPM niet konden dragen.

Wat is TPM?

De huidige versie van TPM is momenteel 2.0 en de rol van TPM is belangrijker geworden omdat cyberbedreigingen zich blijven richten op de laagste levels van systeemwerking (waaronder de Master Boot Record, systeemfirmware en besturingssysteembestanden) waar traditionele anti-malwareoplossingen kwetsbaar kunnen zijn.

TPM werkt door beveiligde sleutelinformatie op te slaan in een fraudebestendige chip. Deze bevat een unieke goedkeuringssleutel die bij de fabricage in het silicium is ingebouwd (zoals een digitale vingerafdruk) om hardware van het hostsysteem te verifiëren. Een speciale cryptografische microprocessor verwerkt sleuteldata en verifieert de integriteit van low-level systeem-assets, zoals opstartbestanden en systeemfirmware. Als een verandering wordt gedetecteerd, voorkomt TPM dat de gecompromitteerde bestanden of software worden geladen. Hierdoor worden aanvallen gestopt voordat ze beginnen.

De implementatie van TPM in dedicated hardware heeft een belangrijk voordeel; TPM isoleert de beveiligingsinfrastructuur van het hostsysteem. Daardoor kan het heel moeilijk worden vervalst, gesaboteerd of uitgeschakeld. Het voegt echter wel kosten en complexiteit toe aan systeemontwerpen. Dat betekent dat veel apparaten die van dit beveiligingsniveau kunnen profiteren, het simpelweg niet hebben. Deze tekortkoming verandert met op firmware gebaseerde implementaties van TPM, zoals PTT.

Meer over Platform Trust Technology

Intel introduceerde PTT in 2013 op geselecteerde 4th gen Intel Core-processors en chipsets, inclusief Intel Haswell ULT multichip-packages, en op Atom-gebaseerde system-on-a-chip oplossingen, zoals Bay Trail. Met PTT kunnen goedkope en energiezuinige apparaten dezelfde root of trust-concepten bevatten die worden ondersteund door hardware-gebaseerde TPM. Bovendien ondersteunt het alle nieuwste besturingssysteemvereisten van Microsoft voor TPM 2.0.

Een vergelijkbare implementatie (ARM’s TrustZone-scheme) biedt TPM-mogelijkheden voor low-power draagbare apparaten met ARM-processor, zoals tablets.

En tot slot heeft AMD ook zijn eigen fTPM-implementatie. Dat betekent dat een computer die je de afgelopen jaren hebt gekocht waarschijnlijk al over een vorm van TPM beschikt.

PTM vs PTT voor industriële toepassingen

PTT en andere firmware-implementaties van TPM zijn vooral belangrijk voor industriële pc’s. Organisaties kunnen hiermee dezelfde, rigoureuze beveiligingsniveaus bereiken in hun compacte, fanless systemen en apparaten als voor desktop-pc’s, werkstations en servers. Door PTT-enabled industriële computers krimpt het aanvalsoppervlak radicaal voor systemen die vaak onbeheerd in afgelegen of openbare ruimtes zijn geplaatst.

Er was een tijd dat IT-managers moesten kiezen tussen energie efficiënte industriële computers met robuuste beveiliging of compacte, energiezuinige ontwerpen. Computers met Intel PTT maken een einde aan die noodzaak om te kiezen. Voor meer informatie kun je onze one-pager downloaden (zie de link hieronder) of kun je contact opnemen met ons technische verkoopteam. Ze kunnen al je vragen over beveiliging beantwoorden.

Opmerking: dit artikel is oorspronkelijk geschreven op 20 december 2017. De inhoud is bewerkt op 2 oktober 2023.