Новости Endorsement Key: аппаратная метка, которая переживает форматирование диска и смену ОС

NewsMaker

I'm just a script
Премиум
28,168
46
8 Ноя 2022
История с GDID напомнила о более скрытом идентификаторе — аппаратном ключе TPM.

<div class="articl-text-cover" style="position:relative;width:100%;max-width:800px;margin-left:auto;margin-right:auto;aspect-ratio:800/450;margin-bottom:2rem;overflow:hidden">
pp5gcmzopvgwg51oh05yujoizwg3xlcr.jpg

Переустановка Windows, смена браузера, переход на Linux и даже замена накопителя не стирают один из самых устойчивых цифровых следов компьютера. Внутри современных ПК работает TPM, небольшой защитный модуль с уникальным криптографическим ключом, который производитель записывает на этапе выпуска чипа. Такой ключ помогает подтверждать подлинность устройства, но одновременно превращает компьютер в железо с постоянной идентичностью.

Поводом для новой волны обсуждения стала история с GDID , глобальным идентификатором устройства в Windows. После задержания участника Scattered Spider Питера Стоукса специалисты заговорили о роли телеметрии Microsoft и о том, насколько легко программные метки помогают связывать активность пользователя с конкретной системой. Но GDID остается программным идентификатором. При достаточном желании строку можно удалить или заменить вместе с окружением.

TPM устроен иначе. Модуль Trusted Platform Module хранит Endorsement Key, уникальный ключ одобрения, связанный с конкретным чипом. Microsoft в документации прямо указывает, что EK нельзя изменить или удалить. Ключ остается прежним после очистки диска, переустановки Windows, смены операционной системы и других программных манипуляций, пока не меняется сам кремний.

Windows активно опирается на TPM. Модуль участвует в Device Health Attestation, Windows Hello, BitLocker, Entra и других механизмах безопасности. Банковское приложение, корпоративный <span class="vpn-highlight" title="Использование VPN может нарушать законодательство РФ">VPN</span> или сервис с античитом могут проверять через TPM, что к системе подключается прежнее устройство, а не злоумышленник с украденными учетными данными. Для защиты аккаунтов и корпоративных сетей такая проверка полезна, но для приватности возникает очевидный риск: аппаратный след сложнее скрыть, чем обычную программную метку.

Публичную часть Endorsement Key можно получить через команды в PowerShell , которые описывает Microsoft. Аналогичную информацию можно извлечь и на Linux, например через инструменты для работы с TPM . Если пользователь способен запустить команду вручную, приложение с достаточными правами тоже может обратиться к модулю и получить сведения о ключе.

Эксперты по приватности опасаются, что TPM постепенно превращается не только в защитный механизм, но и в способ контроля доступа. Роб Брэксман, который давно критикует архитектуру TPM 2.0 , предупреждает, что приложения и облачные сервисы могут использовать взаимодействие с модулем для привязки действий к конкретному устройству. Точных данных о масштабах такого отслеживания в индустрии нет, но сама техническая возможность вызывает вопросы.

После обсуждения GDID часть пользователей начала советовать очистить TPM через BIOS. Такой совет может привести к проблемам. Очистка TPM удаляет созданные пользователем ключи, сертификаты и учетные данные, но не меняет корневую идентичность модуля. Endorsement Key остается прежним. Специалист по кибербезопасности Дэниел Кард также предупредил , что обычный сброс TPM не меняет постоянный ключ модуля.

При этом сброс TPM способен лишить пользователя доступа к данным, если BitLocker зашифровал диск, а ключ восстановления не сохранен. Также могут сломаться Windows Hello, вход по отпечатку пальца, распознавание лица, привязанные к устройству ключи доступа и приложения, зависящие от TPM.

Полностью избавиться от аппаратной идентичности сложно. Отключение TPM в BIOS может нарушить работу BitLocker, вызвать претензии Windows 11 и заблокировать сервисы, требующие аппаратной аттестации. Запуск Windows в виртуальной машине без доступа к TPM снижает часть рисков, но подходит не всем. Linux обычно не отправляет данные TPM в облачную аттестацию Microsoft без отдельной настройки, однако сторонние программы при наличии прав все равно могут обратиться к чипу.

Радикальный способ сбросить аппаратную идентичность связан с заменой компонента, где находится TPM: процессора или материнской платы, в зависимости от конструкции устройства. Но даже новый ключ не гарантирует чистый старт. Вход в прежнюю учетную запись Microsoft, банковский профиль или другой сервис может снова связать новый компьютер со старой цифровой историей.
 
Источник новости
www.securitylab.ru

Похожие темы