Módulo de Plataforma Confiable (TPM)

Questions and Answers

¿Cuál de los siguientes enunciados describe mejor la función del TPM (Trusted Platform Module)?

• Un chip de _hardware_ que proporciona funciones de seguridad. (correct)
• Un componente de software diseñado para acelerar el rendimiento gráfico.
• Una aplicación que gestiona las contraseñas del sistema.
• Un sistema operativo para dispositivos móviles.

El TPM (Trusted Platform Module) solo puede existir como un chip físico soldado a la placa base de la computadora.

False (B)

¿Cuáles son los tres elementos que, según el contenido, garantizan la integridad de un sistema?

TPM, firmware y sistema operativo

¿Cuál de las siguientes opciones describe un servicio que proporciona el TPM a nivel lógico (software)?

Generación y almacenamiento de claves criptográficas. (B)

Para que Windows 11 funcione, es necesario que el sistema cuente con un ______.

TPM

Asocie las siguientes versiones de Windows con sus ediciones compatibles con TPM:

Windows 11 = Pro, Enterprise y Education Windows 10 = Pro, Enterprise y Education Windows 8.1 = Pro y Enterprise Windows 7 = Ultimate y Enterprise

¿Cuál es la función principal del 'Arranque Seguro' ('Secure Boot')?

Impedir que se cargue software malicioso durante el inicio del dispositivo. (B)

El cifrado de datos con BitLocker protege la información solo cuando el dispositivo está encendido y en uso.

False (B)

¿Dónde se almacenan las bases de datos de arranque seguro en el equipo?

En la RAM no volátil (NV-RAM) del firmware. (A)

BitLocker utiliza el cifrado ______ (Advanced Encryption Standard) para proteger los datos.

AES

Flashcards

¿Qué es TPM?

El TPM es un chip de hardware que proporciona funciones de seguridad en un ordenador o dispositivo.

¿Qué hace el TPM?

Genera y almacena claves criptográficas, cifra y descifra datos, verifica la integridad del sistema.

¿Qué tipos de TPM existen?

fTPM (Firmware TPM), vTPM (TPM Hypervisor) y TPM por Software.

¿Por qué Windows 11 necesita TPM?

Garantiza un nivel adicional de seguridad protegiendo la integridad del sistema y la confidencialidad de la información.

¿Qué servicios lógicos ofrece el TPM?

Generación y almacenamiento de claves, medición de integridad y ejecución segura de código.

¿Qué es Arranque Seguro?

Es un estándar de seguridad que asegura que un dispositivo arranque solo con software de confianza

¿Para qué sirve el Cifrado de Datos?

Archivos están protegidos de accesos no autorizados si el dispositivo se pierde o es robado

¿Qué es BitLocker?

BitLocker cifra los datos almacenados en el HDD externo, protegiéndolos de accesos no autorizados.

¿Por que usar BitLocker para discos externos?

SSD = Mayor rendimiento; HDD externo = Protección de datos valiosos.

¿Qué debes definir al cifrar con BitLocker?

Elige dónde guardar la clave de recuperación y el modo de cifrado a utilizar.

Study Notes

Seguridad del Dispositivo

• El Módulo de Plataforma Confiable (TPM) es un chip de hardware para funciones de seguridad en computadoras y dispositivos modernos.
• El TPM es una parte crucial de la seguridad en los sistemas modernos.
• El TPM se encarga de generar y almacenar claves criptográficas
• El TPM realiza operaciones de cifrado y descifrado.
• El TPM verifica la integridad del sistema.
• Ayuda en la autenticación y protección de datos sensibles, contraseñas y certificados digitales.
• Es parte de la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC).
• Forma parte de los tres elementos que garantizan la integridad del sistema, junto con el firmware y el sistema operativo.
• Se usa para validar el licenciamiento de software.

TPM Físicamente

• El TPM es un chip integrado en la placa base que almacena claves y realiza operaciones criptográficas.
• El TPM puede estar soldado en la placa base o integrado en un chip separado.
• Existen las siguientes implementaciones de TPM:
  • fTPM: Firmware TPM integrado en el BIOS/UEFI.
  • vTPM: TPM Hypervisor, que incluye software para entornos virtuales.
  • TPM por software.

TPM Lógicamente

• El TPM proporciona funcionalidades y servicios a nivel de software.
• Los servicios del TPM incluyen la generación y almacenamiento de claves criptográficas.
• Los servicios del TPM miden la integridad del sistema operativo y la ejecución remota de código seguro.

TPM y Windows 11

• Windows 11 requiere un TPM para su funcionamiento, siendo una de las especificaciones mínimas necesarias.
• La presencia del TPM garantiza un nivel adicional de seguridad al proteger la integridad del sistema y la confidencialidad de la información.
• El TPM es un componente fundamental de hardware y software para la seguridad y el funcionamiento de Windows 11.
• El TPM proporciona una capa adicional de protección física y también a través de sus funcionalidades lógicas.
• El acceso al TPM se puede realizar ejecutando tpm.msc.

TCG (Trusted Computing Group)

• Es un consorcio de más de 200 empresas de la industria de tecnologías de la información y comunicación.
• El TCG desarrolla, define y promueve especificaciones abiertas de hardware para la computación confiable.
• Se creó en 2003 como sucesor del Trusted Computing Platform Alliance (TCPA).

PPP (Platform Profile Parameters)

• Estos parámetros son detalles de una versión de perfil TPM.
• Describen cómo se configura y se comporta un TPM en un sistema.
• Los perfiles definen parámetros y configuraciones que determinan las capacidades y el comportamiento del TPM.
• El TCG establece especificaciones y perfiles para los TPM, y estos perfiles varían según las necesidades del sistema o la aplicación.

Aislamiento del Núcleo

• Vincula tres aspectos: integridad de la memoria, protección de acceso a la memoria y la lista de bloqueo de controladores vulnerables de Microsoft.
• Revisa la incompatibilidad de controladores en la memoria.
• La protección de acceso a la memoria se realiza a través de la MMU (IOMMU) para evitar ataques de DMA.
• Se consideran puertos como Thunderbolt, USB4 y CFexpress.
• Permite conectar periféricos externos como tarjetas gráficas con facilidad "plug-and-play" vía USB.
• Los dispositivos son compatibles con DMA y acceden a la memoria del sistema sin intervención del procesador.
• Esta funcionalidad es la razón del rendimiento excepcional de los dispositivos PCI.
• La protección contra DMA de kernel no protege contra ataques DMA a través de 1394/FireWire, PCMCIA, CardBus o ExpressCard.

Arranque Seguro

• Es un estándar de seguridad para asegurar que un dispositivo sólo arranque con software de confianza del fabricante (OEM).
• Al iniciar el equipo, el firmware comprueba la firma de cada parte del software de arranque, incluyendo controladores UEFI, aplicaciones EFI y el sistema operativo.
• Si las firmas son válidas, el equipo arranca y el firmware proporciona el control al sistema operativo.
• El OEM puede usar las instrucciones del fabricante del firmware para crear claves de arranque seguro (Secure Boot) y almacenarlas en el firmware del equipo.
• Al agregar controladores UEFI, también debe asegurarse de que estén firmados e incluidos en la base de datos de arranque seguro.
• El OEM almacena las bases de datos de arranque seguro en la RAM no volátil (NV-RAM) del firmware en la fabricación.
  • Base de datos de firma (db)
  • Base de datos de firmas revocadas (dbx)
  • Base de datos de clave de inscripción de claves (KEK).

Proceso de Arranque Seguro en Windows

• Una vez activado el equipo, las bases de datos de firma se comprueban con la clave de plataforma.
• En caso de que el firmware no sea de confianza, el firmware UEFI debe iniciar la recuperación específica del OEM para restaurar el firmware a uno de confianza.
• Si hay un problema con el Administrador de arranque de Windows, el firmware trata de arrancar una copia de seguridad. En caso de fallo, inicia una corrección del OEM.
• Si después de ejecutarse el Administrador de arranque de Windows, hay un problema con los controladores o el kernel de NTOS, se carga el Entorno de recuperación de Windows (Windows RE).
• Windows carga software antimalware.
• Windows carga otros controladores de kernel e inicializa los procesos de modo de usuario.

Cifrado de Datos

• Se puede acceder al cifrado de datos a través del panel de control.
• Esto tambien se puede de forma directa con clic derecho la unidad que desee aplicar BitLocker desde el explorador de windows.
• Es necesario establecer una clave de seguridad para acceder a la información de la unidad.
• Para desactivar BitLocker, se debe dar clic en la opción correspondiente.

BitLocker en Unidades Extraíbles con Contraseña

• Al cifrar una unidad extraíble, el primer paso es definir los mecanismos de desbloqueo.
• La contraseña es un mecanismo de seguridad, al igual que las tarjetas inteligentes (ej. YubiKey).
• Microsoft tiene documentación para tarjetas inteligentes.

Como Activar BitLocker en una Unidad sin Cifrado

• En las imágenes se puede observar que la partición C (SSD) no tiene activado el cifrado BitLocker.
• Por lo tanto, se procede a activarlo para mejorar la seguridad.
• La unidad D (es extraíble - externa) sí tiene activado el BitLocker.
• El primer paso es definir cómo se va a guardar la clave de recuperación.
• Se selecciona "Guardar en un archivo" .
• Pero debe ser en una unidad que no sea la misma unidad y NO DEBE ESTAR CIFRADA.
• Por eso muchas empresas prefieren seleccionar imprimir la clave y guardarla en cajas de seguridad o sistemas de gestión documental top secret.
• El número que puedes observar en el nombre del archivo es el IDENTIFICADOR del HDD o SDD al cual se le está aplicando el BitLocker.
• Esto es importante para poderlo identificar en caso de recuperación y así los clasifica MICROSOFT en su cuenta de internet asociada en su equipo.
• El archivo/documento contiene la siguiente información: Identificación de la unidad encriptada, la clave de recuperación y el enlace a la gestión, a través de la cuenta MICROSOFT.
• Los últimos pasos son establecer la cantidad de cifrado que se desea aplicar y el mecanismo de cifrado (XTS-AES, más seguro).

Características de BitLocker

• Protección de datos: Cifra los datos almacenados, protegiéndolos para que sólo se acceda con la contraseña o la clave de recuperación correctas.
• Cifrado de unidad completa o cifrado de disco: Cifra la unidad completa o solo una parte. Si se cifra la unidad por completo todos los datos y ficheros están protegidos. Utiliza el cifrado AES.
• Almacenamiento de la contraseña: Se almacena de forma segura en el archivo FVEMetadata, mediante técnicas avanzadas de cifrado.
• Funcionamiento: Al conectar el disco duro a un equipo que no es el propio, BitLocker solicitará la contraseña para permitir el acceso. Desbloqueado el HDD, los procesos de lectura y escritura son transparentes para el usuario.
• Clave de recuperación: BitLocker ofrece una clave de recuperación generada durante el proceso de cifrado, que permite acceder a los datos en caso de emergencia. Es importante almacenarla en un lugar seguro y accesible.
• Cada vez se conecte un HDD externo que tenga BitLocker con el equipo solicitará la clave de acceso.