Transcript TPM

LOGO
Windows 7 Mobile Protection
- Best Practices in using Bitlocker -
순천향대학교 정보보호연구실
이선호
[email protected]
2010. 5. 26.
목 차
1. 서론
2. TPM/MTM
3. Bitlocker
4. 결론
모바일 임베디드 시스템
2
LOGO
1. 서론
1. 서론
(단위:천)
모바일 시장의 발달
52,000
50,000
24,000
23,105
23,019
22,900
48,978
22,132
48,000
47,071
46,000
44,983
45,275
45,607
47,660
49,609
50,210
23,000
47,944
22,000
21,651
46,235
21,000
21,124
20,000
20,554
44,266
20,090
44,000
19,803
19,622
19,444
42,000
19,000
18,000
40,000
17,000
2008.03 2008.06 2008.09 2008.12 2009.03 2009.06 2009.09 2009.12 2010.03 2010.06 2010.09
이동전화
시내전화
모바일 임베디드 시스템
출처: 방송통신위원회
4
1. 서론 [계속]
세계 모바일 디바이스 종류별 수요 전망
모바일 임베디드 시스템
5
1. 서론 [계속]
모바일 플랫폼 별 점유율 전망
모바일 임베디드 시스템
6
1. 서론 [계속]
 Windows mobile 7
 2011년 5월 25일 윈도우 모바일 OS 망고(v7.5) 출시
•
•
•
•
음성자판
오피스 제품군 연동
HTML5 지원 모바일 익스플로러9
비전검색
 윈도우폰 시장점유율 2015년 말 20.9%로 급증, 아이
폰을 누르고 2위에 오를 것이라고 예상, IDC(2011)
모바일 임베디드 시스템
7
1. 서론 [계속]
 스마트 폰의 보안 위협
 스마트폰의 생활 밀착화
• 개인 정보 및 주요 정보의 저장 빈도 증가
 도난 및 분실로 인한 정보유출 가능성
사진
GPS 정보
금융 정보
업무관련 주요 정보
모바일 임베디드 시스템
8
LOGO
2. TPM
2. TPM
신뢰 컴퓨팅기술이란?
 컴퓨터가 당초 의도된 대로 동작할 수 있도록
신뢰성을 부과하는 기술
 하드웨어 기반의 보안칩인 TPM을 기기에 적
용하고 이를 위한 소프트웨어를 제공하는 기
술
모바일 임베디드 시스템
10
2. TPM
TCG(Trust Computing Group)
 신뢰 컴퓨팅 산업 표준을 개발하고 지원하기
위해 구성된 조직으로 현재 150개 업체들이
참여
 TCPA (Trusted Computing Platform
Alliance)
• IBM, Microsoft, Intel, HP, Compaq등 5개사가
1999년 10월 공동 설립
모바일 임베디드 시스템
11
2. TPM
TCG 적용 분야
Credentials
Application
Mobile
Phone
PDA
Storage
TCG Standard
Servers
Authentication
Devices
NoteBook
Input Devices
TPM
모바일 임베디드 시스템
DeskTops
12
2. TPM
 TCG 조직도
Board of Directors
Mark Schiller, HP, President and Chairman: Garth Hillman, AMD: Seigo Kotani, Fujitsu Ltd.
Ron Perez, IBM: Thomas Rosteck, Infineon: David Riss, Intel: David Challener, Lenovo:
David Wooten, Microsoft: Soft Rotondo, Sun: Bob Thibadeau, Seagate: Brian Beiger, Wave System
Marketing Work Group
Brian Berger, Wave
Systems
Public Relations
Anne Price,
PR Works
Events Marketing
Support
VTM, Inc.
Technical Committee
Graeme Proudler, HP
Advisory Council
Invited Participants
TPM Work Group
David Grawrock, Intel
Conformance WG
Simon Johnson, Intel
TSS Work Group
David Challener, Lenovo
PC Client WG
Monty Wiseman, Intel
Mobile Phone WG
Janne Uusilehto, Nokia
Infrastructure WG
Thomas Hardjono,
Wave Systems
Ned Smith, Inte
Peripherals WG
Suspended
Administration
VTM, Inc.
Compliance Program
Committee
Boris Balacheff, HP
Hans Brandl, Infineon
Hard Copy WG
Brian Volkoff, HP
Server Specific WG
Carey Husorft, HP
Floran Samson, BS
Hardcopy WG
Brian Volkoff, HP
TNC
Steve Hanna, Juniper
Paul Sangster, Symantec
Compliance WG
Geong Rank, Infineon
Steve Hanna, Juniper
Authentication WG
Jesus Molina, Fujitsu
Gerald Maunier, Gemalto
Virtualized Platform WG
Carey Husorft, HP
모바일 임베디드 시스템
13
2. TPM
Trusted Platform Module
 TCG에 의해 제정된 산업 표준 규격을 기초로
한 보안 칩(security chip)
 마이크로 컨트롤러, 암호 엔진, 표준 입출력
인터페이스, 안전한 메모리를 갖춤
 공개키, 디지털 인증서, 암복호, RNG, 인증,
보증, 민감한 데이터 보호 기능 제공
모바일 임베디드 시스템
14
2. TPM
TPM의 상세 하드웨어 구조
Non-Volatile
Storage
Volatile
Storage
Program
Code
Exec
Engine
I/O
Random
Number
Generator
SHA-1
Engine
Key
Generation
모바일 임베디드 시스템
RSA
Engine
Opt-In
15
2. TPM
 Non-Volatile Storage
• 비휘발성 저장소로서, SRK와 EK가 저장됨
• SRK(Storage Root Key)
– 스토리지 보안 체인의 시작점이 되는 키로서 TPM 외부에 저장된 키들을 보호하
기 위한 최상위 키
• EK(Endorsement Key)
– TPM을 식별하고 인증하는 키로서 각 TPM 고유의 유일한 키
 Volatile Storage
• 휘발성 저장소로서 PCR들과 AIK가 저장됨
• PCR(Platform Configuration Register)
– 8~24개로 구성
– 컴퓨터의 상태 정보를 저장
• AIK(Attestation Identity Key)
– 데이터에 대한 디지털 서명키
– 여러개를 생성하여 저장 및 사용할 수 있음
 Program Code
• TPM에 내장되는 코드를 저장
 Exec Engine
• 칩 운영체제와 TPM 명령어를 처리
모바일 임베디드 시스템
16
2. TPM
 Random Number Generator
• NIST SP 800-22 표준을 따르며 Triple-DES와 AES 키로 사
용하기 위한 128비트 혹은 256비트 난수를 생성
• Key generation 모듈에서 RSA 키 생성에 필요한 seed를 생
성하여 제공
 SHA-1
• FIPS 180-1 표준을 따르며, 160비트 해시 값을 생성
 Key Generation
• IEEE P1363 표준을 준수하며, 2048비트 RSA 키 쌍을 생성
 RSA Engine
• IEEE P1363 표준을 준수하며, 2048비트 키를 사용한 RSA
암ㆍ복호를 수행
 Opt-In
• TPM 칩의 특정 기능 접근 권한
모바일 임베디드 시스템
17
2. TPM
 TPM 특징
 Protected Storage 및
• TPM은 개념적으로 무제한의 protected storage를 제공하는 포
털의 역할을 수행
• 외부의 어떠한 공격으로부터 데이터, 키, 인증서 등을 안전하게
보호할 수 있는 저장 영역을 제공
– 특히 키 저장 및 관리 부분에 초점을 두고 있음
• 비밀 키를 TPM 칩 외부로 유출하지 않으면서 암ㆍ복호 및 서명
검증 기능을 수행하도록 설계됨
TPM
SRK
Signature Key
Arbitrary
Secret Data
Arbitrary
Secret Data
모바일 임베디드 시스템
18
2. TPM
 Shielded Locations
• 비밀 정보에 대한 봉인(seal) 기능
• 소프트웨어가 요구되는 특정 상태에 있을 때만 저
장된 비밀정보를 반환할 수 있도록 하는 기능
• TPM은 비밀 정보를 저장할 때 반환시 만족해야 하
는 상태 값을 생성하여 비밀 정보와 함께 저장
• 반환 요구 시 현재의 상태가 저장된 PCR 값이 일
치할 때에만 비밀 정보를 반환
모바일 임베디드 시스템
19
2. TPM
 Cryptographic Capabilities
• 스마트 카드나 보안 토큰과 마찬가지로 암호 알고
리즘 및 알고리즘에 사용되는 키에 대한 정보를 저
장하고 처리하는 기능을 담당
• 암호 가속을 위한 수단을 갖추고 있음
–
–
–
–
–
비대칭키 암호(2048bit RSA)
키 생성(RSA 키 쌍 생성 내장, 대칭키 생성)
해시(SHA-1, SHA-256)
RSA 서명
TRNG난수 생성
모바일 임베디드 시스템
20
LOGO
3. BitLockerTM
3. BitLocker
BitLocker 개요
 Microsoft의 운영체제인 Windows Vista에서 사
용되는 TPM 기반의 디스크 암호화 솔루션
 BitLocker는 TPM(Trusted Platform Module)을
사용하여 암호화를 수행하는데 256bit의
FVEK(Full Volume Encryption Key)로 AES암호
화를 통해 디스크를 보호
 FVEK는 TPM에 의해 보호되며 해당 TPM에 의해
서만 복호가능
모바일 임베디드 시스템
22
3. BitLocker [계속]
BitLocker의 암호화 동작
 BitLocker는 디스크 암호화를 위해 256bit의
대칭키를 사용
• SRK(Storage Root Key)
– TPM 저장소 암호 키 (2048bit, 공개키)
• VMK(Volume Master Key)
– FVEK 암호 키 (256bit, 대칭키)
• FVEK(Full Volume Encryption Key)
– 디스크 암호키 (256bit, 대칭키)
모바일 임베디드 시스템
23
3. BitLocker [계속]
SRK
System
Volume
VMK
FVEK
ESRK[?]
EVMK[?]
EFVEK[?]
SRK
VMK
FVEK
OS or DATA
모바일 임베디드 시스템
24
LOGO
4. 결론
4. 결론
모바일 단말의 안전한 사용환경 보장 필요
하드웨어 기반 보안 모듈 도입 본격화
해당 모듈을 활용한 다양한 서비스 모델의
개발 필요
모바일 임베디드 시스템
26
LOGO
[email protected]
참고자료
 Harry Waldron, “Windows 7 Mobile Protection Best Practices in using
Bitlocker”,https://msmvps.com/blogs/harrywaldro
n/archive/2010/05/22/windows-7-mobileprotection-best-practices-in-using-bitlocker.aspx
 “BitLocker Drive Encryption Security Policy”, MS
WhitePaper, 2008.
 TCG,https://www.trustedcomputinggroup.org
 박정숙 외, “Trusted Computing 기술 및 TCG 동향”,
ETRI, 2008.
모바일 임베디드 시스템
28