Mitől véd az Intel TXT, miért tiltja le a VT-x-et, és hogyan lehet beállítani?

 ( fejesjoco | 2013. március 5., kedd - 14:39 )

Van egy Lenovo T520-am, Intel TXT és VT-x képes procival (i5-2430M). Mindkettő be van kapcsolva a BIOS-ban, mégsem tudom a VT-x-et használni, mert pl. a Virtualbox szerint le van tiltva. Természetesen van rá sok fórum téma, VMware körökben is, és egyöntetűen azt javasolják, hogy kapcsoljam ki a TXT-t. Én ezt olyannyira elhiszem, hogy még ki se próbáltam, viszont felvet bennem egy csomó kérdést. Elég pofátlan dolognak tartom, hogy egy hasznosnak hangzó feature-t egyszerűen kikapcsoltatnak az emberrel, és még csak meg sem magyarázzák. Ja, és mellesleg Windows 7-et használok, Bitlockerrel, TPM-mel, talán kapcsolódik. Erről a TXT-ről csak marketing anyagokat találok, valami értelmes management szoftvert nem sikerült még, pedig jó lenne.

Mitől véd az Intel TXT? És mi bajom lehet, ha kikapcsolom?

Miért tiltja le a VT-x-et? Meg lehet neki mondani, hogy ezt az egy dolgot engedje?

Hogyan lehet beállítani? Létezik rá valami szoftver, amivel állítgathatom, hogy mit csináljon?

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

"Erről a TXT-ről csak marketing anyagokat találok"

Ezt erdemes elolvasni.

"Mitől véd az Intel TXT? És mi bajom lehet, ha kikapcsolom?"

Alapbol semmi ellen, arra ad lehetoseget, hogy hardveresen ellenorzott futasi kornyezeteket (MLE-ket) indits. Ha ilyeneket nem hasznalsz (es eleg valoszinu, hogy nem hasznalsz), akkor semmi bajod nem lesz, ha kikapcsolod.

"Miért tiltja le a VT-x-et? Meg lehet neki mondani, hogy ezt az egy dolgot engedje?"

A BIOS vendorod tiltotta le, hogy ne lehessen csak ugy "untrusted" hypervisort futtatni, helyette mindenkepp keresztul kelljen menni a txt-s ellenorzos jatekon. Onmagaban ennek sok ertelmet en sem latom (persze ettol meg lehet), de kiiktatni szerintem nem tudod.

"Hogyan lehet beállítani?"

Ezt ugy allitgatni, ahogy gondolod, nem lehet. Amivel esetleg interakcioba tudsz lepni vele, azok a tboot kulonbozo utiljai - de ezeknek nem sok ertelmuk van, ha magat a tboot-ot nem hasznalod.

--
"You're NOT paranoid, we really are out to get you!"

Tehát a Windows alatt nincs olyan, hogy X programot elindítok, és akkor az csinál egy MLE-t? Ha a Virtualbox nincs felkészítve a TXT-re, akkor nem fogom tudni rávenni sehogy sem, hogy a TXT bízzon benne? Marad a kikapcsolás, vagy sírhatok a Lenovonál.

--

"Tehát a Windows alatt nincs olyan, hogy X programot elindítok, és akkor az csinál egy MLE-t?"

Valahogy ugy. Amennyire en tudom, jelenleg csak a xen+tboot es a vmware esxi5 tamogatja.

"Ha a Virtualbox nincs felkészítve a TXT-re, akkor nem fogom tudni rávenni sehogy sem, hogy a TXT bízzon benne?"

Nem, mas a vmx es az smx utasitaskeszlet.

--
"You're NOT paranoid, we really are out to get you!"

Köszi!

--

ne lehessen csak ugy "untrusted" hypervisort futtatni, helyette mindenkepp keresztul kelljen menni a txt-s ellenorzos jatekon. Onmagaban ennek sok ertelmet en sem latom (persze ettol meg lehet), de kiiktatni szerintem nem tudod.

Szerintem ez az ilyen blue-pill jellegu malware-ek ellen van bevezetve. Ha valami a boot folyamatot tudja hijack-elni, akkor a VMX-et hasznalva elvileg egy kvazi VM-be tudja zarni az oprendszer futasat. Ahhoz, hogy ezt az allapotot belulrol ne lehessen felderiteni, a malware emulalhatja a TXT-t az oprendszer fele, hogy ugy tunjon, mintha a chain of trust vegig sertetlenul meglenne. Igy az egesz TXT csak placebo lesz.

VMX nelkul TXT-t emulalani viszont eleg problemas feladatnak tunik, minden bizonnyal full-blown binary translation-t igenyel es meg ezzel egyutt is a malware nem fog tudni az oprendszer elol teljesen elrejtett memoriat csinalni maganak -> az elvi lehetoseg megvan a leleplezesre.
---
Régóta vágyok én, az androidok mezonkincsére már!

"a malware emulalhatja a TXT-t az oprendszer fele, hogy ugy tunjon, mintha a chain of trust vegig sertetlenul meglenne. Igy az egesz TXT csak placebo lesz. "

Az oprendszer fele emulalhatja, de a TPM fele nem.

--
"You're NOT paranoid, we really are out to get you!"

En abbol az esetbol indultam ki, hogy a TXT BIOS-ban be van kapcsolva, de az oprendszer nem hasznal MLE-t, ilyenkor a TPM felol nem ellenoriz semmi hash-t. Ebben a konfiguracioban szerintem sebezheto a boot folyamat (persze nem jobban, mintha nem is lenne TXT).

Mondjuk alaposabban vegiggondolva azt nem ertem, hogy bekapcsolt TXT-vel miert enged egyaltalan bootolni, ha a bootloader hash-ei a TPM-be nincsenek benne?

Egy dolgot tudok elkepzelni, de javits ki ha tevedek, talan azellen ved a VMX tiltas, hogy az OS telepiteskor, tehat amikor az initial trust establishment megtortenik a bootloader es a TPM kozott, akkor mar ott figyeljen a malware es man in the middle-t jatsszon a TPM es az installer kozott. Bar a TPM-be gyarilag beegetett vendor kulcsoknak, mint kvazi trusted CA-nak kene mukodnie, es ennek meg kene fognia a man in the middle-t.
---
Régóta vágyok én, az androidok mezonkincsére már!

"Ebben a konfiguracioban szerintem sebezheto a boot folyamat."

Ha ugy nezzuk, igen, de a TPM nem fog kinyitni, ha nem csinaltad vegig a measured launch-t - es igy pl. nem fersz hozza az attestation key-ekhez sem.

"Mondjuk alaposabban vegiggondolva azt nem ertem, hogy bekapcsolt TXT-vel miert enged egyaltalan bootolni, ha a bootloader hash-ei a TPM-be nincsenek benne? "

Valahol ennek az egesz DRTM-dolognak az a lenyege, hogy barmikor tudsz MLE-t inditani fuggetlenul attol, hogy az aktualis allapot measured-e.
Egyebkent olyat egyik TCG-s technologia sem csinal, hogy "nem enged bootolni" - max. nem enged hozzaferni a TPM-es kulcsokhoz.

"talan azellen ved a VMX tiltas, hogy az OS telepiteskor, tehat amikor az initial trust establishment megtortenik a bootloader es a TPM kozott, akkor mar ott figyeljen a malware"

Marhogy hol "ott"? A hardverben vagy az install mediaban?

"Bar a TPM-be gyarilag beegetett vendor kulcsoknak, mint kvazi trusted CA-nak kene mukodnie"

Van ilyen a TPM-ekben? Amennyire en tudom, az egyetlen gyari beegetett dolog az endorsement key.

--
"You're NOT paranoid, we really are out to get you!"

meg ezzel egyutt is a malware nem fog tudni az oprendszer elol teljesen elrejtett memoriat csinalni maganak -> az elvi lehetoseg megvan a leleplezesre

Ennyire nem ideális/egyszerű a helyzet. SMM segítségével is megtehető ez, nem kell hozzá VMX.

Az ellen ved mar a txt? :)

--
"You're NOT paranoid, we really are out to get you!"