| |
|
| Torek, 04. November, 2025 ob 18:15:50 |
  |
Windows 11 - Varnost
Če uporabljate Windows 11, ima vaš računalnik čip TPM (Trusted Platform Module različice 2.0), ki je zdaj potreben za delovanje najnovejšega Microsoftovega operacijskega sistema. Čeprav je predstavljen kot varnostna funkcija, nedavna razkritja kažejo, da ta čip briše vašo zasebnost in potencialno postaja orodje nadzora. Ta članek podrobneje obravnava čip TPM in njegovo povezavo z Microsoftovimi storitvami v oblaku.
Ko varnost postane grožnja zasebnosti
Težava se je začela po nakupu novega prenosnika Lenovo ThinkPad X1 Carbon Gen 13 z operacijskim sistemom Windows 11. Kot mnogi uporabniki se je poskus namestitve sistema z dvojnim zagonom z distribucijo Ubuntu Linux spremenil v nočno moro. Po uspešni namestitvi Ubuntuja se je z onemogočanjem možnosti Secure Boot (običajen postopek za razvijalce, ki uporabljajo nepodpisane zagonske nalagalnike) zgodilo nekaj nepričakovanega – celoten disk se je zaklenil. Particija Ubuntu je postala nedostopna, zagonski nalagalnik GRUB se je izbrisal in edini način za obnovitev je bil prenos obnovitvenega USB-ja Lenovo in ponovno formatiranje trdega diska, kar je povzročilo izgubo vseh podatkov.
Razlog za ta katastrofalni scenarij je v tem, da je BitLocker zdaj samodejno omogočen v računalnikih Copilot Plus in vgrajen v čip TPM. BitLocker je zasnovan za delo s funkcijo Window Recall, vendar so posledice bolj daljnosežne, kot Microsoft javno priznava.
Digitalna identiteta in ključ za potrditev
Ko se je pogon zaklenil, je zagonski nalagalnik ponudil možnost obnovitve z Microsoftovim računom na aka.ms/bitlockerrecovery. Čeprav je uporabnik med namestitvijo namerno izbral lokalni račun, je sistem zaht identifikacijo z Microsoftovim računom. Po prijavi je sistem prikazal ime naprave, 48-mestni obnovitveni ključ BitLocker in potrditveni ključ čipa TPM (EK) – edinstven 2048-bitni javni ključ RSA.
Ta potrditveni ključ predstavlja trajno digitalno identiteto vašega računalnika. Tovarniško je kodiran v čip TPM in ga ni mogoče spremeniti. Ko uporabite BitLocker, ta potrditveni ključ postane vaš digitalni potni list, neizbrisno povezan z vašim Microsoftovim računom, storitvijo Windows Hello in vsemi storitvami v oblaku, ki uporabljajo Microsoftove API-je za dostop do TPM.
Microsoft trenutno široko uporablja EC za obnovitev BitLockerja, storitve v oblaku in sisteme proti goljufijam v igrah, kot sta Valorant in Fortnite. Vendar je ključnega pomena razumeti, da Microsoft razkriva odprt API, ki omogoča kateri koli aplikaciji s skrbniškimi pravicami dostop do TPM-ja in odkrivanje potrditvenega ključa. Za razliko od iPhona, kjer lahko samo Apple, Google in vaš operater preberejo edinstveni identifikator naprave, lahko v računalniku z operacijskim sistemom Windows 11 katera koli aplikacija s skrbniškimi pravicami pridobi vaš EC.
Kriptografija in PCP v oblaku Microsoft
Microsoftov ponudnik kriptografskih storitev platforme Microsoft (PCP) je vrsta ponudnika kriptografskih storitev, ki usmerja vse operacije TPM prek Microsoftovega oblaka. Ne gre le za gonilnik, temveč za storitev v oblaku. Microsoft ponuja API za aplikacije, s katerim lahko komunicirajo z varnostnimi funkcijami čipa TPM, vendar se vse to dogaja prek Microsoftovega oblaka.
To pomeni, da Microsoft pozna vsako varnostno interakcijo, vključno z uporabo funkcije Windows Hello, zagonom računalnika z BitLockerjem ali interakcijo s katero koli aplikacijo, ki uporablja Microsoftove varnostne funkcije, kot so aplikacije za igre. Ko ustvarite ključ s PowerShellom, je ta ključ zapečaten v modulu TPM in registriran na Microsoftovih strežnikih v oblaku.
PCP razkriva različne API-je, vsak klic pa poteka skozi Microsoftovo infrastrukturo za preverjanje pristnosti. Microsoft lahko tako zgradi bazo podatkov vseh naprav Windows 11 in spremlja uporabo teh ključev.
Registri konfiguracije platforme (PCR)
Druga problematična lastnost se nanaša na registre konfiguracije platforme (PCR). Ti registri so mehanizem za spremljanje strojne opreme in beleženje konfiguracije v TPM, ki jo je mogoče dostopati na daljavo in lokalno prek zagonskega nalagalnika.
TPM ob vsakem zagonu izmeri vašo strojno opremo in shrani informacije v PCR-je. Ob vsakem zagonu lahko zagonski nalagalnik preveri določene značilnosti na podlagi izbranega PCR-ja. PCR1 je še posebej problematičen in vključuje mikrokodo procesorja, vdelano programsko opremo matične plošče, pogon NVME, UUID-je in GUID-je particij.
Ko uporabnik zamenja pogon SSD, se UUID pogona spremeni. TPM opazi neujemanje pri preverjanju PCR1, kar sporoči zagonskemu nalagalniku sistema Windows 11, naj prevzame nadzor in izbriše zagonski nalagalnik GRUB. To ni napaka, temveč namerna zasnova, ki otežuje uporabo konfiguracij z dvojnim zagonom.
Oddaljeno potrjevanje
Najbolj problematičen vidik je možnost oddaljenega overjanja. Z uporabo Microsoftove storitve PCP lahko katera koli aplikacija na daljavo preveri vaš TPM in prejme podpisano ponudbo PCR. Aplikacija pokliče »Pridobi ponudbo za overjanje TPM«, TPM podpiše vse PCR-je s ključem za identifikacijo overjanja, ta ponudba pa se pošlje Microsoftovi storitvi v oblaku, imenovani Azure Attestation Service.
Microsoft nato vrne informacije, kot so »ta naprava uporablja Windows 11 24H2«, »ta naprava ima omogočen varen zagon« ali »ta naprava nima zagonskega nalagalnika Linuxa«. Ta funkcija je že aktivna prek preverjanja zdravja naprave Windows in jo lahko uporablja vsaka aplikacija.
Na primer, bančna aplikacija lahko preveri, ali uporabljate Linux, zahteva potrditev, vidi, da PCR4 vsebuje podpis GRUB, in nato zavrne prijavo. Google naredi podobno v sistemu Android z API-jem Play Integrity, kjer nekatere bančne aplikacije v Evropi ne bodo delovale, če ne uporabljajo Googlove potrditve. Microsoft gradi enako zmogljivost za osebne računalnike.
Ali lahko Microsoft vidi vse?
Odgovor je pritrdilen. Vsakič, ko uporabite BitLocker, se prijavite v Windows Hello, uporabite potrdilo, zaščiteno s TPM, ali zaženete funkcijo Copilot PC, se vaši EC in PCR-ji pošljejo Microsoftu. Ni jim treba vdreti v vaš računalnik, ker jim podatke pošiljate sami.
Za aplikacije, ki zahtevajo storitve Microsoft Attestation, se boste morali prijaviti z Microsoftovim ID-jem, saj lokalni račun ni zadosten. Vse postopke potrjevanja mora podpisati in potrditi Microsoftov PCP. Microsoft je tako postal posrednik v vseh pomembnih procesih vašega računalnika.
Windows Copilot in umetna inteligenca, ki nikoli ne pozabi
Windows Recall naredi posnetke zaslona vsake 3 sekunde in shrani analizo v šifrirane podatkovne baze SQLite. Ali lahko uganete, kaj jih šifrira? Točno TPM. Razlog, zakaj potrebujejo TPM in BitLocker za šifriranje, je, da se lahko vaše vedenje beleži, vaša identiteta se lahko poveže s TPM in vaša konfiguracija se lahko potrdi.
Microsoft trdi, da nas ni treba skrbeti, ker je vse lokalno, vendar ni tehnične ovire za pošiljanje navodil pomočniku umetne inteligence za skeniranje vaše baze podatkov in poročanje o ugotovitvah na centralno lokacijo. Apple je to že dokazal z Neural Hash, kjer je skeniral fotografije in jih primerjal z vnaprej določenimi vrednostmi zgoščevanja.
Microsoft lahko stori enako, Windows Recall pa je veliko bolj zmogljiv. Z današnjimi modeli LLM lahko Copilotu preprosto naročimo, naj "povzemi vedenje uporabnika v preteklem tednu" – ali je obiskal forume o zasebnosti, iskal, kako onemogočiti TPM, odprl Tor itd.
Veriga nadzora
Ko vse elemente združimo, dobimo popolno verigo skrbništva. Z Microsoftovim ključem in trajnim potrditvenim ključem TPM imate neizogibno identiteto. Prek PCR-jev lahko aplikacije zahtevajo zelo specifične konfiguracije vašega sistema, vse pa potrdi potrjenega TPM-ja. Poleg tega je mogoče vaše vedenje spremljati prek Microsoftovega odpoklica in Copilota.
Naslednji korak bi lahko bil blokiranje uporabnikov s pravili, če vas želijo izključiti – nekakšno digitalno »debanking« 2.0. Spomnimo se, da sta v Veliki Britaniji Nigel Farage in v Kanadi voznika tovornjakov zaradi svojih političnih stališč ostala brez dostopa do bančnih računov. Na Kitajskem nizka družbena ocena pomeni, da ne moreta uporabljati storitve WeChat, njunega glavnega načina plačila. Zdaj podobna dovršena infrastruktura obstaja tudi na Zahodu.
Kako se zaščititi?
Ni vam treba igrati te igre. Edini način za zmago je, če trg reče "ne" in se moramo mi kot potrošniki odločiti, da ne želimo tega, kar nam je vsiljeno. Tukaj je nekaj pomembnih priporočil:- Ne uporabljajte sistema Windows 11 kot primarnega operacijskega sistema. Ostanite na sistemu Windows 10 in ga zaženite v virtualnem računalniku ali pa njegovo uporabo omejite na minimum. Za vse ostalo uporabljajte Linux.
- Onemogočite ali ponastavite TPM, vendar bodite previdni. Ključa potrditve (EK) ni mogoče spremeniti, ker je tovarniško kodiran v TPM. Noben API, nastavitev BIOS-a ali ukaz za brisanje TPM ga ne bi nikoli spremenil. ;
- Lahko:onemogočite TPM v BIOS-u (priporočeno) – na Lenovo ThinkPad to pomeni ponovni zagon, pritisk tipke F1, odpiranje možnosti Varnost, Zaupanja vredno računalništvo, nastavitev stanja TPM na »onemogočeno« ter shranjevanje in izhod. BitLocker bo začasno ustavljen in nekatere aplikacije, kot je TurboTax, se morda ne bodo zagnale.
- Ponastavite lastništvo TPM, vendar le, če se nikoli več ne prijavite v Microsoft. V PowerShellu zaženite ukaz »Clear-TPM« s skrbniškimi pravicami. S tem odstranite lastništvo TPM, izbrišete ključe identitete za potrditev in razveljavite zaščite BitLocker. Če pa se znova prijavite z istim Microsoftovim računom, bo Microsoft prebral vaš ključ EK in vse znova povezal, ker je ključ EK tovarniško vpisan. Edini način za trajno prekinitev verige je ponastavitev TPM, ustvarjanje lokalnega računa, nikoli večna pri z Microsoftovim računom, začasna ustavitev BitLockerja in uporaba drugega računalnika za Microsoftove storitve.
- Nikoli ne uporabljajte vgrajene umetne inteligence. Izogibajte se Copilotu, Apple Intelligence in Google Gemini. Na računalnikih uporabljajte Linux, na telefonu pa operacijski sistem, ki je bil odstranjen iz Googla. Vgrajeno umetno inteligenco nadzoruje nekdo drug, medtem ko je lokalna umetna inteligenca, ki jo namestite sami, pod vašim nadzorom.
- Bojkotirajte aplikacije, ki uporabljajo potrjevanje. Če banka uporablja potrjevanje, zamenjajte banko. Če vladne službe uporabljajo potrjevanje, zahtevajte alternative. Zapustite družbena omrežja, ki ga zahtevajo.
Bodite previdni
To ni prihodnost, to je sedanjost. Vsak nov računalnik je opremljen z obveznim TPM 2.0, samodejno omogočenim BitLockerjem in Copilotom, ki spremlja vaše dejavnosti. Niste uporabnik, ampak izdelek. Onemogočite TPM, preklopite na Linux in zavrnite pomočnika umetne inteligence, ker se bo vaš računalnik jutri morda odločil, da se ne smete prijaviti.
Današnji svet kibernetske varnosti se pogosto spopada z zasebnostjo. Kdor koli določa pravila za kibernetsko varnost – v tem primeru velika tehnološka podjetja – morda nima enakih prioritet kot vi. Njihova kibernetska varnost lahko pomeni vašo izgubo zasebnosti, TPM pa je odličen primer tega. Namesto da bi zaščitil uporabnika, je postal orodje za spremljanje, nadzor in morebitno omejevanje vaše svobode v digitalnem svetu.
|
 Komentarji 0Trenutno ni komentarja na na ta članek ... ...
OPOMBA: Newsexchange stran ne prevzema nobene odgovornosti glede komentatorjev in vsebine ki jo vpisujejo. V skrajnem primeru se komentarji brišejo ali pa se izklopi možnost komentiranja ...
|
|
|
|
Galerija:
| |
Mediji
Torek, 04. November, 2025 ob 18:15:50 
146 ogledov, 
0 komentarjev
