> Как политика настроена, тому и выдаётся. Можно и кому попало, а можно
> только в случае совпадения измерений системы.

Во этом всем я вижу как минимуму 1 небольшой нюанс: вроде бы ниоткуда не следует что произвольная активность атакующего всенепременно обязана эти измерения сбивать.

А если атакующий к тому же шарахается с правами рута - он на типовой системе сможет косплеить бога и раму по физическим адресам дампить с полным оверрайдом всех правов, фактические ключи шифрования диска сольет влет.

> Поменял критические компоненты - измерения тоже поменялись.

Как показал САБЖ может получиться что менять ничего и не надо... а откуда бы обратное в обязаловку следует?

> Я вижу только один недостаток - мне приходится верить на слово производителю
> TPM-чипа, что там нет секретной инструкции "откройте, ФБР!".

Ну да. Он в очень удобном месте - может прихранить все измерения, секреты и проч для "vendor cmd" например. Да и вот кому попало диск при случае разблокирует на раз.

> Но от этого спасает разделение секрета на части - одна в TPM, другая на
> бумажке, третья на удалённом сервере с вайтлистом по IP.

А TPM в этом случае вообще зачем? Чтобы деньги по приколу потратить, а потом еще вот так под дых получить?

> И в таком виде с TPM становится лучше, чем без него.

Как по мне - в секурити ложные ожидания до добра не доводят.

>> Может тогда пароль на бумажке под клавиатурой стоило хранить?
> Подход с бумажкой не масштабируется и не защищён от подмены сервера.

Зато это ssh какой поймает. А если они от и до перекатали образ, вплоть до ключа ssh - так, окей, а защищаем мы тогда что и от кого? Или как вон там - просто обошли и пошли дальше?

> Кому не надо, те могут не использовать. Большинство пользователей Windows не умеют
> проверять подлинность своей системы, а обновлять её всё равно как-то надо.

Пользователям винды лучше привыкнуть к мысли что безопасно им не будет. И не формировать себе ложные ожидания, во избежание залета. Если кто не понимает как это работает, думает что добрые дяди ему ЗБС сделают и проч - он нарывается и сильно. И если было что скрывать - залетит.

> Кому надо не для Windows, те могут свои db и dbx загрузить, выкинув ключи от MS.

И как я в мутной блобвари без сорца должен проверить что оно и правда сделало вот именно это, что других ключей и прочих AWARD_SW там нет и проч? Или я должен развесить уши - и как раз когда расслаблюсь - получить ножик в спину? :)

> Так всё равно сам чип от той же фирмы и закрытый.

Ну вот лично я этой фирме вообще совсем и не доверяю. Да и амд с момента внедрения PSP - тоже. Во избежание формирования ложных ожиданий и залета на этом основании.

> А даже если бы был открытый, то провалидировать отсутствие в нём бэкдора
> почти нереально. Разницы никакой.

Ну как нереально. Есть немало чип-лаб изучающих что, где, как и проч. С спеками это заметно проще.

>> А, поверить джентльменам на слово?!
> Аналогично предыдущему пункту. Если нет доверия Intel,

За кого вы меня принимаете, доверять господам оставившим самый сильный ключ платформы себе?!

> то зачем вставлять его процессоры в сокет своей системы? Мастерключ тут - не подписи,
> а исходники самого чипа.

В данном случае - тот факт что система "лишена девственности" прямо с фабы и там вшит ключ ее настоящего хозяина, так что всегда можно takeover сделать, от и до - говорит за себя сам. Как-то так. И "доверять" такому венДЫРю может только отбитый на весь мозг, имхо.

>> Если завтра что-то пропатчат - вы об этом если и узнаете то далеко не сразу.
> Чтобы пропатчить ME, надо патч во флеш-память записать. SPI замотивированный пользователь
> всё ещё может контролировать.

Это чтобы перманентно пропатчить. А что оно там по факту умеет и не догрузит ли по сигналу снаружи бонусы в RAM - большой вопрос! Это каждый ROM - и все что он грузит - надо аудитить от и до. Мадам Руткитская намекает что ей удалось вгрузить код в RAM ME, они назвали это "Ring -3". Когда x86 код в раме ME вообще не может даже и увидеть то, ME более привилегированная штука. И DMA могет. При том заметьте, это ПРОДЕМОНСТИРОВАНО было.

>> А тот кто дизайнил эти булшит-спеки уж точно атакующим быть не умел.
> Что именно в спеке TCG TPM 2.0 вызывает проблемы?

Ну вот например сабжевое поведение выглядит как кусок бреда. Да и в целом - "корпоративный оверинжениринг, бессмысленный и беспощадный". Когда все сложно, гиморно и - неэффективно.

> можно сделать открытую реализацию - свободные эмуляторы TPM вполне существуют, и
> их можно использовать, если запускать их на отдельной машине с SPI
> или LPC-интерфейсом до целевой.

Ну как бы "можно сделать" не отменяет того факта что по дефолту троянский булшит. И UEFI той же проблемой страдает. Бонусом идет в комплекте с господами которые охотно ломают только загрузку линуха. А если ключи сперли, не, мы виндочке обламывать загрузку не будем - что вы! Такая вот "безопасность" по факту получается. Малварщики разумеется возьмут вон тот ключ и выпишут себе что хотели. Или что-то несекурное подписаное, они ж на результат работают.