Reporte

Seguridad y beneficios de Trusted Platform Module de Microsoft

Este consejo detalla la especificación TPM, qué beneficios pueden esperar las empresas respecto a la seguridad de TPM y las desventajas potenciales.

La seguridad de la información está inundada con una variedad de ataques dirigidos a cualquier cosa, desde navegadores Web hasta procesos de autenticación y software de Adobe. Defender una superficie de ataques tan grande puede llevar a su límite aún a los más sólidos y experimentados equipos de seguridad empresarial.

Lo que tal vez muchos profesionales de la seguridad no se dan cuenta es que existe una poco utilizada herramienta de defensa que ha estado bajo sus narices por años: el módulo de plataforma de confianza (TPM, o Trusted Platform Module).

Publicado por el grupo internacional de estándares de la industria Trusted Computing Group (que incluye a proveedores de la talla de Microsoft, Intel y Hewlett-Packard), la especificación TPM detalla lo que es esencialmente un criptoprocesador seguro que puede almacenar claves criptográficas. TPM se publica bajo la norma ISO/IEC 11889, aunque TPM 2.0 está actualmente en desarrollo y se espera que cuente con la certificación FIPS 140-2 o 140-3. A diferencia de muchas otras opciones de defensa de seguridad de la información, TPM está integrada en muchos de los actuales dispositivos informáticos de punto final, lo que proporciona una variedad de beneficios y peligros potenciales.

En este consejo, detallaremos la especificación TPM, qué beneficios pueden esperar las empresas respecto a la seguridad de TPM y las desventajas potenciales de la especificación.

Mejorando la seguridad empresarial con dispositivos TPM

Millones de dispositivos actuales –desde computadoras hasta teléfonos móviles e incluso sistemas de automotores– contienen un criptoprocesador de módulo de plataforma de confianza. Estos circuitos integrados de seguridad, por lo general instalados en la tarjeta madre del dispositivo, proporcionan cifrado basado en hardware y funciones relacionadas con la seguridad, como la comprobación de la integridad del sistema, la encriptación de disco y gestión de claves, todos a la velocidad de la máquina.

La función principal del TPM es habilitar seguridad robusta en el dispositivo utilizando claves de cifrado válidas y seguras. En el corazón de la funcionalidad TPM se encuentra la clave de aprobación, que es una clave de cifrado que se quema en el hardware de TPM durante la producción. La parte privada de la clave de aprobación nunca se libera de la TPM o se expone a algún otro componente, software, proceso o persona. Otra clave fundamental, la clave raíz de almacenamiento, también se almacena en el TPM; se utiliza para proteger claves de TPM creadas por otras aplicaciones, de modo que sólo pueden ser descifrados por el TPM a través de un proceso llamado unión (binding) puesto que bloquea los datos en el dispositivo. A diferencia de la clave de aprobación, se crea la clave raíz de almacenamiento cuando un dispositivo TPM se inicializa por primera vez o un nuevo usuario toma posesión.

Como un TPM utiliza su propio firmware interno y circuitos lógicos para el procesamiento de instrucciones, está libre de ataques basados ​​en software contra el sistema operativo, lo que significa que puede proporcionar una protección mejorada para los procesos que necesitan servicios de cifrado. Aplicaciones de cifrado de disco completo, como BitLocker Drive Encryption de Microsoft y SecureDoc de WinMagic, utilizan TPM, mientras que las claves asociadas con la huella digital y los lectores de tarjetas inteligentes utilizadas en la autenticación de dos factores se pueden almacenar en el chip TPM.

Además de la generación y el almacenamiento seguro de claves criptográficas, un TPM también puede registrar el estado de un sistema a través de un mecanismo denominado registros de configuración de plataforma (PCR). Esto permite que la TPM ofrezca una verificación de integridad del sistema previa al arranque, también conocido como certificación a distancia, que es una poderosa herramienta de protección de datos. Mediante el almacenamiento de las claves de cifrado de datos en el TPM junto con una referencia a un estado de PCR específico, los datos se pueden sellar con eficacia. El sello de las claves solamente se rompe y para liberarlas una vez que el estado del sistema se valida contra los valores almacenados de PCR, lo que garantiza que los sistemas sólo se pueden acceder si se cumplen las condiciones específicas de hardware o de software.

La certificación remota también se puede utilizar para auto-curar un sistema. Por ejemplo, cuando un Google Chromebook está encendido, el TPM mide el BIOS. Si hay una discrepancia entre esta medida y los valores de PCR, el Chromebook retrocede al último estado conocido de confianza antes de continuar con el arranque, reduciendo en gran medida el riesgo de que los datos de un dispositivo puedan ser comprometidos por el robo físico o un ataque de software.

La clave de aprobación única de dispositivos TPM también significa que puede utilizarse para autenticar un dispositivo en lugar de un usuario. Esta funcionalidad se puede combinar con cualquiera de los puntos de aplicación de políticas de red compatibles con 802.1x, como firewalls, switches y ruteadores para proporcionar autenticación basada en hardware. Las redes inalámbricas y redes privadas virtuales también pueden configurarse para realizar la autenticación basada en hardware. El uso de los servicios de seguridad a nivel de hardware proporciona una mejor protección que un mecanismo de solo software; un informe de 2012 realizado por Aberdeen Group Inc. encontró que las organizaciones que utilizan este sistema de certificación para crear una raíz hardware de confianza tenían 50% menos de incidentes de seguridad. Teniendo en cuenta los beneficios de la seguridad TPM, es sorprendente que los chips TPM no sean más ampliamente utilizados y apreciados.

TPM no es una panacea

Al igual que con otros métodos de seguridad de la información, incluso los mejores, TPM no está libre de inconvenientes. Por ejemplo, aunque la gestión de derechos digitales (DRM) no es el uso previsto para el TPM, algunos usuarios tienen preocupaciones sobre la privacidad, ya que puede ser utilizado para proporcionar potente DRM y la aplicación de licencias de software para bloquear contenido a una máquina específica e identificar la actividad del usuario. El principal inconveniente para las empresas es que la autenticación basada en TPM ata un usuario a un solo equipo de cómputo mediante el almacenamiento de claves en el chip TPM en ese punto final. Esto hace que no sea práctico el uso de varios dispositivos (por ejemplo, hot-desking), por lo que en vez de ello muchas empresas utilizan software de terceros para el cifrado de disco, sobre todo cuando no se necesita seguridad adicional proporcionada por TPM.

También vale la pena recordar que el TPM está diseñado para proporcionar almacenamiento seguro de claves, lo que significa que los datos sólo están protegidos cuando están en reposo, y no durante el uso. Una vez que se eliminan los sellos, los datos se leen en claro; aunque TPM puede almacenar parámetros de configuración de tiempo previos al inicio, no puede controlar el malware que se ejecuta una vez que un dispositivo ha terminado de arrancar. Las claves también son vulnerables mientras está en uso durante las operaciones de cifrado y descifrado, algo que se ha demostrado usando ataques de arranque en frío (cold boot attack). El otro problema con TPM –como es el caso con cualquier encriptación de PKI– ha sido la gestión de claves. Administrar claves siempre es complejo, y lo es aún más con TPM; se requiere la integración de la gestión de claves TPM con un programa más amplio de gestión de cifrado empresarial, así como de minimizar las complejidades que TPM añade a las tareas diarias de soporte de sistemas, como las credenciales de autenticación perdidas u olvidadas, o la aplicación de parches de software que cambian el estado por defecto de un equipo final (endpoint).

Al igual que cualquier otro control de seguridad, TPM tiene inconvenientes que pueden causar problemas potenciales para las empresas, por lo que no es sorprendente que sea más eficaz cuando se utiliza junto con otros controles de punto final existentes, como la autenticación de múltiples factores, el control de acceso a la red, y la detección de malware.

¿Qué sigue para TPM?

En cuanto al futuro de los dispositivos TPM, entre el lanzamiento de productos de proveedores como Wave Systems y  el hecho de que TPM sea implementado como un componente básico de Microsoft Windows 8 y Windows Server 2012, es probable que aumente la adopción de la seguridad, sobre todo cuando la gestión de claves se convertirá en menos que un dolor de cabeza administrativo. De hecho, Microsoft ya requiere que haya un chip TPM en cualquier dispositivo con Windows 8, incluidos los teléfonos y tabletas, así como en los servidores que ejecutan Windows Server 2012, proporcionando la clase de impulso a la adopción que requiere TPM para tener más presencia de seguridad en todas partes. A medida que más empresas tienen como objetivo proporcionar una función de seguridad integrada y sin molestar al usuario, es probable que TPM continúe creciendo y sea más influyente.

 

Sobre el autor: Michael Cobb, CISSP-ISSAP, es un reconocido autor de seguridad con más de 15 años de experiencia en la industria de TI y otros 16 años de experiencia en finanzas. Es fundador y director general de la Cobweb Applications Ltd., una consultora que ayuda a las empresas a asegurar sus redes y sitios web y obtener la certificación ISO 27001. Es co-autor del libro de seguridad de IIS, y ha escrito numerosos artículos técnicos en las principales publicaciones de TI. Michael es también Administrador Certificado de Bases de Datos Microsoft y Profesional Certificado Microsoft.

Investigue más sobre Gestión de la seguridad