GnuPG krijgt TPM-support voor fysiek koppelen van encryptiesleutels

[Captain Kirk]

Er is een nieuwe versie van encryptiesoftware GnuPG verschenen die ondersteuning van de Trusted Platform Module (TPM) introduceert waardoor het mogelijk wordt om encryptiesleutels fysiek aan de computer in kwestie te koppelen. GnuPG is een gratis implementatie van de OpenPGP-standaard die wordt gebruikt voor het versleutelen van data en communicatie. Het maakt hierbij gebruik van public key cryptography.

De gebruiker heeft hierbij een public en een private key. Andere gebruikers die met de gebruiker versleuteld willen communiceren kunnen hiervoor zijn public key gebruiken. Het versleutelde bericht is vervolgens alleen door middel van de bijbehorende private key te ontsleutelen. Het is dan ook belangrijk dat de private key niet in handen van een aanvaller komt. Zo kan de key worden beveiligd met een passphrase.

Om de private key verder te beschermen biedt GnuPG 2.3 nu TPM-ondersteuning. De Trusted Platform Module is een standaard voor het beschermen van cryptografische processen binnen een computer en wordt gebruikt voor het veilig opslaan van encryptiesleutels, wachtwoorden, certificaten en andere gevoelige data. De meeste moderne laptops beschikken over een TPM.

Gebruikers van GnuPG en een computer met een TPM kunnen hun key in de TPM laden. Vervolgens zal de TPM met de ingeladen key berichten ontsleutelen of signeren. Dit gebeurt binnen de TPM en niet op de laptop. De key wordt op zo'n manier geladen dat alleen één specifieke TPM, die de sleutel genereerde, die kan gebruiken. Hierdoor is de key zowel bij het gebruik als in rust beveiligd, zo stelt GnuPG-ontwikkelaar James Bottomley.

Zelfs wanneer een aanvaller het private key bestand en de passphrase weet, kan hij nog steeds geen gebruik van de key maken, omdat die fysiek aan de laptop van de gebruiker is gekoppeld. "De TPM beschermt niet tegen elke aanval. Met name wanneer er fysieke toegang is kan iemand in theorie de chip open maken en de secret wrapping keys uit het interne NVRam halen. Dit houdt echter in dat je altijd je TPM via de clear operation moet opschonen voordat je je laptop wegdoet", aldus Bottomley.

 

bron: https://www.security.nl