„Trusted Platform Module“ (TPM) šfravimo sitema visiems buvo pristatoma, kaip duomenų apsugos idealas, padėsiantis išpręsti ko ne visas saugumo problemas: duomenų ar intelektinės nuosavybės apsaugos, kenėjiškų programų ir pan. Deja, TPM, kuri jau yra šimtuose milijonų asmeninių kompiuterių, yra uždara sistema, raktai prie kurios vartotojui nėra suteikiami. Vartotojas tiesiog pateikia savo duomenis per "langelį" ir jam pasakoma, jog jo duomenys nuo šiol saugūs. Panašiai, mes patikime savo pinigus bankams, tačiau tarp patikimų trečiųjų šalių pasitaiko ir tokių, kaip „Sekundė“ ar „Lehman Briothers“.

TPM iš tiesų labiau primena „Sekundę“, nes ji raktus ji gali suteikti „patikimoms trečiosioms šalims“. „Trusted“ šiuo atveju reiškia ne patikimos platformos modulį, o pasitikimos, t.y. kuria yra pasitikima, kaip gydytoju ar banku. Dar blogiau, atrodo, jog nuo šiol prie šios sistemos ir ja saugomų duomenų atrodo galės prilysti visi norintys ir turintys pakankamai užsispyrimo.

 

Buvęs JAV armijos kompiuterinio saugumo specialistas neseniai vykusioje „BlackHat“ saugumo konferencijoje pademonstravo atrodytų neįmanomą įsilažuimą į TPM sistemą. Jis sugebėjo įveikti „Infineon“ lustų gamintojo pagamintą mikroschemą, nuardydamas plastmasės sluoksnį ir prijungdamas elektrodą į reikiamą lusto vietą. Apmaudžiausia, jog „Infineon“ pripažino, žinojusi, jog toks TPM saugumo sistemos įsilaužimas yra įmanomas, tačiau, anot kompanijos, tai buvo laikoma nepraktišku ir reikalaujančiu pernelyg daug pastangų būdu.

Ką gi, kaip rašoma „New Zeland Herald“ naujienoje, tai jau tapo realia galimybe. O žinant tai, kad pasaulyje kas met yra pametama ar pavagiama tūkstančiai nešiojamųjų kompiuterių ar kitų įrenginių, TPM apsaugoti duomenys nėra saugūs, jei kas nors tikrai žinos kieno nešiojamąjį kompiuterį jis gavo ir kas jame gali būti. Anot įsilaužimo autoriaus, jis nėra tikras ar toks būdas tiks kitų gamintojų TPM lustams, tačiau jis tinka ir kitiems „Infineon“ saugumo sistemų lustams.

Tokia naujiena perša tik vieną išvada -- uždaromis sistemomis pasitikėti negalima. Atvirose sistemose tokio pobūdžio spraga būtų greitai pastebėta ir sistema būtų buvusi atmesta arba spraga ištaisyta. Anot kompiuterinio saugumo evangeliko Bruce'o Schneierio - tinkamai sukurta duomenų apsaugos/šifravimo sistema išlieka saugi tuomet, kai apie ją žinoma viskas, išskyrus šifravimo raktą. Tokiu principu yra kuriamos visos atvirojo kodo duomenų šifravimo programos. „TrueCrypt“ ar „Freenet“ sistemose buvo aptikta ir kritinių spragų, tačiau jos tuoj pat buvo ištaisytas.