TPM pre server

[CSman]

Ahojte potreboval by som poradiť ohľadom TPM modulu pre domáci server. TPM bude pre dosku X570D4I-2T a podľa kompatibility by tam mal pasovať TPM2-SLI.

Prvá otázka je či by sa to zmestilo do 1U rackovej skrinky ? Lebo na newegg uvádzajú výšku 31,5mm a štandardný 1U rack má výšku 43mm.

Ak by sa to nezmestilo existuje nejaký predlžovací kábel na to resp vedel by som si taký aj vyrobiť otázne je či by to fungovalo ?

Dal by sa tento TPM modul objednať aj z SK alebo EU ? Moc sa mi to nechce objednávať z Ameriky.

[Chris]

na co by si to vyuzil na domacom servery ?

[CSman]

Hmm zeby na kryptovanie ? Lebo pokial mas kamerovy system a zabera ti aj na verejne priestory podla zakona si povazovany za prevadzkovatela kameroveho systemu a musis splnat nejake podmienky ako napriklad musis zabezpecit to aby sa nepoverena osoba nemohla dostat ku kamerovemu zaznamu.

[Hexaris]

O predlzovacke neviem. Mam ich nasadene, ale uz by som ich nebral, co je original integrovane, hp, dell ... tie funguju perfektne. Tu sa uz stalo, ze sa nejak resetol bios a s tym aj obsah tpm. Kluce mam zalohovane, ale nepotesi. Nepises aky OS, ale napr. u linixu si spravis cez grub male ssh kde po lognuti zadas heslo a moutne sa encrypted part. Samozrejme po kazdom restarte to treba spravit, ale key nemas nikde ulozeny, takze sa nemusis bat ... za dalsie, ak je to na upske tak k restartu dojde max pri aktualizacii ? Mozno ak napises co tam presne pobezi, mozno lepsie poradime.

[CSman]

Pobezi tam windows virtualka na vmware.

[Snake]

wtf? sak to je maly modul co by sa to nezmestilo, aj tak to je povacsinou nalezato. Co sa tyka sifrovania, tak TPMkom neosetrujes nic, nakolko TPM ti to hlavne brani proti fyzickemu offline vniknutiu, zakonne toto nic neriesi, nakolko toto splnas uz len samostatnymi uctami + zamknutym rackom. VMware neviem ci vie passnut TPM, toto je skor domena WS16+ s guarded fabric. vsphere vie vTPM (ako aj Hyper-V) ale nevie ukladat crypto v normalnom TPM, sluzi iba na HA a boot integrity, tj je uplne jedno ci fyzicke TPM mas alebo nie, samotnu virtualku bude riesit vTPM, na co si treba dat obrovsky pozor ked lahne host (ver mi nie je sranda extrahovat kluce zo zalohy)

Rozbehavat kamerovy system na Win je co za masochizmus? to aj mas policencovane korektne? Ci tam ides rozbehat Win10 ako kazdy koho potom prekvapi ze to tam nema co robit?

[1bugsy1]

ehm, nestacil by len bitlocker respektive jeho alternativa(deslock alebo nieco podobne)? Ak tam bude heslo pre ucet, na sifrovany disk/particiu kde sa budu zaznamy ukladat sa dostat bude prakticky nemozne. Full memory dump odkial by sa teoreticky dali dostat kluce nebude jednoduche vyrobit a nasledne sa k nemu dostat...

[Snake]

vsak on to potrebuje na bitlocker, akurat na vTPM realne ani TPM nepotrebuje, akurat velmi dobre zalohy a kopu nervov. A riesit sifrovanie pri takomto use case je totalne zbytocne

[CSman]

wtf? sak to je maly modul co by sa to nezmestilo, aj tak to je povacsinou nalezato. Co sa tyka sifrovania, tak TPMkom neosetrujes nic, nakolko TPM ti to hlavne brani proti fyzickemu offline vniknutiu, zakonne toto nic neriesi, nakolko toto splnas uz len samostatnymi uctami + zamknutym rackom. VMware neviem ci vie passnut TPM, toto je skor domena WS16+ s guarded fabric. vsphere vie vTPM (ako aj Hyper-V) ale nevie ukladat crypto v normalnom TPM, sluzi iba na HA a boot integrity, tj je uplne jedno ci fyzicke TPM mas alebo nie, samotnu virtualku bude riesit vTPM, na co si treba dat obrovsky pozor ked lahne host (ver mi nie je sranda extrahovat kluce zo zalohy)

Rozbehavat kamerovy system na Win je co za masochizmus? to aj mas policencovane korektne? Ci tam ides rozbehat Win10 ako kazdy koho potom prekvapi ze to tam nema co robit?

Pozri si ako vyzerá tá doska aj modul neviem ako by sa tam dal dať ležato

https://www.asrockrack.com/general/prod ... -2T#Manual
https://www.asrockrack.com/general/prod ... ifications

avšak na TPM ti ukladá aj bitlocker kľúče teda pokiaľ nechceš pri každom boote zadávať key alebo mať pichnuté dedikované USB

o tom vTPM som nevedel a ako som si o tom čítal a je to trochu zloba

Tak radšej mám kúpiť dedikované NVRko za kopu prachov pričom ti to zaťažuje UPSku a potrebuješ na to ďalší network connect keď takto môžem mať viacero virtuálok ? Podľa mňa blbosť hlavne keď máš v ponuke sw priamo od výrobcu na celý manažment. Jasné je v ponuke aj iný sw ako iSPY čo je aj na linux ale neviem o tom že by si v ňom vedel nastavovať veci ako je intrusion detection alebo motion tracking.

Ale každopádne konštruktívna a dobrá rada ďakujem

[1bugsy1]

ak nechces zadavat key pri boote, mozes mat USB odkial by to mal vediet nacitat. Co sa tyka network connectu - ten budes mat aj tak asi separatne ne? sice domaci server takze tam asi 100 kamier zavesenych nebude...

co tak citam tak ten deslock by mal fungovat aj bez tpm...