Fonctionnement
Cette section présente la liste des certificats dont la clé privée peut être protégée par le module TPM, le mot de passe d'administration du TPM, la clé symétrique et son mécanisme de dérivation, les registres PCR et l’importance de disposer d’un accès au module TPM.
Liste des certificats dont la clé privée peut être protégée par le module TPM
La protection par le module TPM s'applique à certains certificats selon la version SNS installée.
| Certificats utilisés dans les cas suivants et dont la clé privée peut être protégée par le module TPM | Versions SNS compatibles | |
| 4.3.37 LTSB et versions 4.3 LTSB supérieures | 4.8.7 et versions supérieures | |
|
VPN IPsec |
|
|
| VPN SSL | - |
|
| Déchiffrement SSL/TLS (interface Web d'administration et portail captif) |
- |
|
| Communications avec le serveur SMC | - |
|
| Envois de logs vers un serveur syslog | - |
|
| LDAP interne | - |
|
Mot de passe d'administration du module TPM
Vous devez définir un mot de passe d'administration du module TPM lors de son initialisation. Dans cette note technique, il est nommé "mot de passe du TPM".
Ce mot de passe vous sera demandé lors de certaines opérations de maintenance, lors de la modification du BIOS, après certaines mises à jour logicielles ou après un changement de la partition de démarrage du firewall SNS.
Concernant le mot de passe du TPM :
- Il doit respecter la politique de mots de passe définie sur le firewall SNS,
- Sur les versions SNS 4.8.7 et supérieures, il est recommandé de le générer aléatoirement avec une longueur d'au moins 64 caractères. Sur les versions SNS 4.3.37 LTSB et 4.3 LTSB supérieures, en raison d'une limitation, sa longueur ne doit pas excéder 32 caractères.
- Il doit être conservé dans un espace sécurisé et sauvegardé.
IMPORTANT
En cas de perte du mot de passe du TPM, il n'est pas possible de le réinitialiser et Stormshield n'est pas en mesure de le retrouver. Ce cas est décrit dans la section Résoudre les problèmes.
Clé symétrique
Principe
Une clé symétrique est définie lors de l'initialisation du module TPM et est stockée sur ce dernier. Lorsqu'une clé privée d'un certificat est protégée par le module TPM, elle est chiffrée grâce à la clé symétrique.
Seule la clé symétrique permet de chiffrer et de déchiffrer la clé privée d'un certificat.
La clé symétrique est scellée dans le module TPM et son accès est strictement protégé par le mot de passe du TPM, ainsi que par une mesure fiable de l'état du système : les registres PCR (Platform Configuration Registers).
Mécanisme de dérivation de la clé symétrique
Un mécanisme de dérivation de la clé symétrique (appelé derivekey) permet, lors de l'initialisation du module TPM d'un firewall SNS, de générer à partir du mot de passe du TPM la clé symétrique.
Dans le cas d'un cluster de firewalls en haute disponibilité, chaque firewall dispose de son propre module TPM. Deux clés symétriques existent donc :
- Une première clé symétrique stockée sur le module TPM du firewall actif,
- Une seconde clé symétrique stockée sur le module TPM du firewall passif.
Pour assurer la continuité du service en cas de bascule des firewalls SNS du cluster, il est indispensable que la clé symétrique stockée sur le firewall actif soit identique à celle stockée sur le firewall passif. Lors de l'initialisation du module TPM des deux firewalls du cluster, le mécanisme de dérivation est automatiquement utilisé, ce qui permet de générer à partir du mot de passe du TPM la même clé symétrique. Ainsi, en cas de bascule, chaque firewall SNS est capable de déchiffrer les clés privées.
Ce mécanisme est également utile dans le cas d'un échange de firewall SNS (RMA) pour restaurer une sauvegarde de configuration contenant des clés privées protégées. Du fait que seule la clé symétrique permet de chiffrer et de déchiffrer les clés privées protégées, il est indispensable que la clé symétrique stockée sur le nouveau firewall soit identique à celle qui était stockée sur le firewall retourné.
Registres PCR
Principe
Le scellement du module TPM par les registres PCR est basé sur une série d'empreintes. Leur valeur est définie par un ensemble de mesures prises lors du démarrage du firewall SNS :
- Version et options du BIOS,
- Binaires UEFI lancés (PCR 4),
- Table de partitions,
- Système d'exploitation,
- Modules matériels branchés (comme les modules réseaux et les périphériques USB),
- etc.
Valeurs des empreintes des PCR et accès au module TPM
Dans le cas où la valeur des empreintes des PCR change, l'accès au module TPM peut être refusé.
- Sur les versions SNS 4.8.7 et supérieures, l'accès au module TPM est refusé si la valeur des empreintes des PCR 0 à 3 et 5 à 7 change. L'empreinte du PCR 4 liée à la séquence de démarrage du firewall SNS n'est pas prise en compte dans la politique de scellement du module TPM. La fonctionnalité Secure Boot contrôle l'intégrité des binaires UEFI de cette séquence de démarrage.
- Sur les versions SNS 4.3.37 LTSB et 4.3 LTSB supérieures, l'accès au module TPM est refusé si la valeur des empreintes des PCR 0 à 7 change, ce qui inclut l'empreinte du PCR 4 liée à la séquence de démarrage du firewall SNS. Cette empreinte peut être modifiée après une mise à jour de version apportant des changements dans la séquence de démarrage du firewall SNS.
Lorsque l'accès au module TPM est refusé, la clé symétrique ne peut plus être récupérée et les clés privées protégées ne peuvent plus être déchiffrées sans saisir le mot de passe du TPM.
Pour rétablir l'accès au module TPM, vous devez au préalable vous assurer que le changement rencontré est légitime. Vous devez ensuite sceller de nouveau le module TPM pour actualiser la valeur des empreintes des PCR. Cette procédure est décrite dans la section Sceller le module TPM.
IMPORTANT
Si l'accès au module TPM est refusé, les fonctionnalités du firewall SNS qui utilisent des certificats dont la clé privée est protégée (VPN, administration par un serveur SMC, etc.) ne sont plus opérationnelles tant que l'accès au module TPM n'est pas rétabli. Ces blocages peuvent notamment survenir après la mise à jour d'un firewall SNS. Ce cas est décrit dans la section Annexe : points d'attention pour une mise à jour d'un firewall SNS avec le module TPM initialisé.
Cas nécessitant de sceller de nouveau le module TPM
Les cas suivants nécessitent de sceller de nouveau le module TPM :
- La politique de scellement du module TPM a été modifiée après une mise à jour de version. Dans ce cas, une information dans les Notes de version SNS est présente.
- Une option du BIOS a été modifiée, par exemple si la fonctionnalité Secure Boot du firewall SNS a été activée ou désactivée.
- Une opération de maintenance physique a été effectuée, par exemple si un périphérique USB a été branché ou débranché, ou si un module réseau a été changé.
-
La partition de démarrage a été modifiée et que le firewall SNS a été démarré sur celle-ci. À noter que si la partition a été sélectionnée en mode console lors du choix interactif proposé au démarrage du firewall SNS, vous devrez sceller de nouveau le module TPM après un second redémarrage.