Fonctionnement
Cette section contient des informations sur certains principes de fonctionnement du module TPM (mot de passe d'administration, liste des certificats dont la clé privée peut être protégée, clé symétrique et son mécanisme de dérivation, registres PCR).
Mot de passe d'administration du module TPM
Vous devez définir un mot de passe d'administration du module TPM lors de son initialisation. Dans cette note technique, il est nommé "mot de passe du TPM".
Ce mot de passe vous sera demandé lors de certaines opérations de maintenance, lors de la modification du BIOS, après certaines mises à jour logicielles ou après un changement de la partition de démarrage du firewall SNS.
Concernant le mot de passe du TPM :
- Il doit respecter la politique de mots de passe définie sur le firewall SNS,
- Sur les versions SNS 4.8.7 et supérieures, il est recommandé de le générer aléatoirement avec une longueur d'au moins 64 caractères. Sur les versions SNS 4.3 LTSB, en raison d'une limitation, sa longueur ne doit pas excéder 32 caractères.
- Il doit être conservé dans un espace sécurisé et sauvegardé.
IMPORTANT
En cas de perte du mot de passe du TPM, il n'est pas possible de le réinitialiser et Stormshield n'est pas en mesure de le retrouver. Ce cas est décrit dans la section Résoudre les problèmes.
Liste des certificats dont la clé privée peut être protégée par le module TPM
La protection par le module TPM s'applique à certains certificats selon la version SNS installée.
| Certificats utilisés dans les cas suivants et dont la clé privée peut être protégée par le module TPM | Versions SNS compatibles | |
| 4.3 LTSB | 4.8.7 et supérieures | |
|
VPN IPsec |
|
|
| VPN SSL | - |
|
| Déchiffrement SSL/TLS (interface Web d'administration et portail captif) |
- |
|
| Communications avec le serveur SMC | - |
|
| Envois de logs vers un serveur syslog | - |
|
| LDAP interne | - |
|
Clé symétrique - Principe et mécanisme de dérivation
Une clé symétrique est définie lors de l'initialisation du module TPM et est stockée sur ce dernier. Lorsqu'une clé privée d'un certificat est protégée par le module TPM, elle est chiffrée grâce à la clé symétrique. Seule la clé symétrique permet de chiffrer et de déchiffrer la clé privée d'un certificat.
Dans le cas d'un cluster de firewalls en haute disponibilité, chaque firewall dispose de son propre module TPM. Deux clés symétriques existent donc :
- Une première clé symétrique stockée sur le module TPM du firewall actif,
- Une seconde clé symétrique stockée sur le module TPM du firewall passif.
Pour assurer la continuité du service en cas de bascule des firewalls SNS du cluster, il est indispensable que la clé symétrique stockée sur le firewall actif soit identique à celle stockée sur le firewall passif.
Pour cela, un mécanisme de dérivation de la clé symétrique (appelé derivekey) permet, lors de l'initialisation du module TPM des deux firewalls du cluster, de générer à partir du mot de passe du TPM la même clé symétrique. Ainsi, en cas de bascule, chaque firewall SNS est capable de déchiffrer les clés privées. Sur les versions 4.8.7 et supérieures, ce mécanisme est automatiquement utilisé lors de l'initialisation du module TPM depuis l'interface Web d'administration du firewall SNS, qu'il soit membre d'un cluster en haute disponibilité ou non.
Registres PCR - Protection de la clé symétrique et mesure de l'état du système
La clé symétrique est scellée dans le module TPM et son accès est strictement protégé grâce à une mesure fiable de l'état du système : les registres PCR (Platform Configuration Registers).
Le scellement du module TPM par les registres PCR est basé sur une série d'empreintes. Leur valeur est définie par un ensemble de mesures prises lors du démarrage du firewall SNS : version et options du BIOS, binaires UEFI lancés, table de partitions, système d'exploitation, modules matériels branchés (comme les modules réseaux et les périphériques USB), etc.
Dans le cas où la valeur des empreintes des PCR change, l'accès au module TPM peut être refusé. Lorsque ce cas survient, la clé symétrique ne peut plus être récupérée et les clés privées protégées ne peuvent plus être déchiffrées. Après avoir vérifié que le changement est légitime, vous devez sceller de nouveau le module TPM pour actualiser la valeur des empreintes des PCR de confiance et rétablir l'accès au module TPM. Cette procédure est décrite dans la section Sceller le module TPM.
NOTE
Depuis la version 4.8.7, la politique de scellement du module TPM ne tient plus compte de l'empreinte du PCR liée à la séquence de démarrage du firewall SNS. Cette empreinte était auparavant modifiée après une mise à jour de version contenant des changements dans la séquence de démarrage du firewall SNS. Notez que l'intégrité des binaires UEFI de cette séquence de démarrage est contrôlée par la fonctionnalité Secure Boot.
Cas nécessitant de sceller de nouveau le module TPM
Les cas suivants nécessitent de sceller de nouveau le module TPM :
- Si la politique de scellement du module TPM a été modifiée après une mise à jour de version. Dans ce cas, une information dans les Notes de version SNS est présente.
- Si une option du BIOS a été modifiée, par exemple si la fonctionnalité Secure Boot du firewall SNS a été activée ou désactivée.
- Si une opération de maintenance physique a été effectuée, par exemple si un périphérique USB a été branché ou débranché, ou si un module réseau a été changé.
-
Si la partition de démarrage a été modifiée et que le firewall SNS a été démarré sur celle-ci.
NOTE
Si la partition a été sélectionnée en mode console lors du choix interactif proposé au démarrage du firewall SNS, vous devrez sceller de nouveau le module TPM après un second redémarrage.