[Back]

J. Marmsoler:
"TPM 2.0 zur Verhinderung von Rootkits auf Linux basierten Desktop-Systemen";
Supervisor: T. Grechenig, F. Fankhauser; E194-03, 2021; final examination: 2021-03-01.

Rootkits are a kind of malware which compromise components lower than the operating system for example the kernel, bootloader and BIOS. Rootkits pose a major threat to computer security as they operate with elevated privileges and are often hard to detect from the operating system level. A computer system requires a secure basis and a chain of trust on all levels up to the operating system to increase safety. To achieve this every component of the boot process is measured before being loaded and executed, this method is also known as measured boot. Secure Boot on the other side executes only components with a valid signature or a valid hash.
The Trusted Platform Module (TPM) is a cryptographic microcontroller located on the computer´s motherboard. It securely stores the measurements of the boot process and can attest to the component´s integrity. This also means that not only users, but also remote entities can check the system state. The TPM is a passive module which is called by other components and softwares.
This thesis describes a concept to prevent the execution of rootkits on Linux based desktop systems through a boot process with TPM 2.0. The concept is a combination of secure and measured boot in which updating of components should not break the attestation or the trustworthiness of the system.

Rootkits sind Schadsoftware, die Komponenten befallen, welche tiefer als das Betriebssystem liegen, wie etwa den Kernel, den Bootloader oder das BIOS. Sie agieren mit erhöhten Rechten und sind daher schwer von Betriebssystemebene aus zu erkennen. Für ein vertrauenswürdiges System reicht es nicht aus, die letzte Komponente des Bootprozesses vor Kompromittierungen zu schützen. Es muss eine sichere Basis geben, von welcher eine Vertrauenskette bis ins Betriebssystem aufgebaut wird. Dabei wird von jeder Komponente des Bootprozesses, vor ihrer Ausführung, der Hashwert berechnet und sicher gespeichert. Diesen Prozess nennt man auch Measured Boot. Wenn nur valide Komponenten ausgeführt werden, spricht man von Secure Boot.
Das Trusted Platform Module (TPM) ist ein kryptographischer Mikrocontroller, welcher die Messwerte des Bootprozesses sicher speichert und ihre Integrität beglaubigen kann. Dadurch können Anwendende aber auch Drittsysteme den Systemzustand überprüfen und sicherstellen, dass der Bootprozess nicht kompromittiert wurde. Das TPM ist ein passives Modul, welches von andere Komponenten und Programmen aufgerufen wird. Diese Arbeit beschreibt ein Konzept, um die Ausführung von Rootkits, durch einen sicheren Bootprozess mit TPM 2.0, auf Linux basierten Desktop-Systemen zu verhindern. Das Konzept ist eine Hybridlösung zwischen Secure Boot und Measured Boot. Dabei soll das gewünschte Aktualisieren von Bootkomponenten, die Vertrauenswürdigkeit des Systems nicht brechen.