Správa funkce nouzového obnovení

Infineon Security Platform

Řešení Infineon Security Platform

Správa funkce nouzového obnovení

Aplikace Infineon Security Platform je navržena tak, aby nabídla široký rozsah podpory nejen pro standardní pracovní postupy, ale také pro operace obnovení v systému v případě vážných chybových situací.

Nejhorší druh problému je poškození čipu Trusted Platform Module. Tato situace vede ke ztrátě vlastníka platformy Infineon Security Platform, který je fyzickým kořenem pro tajné klíče a také logickým kořenem pro konkrétní klíče všech uživatelů platformy Security Platform. Kdykoliv je nutné vyměnit čip Trusted Platform Module, vytvoří se nový vlastník platformy Infineon Security Platform, protože neexistuje způsob přenosu existujícího klíče z jednoho čipu Trusted Platform Module do druhého.

Pro překonání tohoto možného problému je v aplikaci Infineon Security Platform integrován mechanismus nouzového obnovení. Tento mechanismus umožňuje opětovné šifrování základních uživatelských klíčů z jednoho vlastníka platformy Infineon Security Platform do druhého. Aby toto bylo možné provést, musí být při instalaci platformy Infineon Security Platform konfigurována funkce zálohování platformy Security Platform (včetně nouzového obnovení). Správce to provádí pomocí Průvodce rychlou inicializací platformy Security Platform nebo Průvodce inicializací platformy Security Platform.

Obnovení v případě nouze lze provést pomocí Průvodce zálohováním platformy Security Platform.

V serverovém režimu je zálohování a obnovení zpracováno serverem Trusted Computing Management Server, s výjimkou zálohování a obnovení souborů bitové kopie jednotky Personal Secure Drive (PSD).

Token nouzového obnovení, heslo a archiv nouzového obnovení

Koncept nouzového obnovení je podobný Obnovení hesla, pokud jde o použití tokenu, hesla a archivu.

Obnovení uživatelských klíčů v případě nouze vyžaduje některé informace uložené v archivu. Data nouzového obnovení tohoto archivu mohou být použita pouze v kombinaci s tokenem obnovení, který je chráněn vyhrazeným heslem.

Archiv obsahuje šifrované kopie základních uživatelských klíčů, aby bylo možné obnovení v případě hardwarového selhání čipu Trusted Platform Module. Není-li nouzové obnovení nastaveno, uživatelé nemohou obnovit svá šifrovaná data v případě chyby platformy Security Platform. Nouzové obnovení je nastaveno jednou a k příslušnému archivu se automaticky přistupuje později pomocí komponent platformy Security Platform. Archiv musí být přístupný pro všechny uživatele této platformy Security Platform.

Některé obecné postupy a doporučení týkající se nouzového obnovení můžete nalézt v kapitole Nejčastější dotazy.

Podrobné obnovení dat nouzového obnovení

Vynucená inicializace uživatele, když není záložní archiv k dispozici:

Pokud nelze načíst základní uživatelských klíč (například následkem zrušení vlastnictví čipu Trusted Platform Module a opětovným vytvořením vlastnictví), potom průvodce inicializací uživatele platformy Security Platform neumožňuje pokračovat v inicializaci uživatele.
Správným krokem v této situaci je obnovení dat nouzového obnovení.

Není-li z nějakého důvodu záložní archiv k dispozici (byl například ztracen nebo poškozen), potom nelze obnovit základní uživatelský klíč. Chcete-li v této situaci pokračovat ve vytváření nového základního uživatelského klíče, musíte spustit průvodce inicializací uživatele platformy Security Platform s parametrem příkazového řádku: SpUserWz.exe /forceinit.

Poznámka:

  • Bude vytvořen nový základní uživatelský klíč, a proto budou veškerá předchozí chráněná data ztracena.
  • Parametr příkazového řádku: SpUserWz.exe /forceinit není podporován v serverovém režimu.


©Infineon Technologies AG