Handhabung der Notfall-Wiederherstellungs-Funktion

Infineon Security Platform

Infineon Security Platform Lösung

Handhabung der Notfall-Wiederherstellungs-Funktion

Von ihrer Konzeption her bietet die Infineon Security Platform Lösung nicht nur umfangreichen Support für standardmäßige Arbeitsabläufe, sondern auch System-Wiederherstellungsfunktionen für den Fall schwerwiegender Störungen.

Der schlimmste Fall, der eintreten kann, ist eine Beschädigung des Trusted Platform Module. Diese Situation resultiert im Verlust des Infineon Security Platform Besitzers, der die physikalische Wurzel für Geheimschlüssel sowie die logische Wurzel für alle spezifischen Schlüssel aller Infineon Security Platform Benutzer darstellt. Wenn das Trusted Platform Module ersetzt werden muss, wird ein neuer Infineon Security Platform Besitzer erstellt, da es keine Möglichkeit einer Übertragung eines bestehenden Schlüssels von einem Trusted Platform Module zu einem anderen gibt.

Um dieses potentielle Problem zu verhindern, wurde eine Notfall-Wiederherstellungsfunktion in die Infineon Security Platform Lösung integriert. Dieser Mechanismus ermöglicht die Neuverschlüsselung von Basis-Benutzerschlüsseln von einem Infineon Security Platform Besitzer zu einem anderen. Zu diesem Zwecke muss eine Security Platform Sicherung (einschl. Notfall-Wiederherstellung) zum Zeitpunkt der Einrichtung der Infineon Security Platform erstellt werden. Der Administrator benutzt dazu den Assistenten für die schnelle Initialisierung der Security Platform oder den Assistenten für die Initialisierung der Security Platform.

Die Wiederherstellung erfolgt im Notfall über den Assistenten für die Sicherung der Security Platform.

Im Server-Modus werden die Sicherung und Wiederherstellung vom Trusted Computing Management Server verarbeitet, außer die Sicherung und Wiederherstellung der Image-Dateien des Personal Secure Drives (PSD).

Notfall-Wiederherstellungs-Token, Kennwort und Archiv

Die Benutzung von Token, Kennwort und Archiv bei der Notfall-Wiederherstellung entspricht der beim Kennwort-Reset.

Die Wiederherstellung von Benutzerschlüsseln nach einem Notfall erfordert einige Informationen, die im Archiv gespeichert sind. Die Notfall-Daten eines Archivs können nur in Kombination mit einem Wiederherstellungs-Token, das durch ein spezielles Kennwort geschützt ist, verwendet werden.

Das Archiv enthält verschlüsselte Basis-Benutzerschlüssel, die eine Wiederherstellung bei einem Fehler am Trusted Platform Module erlauben. Ist die Notfall-Wiederherstellung nicht eingerichtet, ist es den Benutzern evtl. nicht möglich, ihre verschlüsselten Daten bei einem Security Platform Fehler wiederherzustellen. Die Notfall-Wiederherstellung wird einmal eingerichtet und Komponenten der Security Platform greifen später automatisch auf das entsprechende Archiv zu. Das Archiv muss für alle Benutzer dieser Security Platform zugänglich sein.

Allgemeine Aspekte zur Behandlung der Notfall-Wiederherstellung finden Sie in den häufig gestellten Fragen.

Schrittweise Wiederherstellung der Notfall-Daten

Erzwungene Benutzerinitialiserung wenn Sicherungs-Archiv nicht verfügbar ist:

Kann der Basis-Benutzerschlüssel nicht geladen werden (beispielsweise nach dem Löschen des Besitzers des Trusted Platform Module und der Wiedervergabe an den Besitzer), erlaubt der Assistent für die Benutzerinitialisierung der Security Platform nicht mit der Benutzerinitialisierung fortzufahren.
In dieser Situation müssen die Notfall-Daten wiederhergestellt werden.

Ist aus irgendeinem Grund das Sicherungs-Archiv nicht verfügbar (beispielsweise durch Verlust oder Beschädigung), kann der Basis-Benutzerschlüssel nicht wiederhergestellt werden. Wollen Sie in dieser Situation mit der Erstellung eines neuen Basis-Benutzerschlüssels fortfahren, muss der Assistent für die Benutzerinitialisierung der Security Platform mit folgendem Befehlszeilen-Parameter gestartet werden: SpUserWz.exe /forceinit.

Hinweis:

  • Ein neuer Basis-Benutzerschlüssel wird erstellt und die früheren geschützten Daten gehen verloren.
  • Der Befehlszeilenparameter: SpUserWz.exe /forceinit wird im Server-Modus nicht unterstützt.


©Infineon Technologies AG