Ukoliko koristite Windows 11, vaše računalo posjeduje TPM čip (Trusted Platform Module verzija 2.0) koji je sada obvezan za pokretanje najnovijeg Microsoftovog operativnog sustava. Iako se predstavlja kao sigurnosna značajka, nedavna otkrića pokazuju da ovaj čip briše vašu privatnost i potencijalno postaje instrument kontrole. Ovaj članak detaljno analizira problematiku TPM čipa i njegove veze s Microsoftovim oblačnim servisima.

Kada sigurnost postaje prijetnja privatnosti

Početak problema uočen je nakon kupnje novog Lenovo ThinkPad X1 Carbon Gen 13 laptopa s Windows 11 operativnim sustavom. Kao što mnogi korisnici rade, pokušaj instalacije dualboot sustava s Ubuntu distribucijom Linuxa postao je noćna mora. Nakon uspješne instalacije Ubuntua, isključivanjem Secure Boot opcije (uobičajen postupak za razvojne programere koji koriste nepotpisane bootloadere) dogodilo se nešto neočekivano – cijeli disk se zaključao. Ubuntu particija postala je nedostupna, GRUB bootloader izbrisan, a jedini način oporavka bio je preuzimanje Lenovo recovery USB-a i ponovno formatiranje tvrdog diska, što je rezultiralo gubitkom svih podataka.

Razlog ovog katastrofalnog scenarija leži u činjenici da je BitLocker sada automatski omogućen na Copilot Plus računalima i čvrsto povezan s TPM čipom. BitLocker je dizajniran da radi s Window Recall funkcijom, ali posljedice su dalekosežnije nego što Microsoft javno priznaje.

Digitalni identitet i endorsement ključ

Kada se disk zaključao, bootloader je ponudio opciju oporavka putem Microsoft računa na adresi aka.ms/bitlockerrecovery. Iako je korisnik namjerno odabrao lokalni račun prilikom instalacije, sustav je zahtijevao identifikaciju putem Microsoft računa. Nakon prijave, sustav je prikazao ime uređaja, 48-znamenkasti BitLocker ključ za oporavak i endorsement ključ (EK) TPM čipa – jedinstveni 2048-bitni RSA javni ključ.

Ovaj endorsement ključ predstavlja trajni digitalni identitet vašeg računala. Tvornički je upisan u TPM čip i ne može se promijeniti. Jednom kada koristite BitLocker, ovaj EK postaje vaša digitalna putovnica neizbrisivo povezana s vašim Microsoft računom, Windows Hello servisom i svim oblačnim uslugama koje koriste Microsoft API-je za pristup TPM-u.

Microsoft trenutno na široj razini koristi EK za BitLocker oporavak, oblačne usluge i sustave protiv varanja u igrama poput Valoranta i Fortnitea. Međutim, kritično je razumjeti da Microsoft izlaže otvoreni API koji omogućava bilo kojoj aplikaciji s administratorskim pravima da pristupi TPM-u i otkrije endorsement ključ. Za razliku od iPhonea gdje samo Apple, Google i telekom operater mogu pročitati jedinstveni identifikator uređaja, na Windows 11 računalu svaka aplikacija s administratorskim pravima može dohvatiti vaš EK.

Microsoft Cloud Cryptography i PCP

Microsoft Platform Crypto Provider (PCP) predstavlja vrstu kriptografskog pružatelja usluga koji sve TPM operacije usmjerava kroz Microsoftov oblak. To nije samo upravljački program nego oblačni servis. Microsoft pruža API za aplikacije kako bi komunicirale sa sigurnosnim funkcijama TPM čipa, ali sve se to odvija putem Microsoftovog oblaka.

To znači da Microsoft zna svaku sigurnosnu interakciju, uključujući korištenje Windows Hello, pokretanje računala s BitLockerom, ili interakciju s bilo kojom aplikacijom koja koristi Microsoftove sigurnosne značajke poput aplikacija za igre. Kada generirate ključ pomoću PowerShella, taj ključ je zapečaćen u TPM-u i registriran na Microsoftovim oblačnim poslužiteljima.

PCP izlaže različite API-je, a svaki poziv prolazi kroz Microsoftovu infrastrukturu za potvrdu autentičnosti. Microsoft tako može izgraditi bazu podataka svih Windows 11 uređaja i pratiti korištenje tih ključeva.

Platform Configuration Registers (PCR)

Još jedna problematična značajka odnosi se na Platform Configuration Registers (PCR). Ovi registri predstavljaju mehanizam za praćenje hardvera i bilježenje konfiguracije u TPM-u, što se može ispitivati daljinski i lokalno putem bootloadera.

TPM mjeri vaš hardver pri svakom pokretanju i pohranjuje informacije u PCR-ovima. Pri svakom pokretanju, bootloader može ispitati određene karakteristike na temelju odabranog PCR-a. Posebno je problematičan PCR1 koji uključuje CPU mikrocode, firmware matične ploče, NVME pogon, UUID-ove i GUID-ove particija.

Kada korisnik zamijeni SSD pogon, UUID pogona se mijenja. TPM primjećuje nepodudarnost prilikom provjere PCR1, što signalizira Windows 11 bootloaderu da preuzme kontrolu i izbriše GRUB bootloader. Ovo nije greška nego namjerni dizajn koji otežava korištenje dualboot konfiguracija.

Udaljeno atestiranje

Najproblematičniji aspekt je mogućnost udaljenog atestiranja. Koristeći Microsoftovu PCP uslugu, svaka aplikacija može daljinski ispitati vaš TPM i dobiti potpisani PCR citat. Aplikacija poziva “Get TPM attestation quote”, TPM potpisuje sve PCR-ove s atestacijskim identifikacijskim ključem, a taj citat se šalje Microsoftovoj oblačnoj usluzi nazvanoj Azure Attestation Service.

Microsoft zatim vraća informacije poput “ovaj uređaj pokreće Windows 11 24H2”, “ovaj uređaj ima omogućen Secure Boot” ili “ovaj uređaj nema Linux bootloader”. Ova funkcija je već aktivna kroz Windows Device Health Attestation, a svaka aplikacija je može koristiti.

Na primjer, bankarska aplikacija može provjeriti pokrećete li Linux, pozvati atestaciju, vidjeti da PCR4 sadrži GRUB potpis, i zatim odbiti prijavu. Google radi slično na Androidu s Play Integrity API-jem, gdje neke bankarske aplikacije neće raditi u Europi ako ne koriste Google atestaciju. Microsoft gradi istu sposobnost za PC računala.

Može li Microsoft vidjeti sve?

Odgovor je potvrdan. Svaki put kada koristite BitLocker, registrirate se u Windows Hello, koristite TPM zaštićeni certifikat ili pokrećete Copilot PC značajku, vaš EK i PCR-ovi šalju se Microsoftu. Oni ne trebaju hakirati vaše računalo jer im vi sami šaljete podatke.

Za aplikacije koje zahtijevaju Microsoft Attestation usluge, morat ćete biti prijavljeni s Microsoft ID-om jer lokalni račun nije dovoljan. Svi atestacijski procesi moraju biti potpisani i potvrđeni putem Microsoftovog PCP-a. Microsoft je tako postao posrednik u svim važnim procesima vašeg računala.

Windows Copilot i AI koji nikad ne zaboravlja

Windows Recall snima zaslonske snimke svakih 3 sekunde i pohranjuje analize u enkriptiranim SQLite bazama podataka. Pogađate li što ih enkriptira? Upravo TPM. Razlog zašto trebaju TPM i BitLocker za enkripciju je da se vaše ponašanje može bilježiti, vaš identitet povezati s TPM-om, a vaša konfiguracija atestirati.

Microsoft tvrdi da ne bismo trebali brinuti jer je sve lokalno, ali ne postoji tehnička prepreka za slanje uputa AI pomoćniku da pregleda vašu bazu podataka i izvijesti o nalazima središnjici. Apple je već dokazao da je to moguće s Neural Hashom, gdje je skenirao fotografije i uspoređivao ih s predefiniranim hash vrijednostima.

Microsoft može učiniti isto, a Windows Recall je mnogo sposobniji. S današnjim LLM modelima, Copilot može jednostavno dobiti upute da “sažme korisnikovo ponašanje u proteklom tjednu” – je li posjetio forume o privatnosti, tražio kako onemogućiti TPM, otvorio Tor, itd.

Lanac kontrole

Kada spojimo sve elemente, dobivamo kompletan lanac kontrole. Imate neizbježan identitet s Microsoft ključem i trajnim TPM endorsement ključem. Kroz PCR-ove, aplikacije mogu zahtijevati vrlo specifične konfiguracije vašeg sustava, sve potvrđeno od strane TPM-a s atestacijom. Uz to, vaše ponašanje se može pratiti putem Microsoft Recalla i Copilota.

Sljedeći korak mogao bi biti zaključavanje korisnika putem pravila ako vas žele isključiti – svojevrsni digitalni “debanking” 2.0. Podsjetimo se da su u Velikoj Britaniji Nigel Farage i u Kanadi vozači kamiona ostali bez pristupa bankovnim računima zbog političkih stavova. U Kini, nizak socijalni rejting znači nemogućnost korištenja WeChat usluge, njihovog primarnog načina plaćanja. Sada slična sofisticirana infrastruktura postoji i na Zapadu.

Kako se zaštititi?

Ne morate sudjelovati u ovoj igri. Jedini način da pobijedite je ako tržište kaže “ne”, a mi kao potrošači moramo odlučiti da ne želimo ono što nam se nameće.

Evo nekoliko važnih preporuka:

1. Ne koristite Windows 11 kao glavni operativni sustav. Ostanite na Windows 10, a Windows 11 pokrenite u virtualnom stroju ili ograničite njegovo korištenje na minimum. Koristite Linux za sve ostalo.
2. Onemogućite ili resetirajte TPM, ali s oprezom. Endorsement ključ (EK) ne može se promijeniti jer je tvornički upisan u TPM. Ne postoji API, BIOS postavka ili naredba za brisanje TPM-a koja će ga ikada promijeniti. Možete:
   1. nemogućiti TPM u BIOS-u (preporučeno) – na Lenovo ThinkPadu to znači ponovno pokretanje, pritisak F1, odlazak u Sigurnost, Trusted Computing, postavljanje TPM stanja na “onemogućeno”, te spremanje i izlazak. BitLocker će se suspendirati, a neke aplikacije poput TurboTaxa možda će odbiti pokretanje.
   2. Resetirati vlasništvo nad TPM-om, ali samo ako se nikada više ne prijavite u Microsoft. Pokrenite “Clear-TPM” u PowerShellu s administratorskim pravima. Time se uklanja vlasništvo nad TPM-om, brišu atestacijski identitetski ključevi i poništavaju BitLocker zaštite. Međutim, ako se ponovno prijavite istim Microsoft računom, Microsoft će pročitati vaš EK i ponovno povezati sve jer je EK tvornički upisan. Jedini način da trajno prekinete lanac je resetirati TPM, stvoriti lokalni račun, nikada se ne prijaviti s Microsoft računom, suspendirati BitLocker i koristiti drugo računalo za Microsoft usluge.
3. Nikada ne koristite ugrađenu AI. Izbjegavajte Copilot, Apple Intelligence i Google Gemini. Koristite Linux na računalima i de-Google-izirani OS na telefonu. Ugrađena AI je kontrolirana od strane nekog drugog, dok je lokalna AI koju ste sami instalirali pod vašom kontrolom.
4. Bojkotirajte aplikacije koje koriste atestaciju. Ako banka koristi atestaciju, promijenite banku. Ako državne službe koriste atestaciju, zahtijevajte alternative. Napustite društvene platforme koje to zahtijevaju.

Pazite

Ovo nije budućnost, već sadašnjost. Svako novo PC računalo isporučuje se s obaveznim TPM 2.0, BitLockerom koji je automatski omogućen i Copilotom koji prati vaše aktivnosti. Vi niste korisnik, vi ste proizvod. Onemogućite TPM, prijeđite na Linux i odbijte AI pomoćnika jer sutra vaše računalo možda odluči da vam nije dopušteno prijaviti se.

Današnji svijet kibernetičke sigurnosti često je u sukobu s privatnošću. Tko postavlja pravila kibernetičke sigurnosti – u ovom slučaju velike tehnološke tvrtke – možda nema iste prioritete kao vi. Njihova kibernetička sigurnost može značiti vaš gubitak privatnosti, a TPM je savršen primjer toga. Umjesto da štiti korisnika, postao je alat za praćenje, kontrolu i potencijalno ograničavanje vaše slobode u digitalnom svijetu.

www.logično.com