Ukoliko koristite Windows 11, vaše računalo posjeduje TPM čip (Trusted Platform Module verzija 2.0) koji je sada obvezan za pokretanje najnovijeg Microsoftovog operativnog sustava. Iako se predstavlja kao sigurnosna značajka, nedavna otkrića pokazuju da ovaj čip briše vašu privatnost i potencijalno postaje instrument kontrole. Ovaj članak detaljno analizira problematiku TPM čipa i njegove veze s Microsoftovim oblačnim servisima.
Kada sigurnost postaje prijetnja privatnosti
Početak problema uočen je nakon kupnje novog Lenovo ThinkPad X1 Carbon Gen 13 laptopa s Windows 11 operativnim sustavom. Kao što mnogi korisnici rade, pokušaj instalacije dualboot sustava s Ubuntu distribucijom Linuxa postao je noćna mora. Nakon uspješne instalacije Ubuntua, isključivanjem Secure Boot opcije (uobičajen postupak za razvojne programere koji koriste nepotpisane bootloadere) dogodilo se nešto neočekivano – cijeli disk se zaključao. Ubuntu particija postala je nedostupna, GRUB bootloader izbrisan, a jedini način oporavka bio je preuzimanje Lenovo recovery USB-a i ponovno formatiranje tvrdog diska, što je rezultiralo gubitkom svih podataka.
Razlog ovog katastrofalnog scenarija leži u činjenici da je BitLocker sada automatski omogućen na Copilot Plus računalima i čvrsto povezan s TPM čipom. BitLocker je dizajniran da radi s Window Recall funkcijom, ali posljedice su dalekosežnije nego što Microsoft javno priznaje.
Digitalni identitet i endorsement ključ
Kada se disk zaključao, bootloader je ponudio opciju oporavka putem Microsoft računa na adresi aka.ms/bitlockerrecovery. Iako je korisnik namjerno odabrao lokalni račun prilikom instalacije, sustav je zahtijevao identifikaciju putem Microsoft računa. Nakon prijave, sustav je prikazao ime uređaja, 48-znamenkasti BitLocker ključ za oporavak i endorsement ključ (EK) TPM čipa – jedinstveni 2048-bitni RSA javni ključ.
Ovaj endorsement ključ predstavlja trajni digitalni identitet vašeg računala. Tvornički je upisan u TPM čip i ne može se promijeniti. Jednom kada koristite BitLocker, ovaj EK postaje vaša digitalna putovnica neizbrisivo povezana s vašim Microsoft računom, Windows Hello servisom i svim oblačnim uslugama koje koriste Microsoft API-je za pristup TPM-u.
Microsoft trenutno na široj razini koristi EK za BitLocker oporavak, oblačne usluge i sustave protiv varanja u igrama poput Valoranta i Fortnitea. Međutim, kritično je razumjeti da Microsoft izlaže otvoreni API koji omogućava bilo kojoj aplikaciji s administratorskim pravima da pristupi TPM-u i otkrije endorsement ključ. Za razliku od iPhonea gdje samo Apple, Google i telekom operater mogu pročitati jedinstveni identifikator uređaja, na Windows 11 računalu svaka aplikacija s administratorskim pravima može dohvatiti vaš EK.
Microsoft Cloud Cryptography i PCP
Microsoft Platform Crypto Provider (PCP) predstavlja vrstu kriptografskog pružatelja usluga koji sve TPM operacije usmjerava kroz Microsoftov oblak. To nije samo upravljački program nego oblačni servis. Microsoft pruža API za aplikacije kako bi komunicirale sa sigurnosnim funkcijama TPM čipa, ali sve se to odvija putem Microsoftovog oblaka.
To znači da Microsoft zna svaku sigurnosnu interakciju, uključujući korištenje Windows Hello, pokretanje računala s BitLockerom, ili interakciju s bilo kojom aplikacijom koja koristi Microsoftove sigurnosne značajke poput aplikacija za igre. Kada generirate ključ pomoću PowerShella, taj ključ je zapečaćen u TPM-u i registriran na Microsoftovim oblačnim poslužiteljima.
PCP izlaže različite API-je, a svaki poziv prolazi kroz Microsoftovu infrastrukturu za potvrdu autentičnosti. Microsoft tako može izgraditi bazu podataka svih Windows 11 uređaja i pratiti korištenje tih ključeva.
Platform Configuration Registers (PCR)
Još jedna problematična značajka odnosi se na Platform Configuration Registers (PCR). Ovi registri predstavljaju mehanizam za praćenje hardvera i bilježenje konfiguracije u TPM-u, što se može ispitivati daljinski i lokalno putem bootloadera.
TPM mjeri vaš hardver pri svakom pokretanju i pohranjuje informacije u PCR-ovima. Pri svakom pokretanju, bootloader može ispitati određene karakteristike na temelju odabranog PCR-a. Posebno je problematičan PCR1 koji uključuje CPU mikrocode, firmware matične ploče, NVME pogon, UUID-ove i GUID-ove particija.
Kada korisnik zamijeni SSD pogon, UUID pogona se mijenja. TPM primjećuje nepodudarnost prilikom provjere PCR1, što signalizira Windows 11 bootloaderu da preuzme kontrolu i izbriše GRUB bootloader. Ovo nije greška nego namjerni dizajn koji otežava korištenje dualboot konfiguracija.
Udaljeno atestiranje
Najproblematičniji aspekt je mogućnost udaljenog atestiranja. Koristeći Microsoftovu PCP uslugu, svaka aplikacija može daljinski ispitati vaš TPM i dobiti potpisani PCR citat. Aplikacija poziva “Get TPM attestation quote”, TPM potpisuje sve PCR-ove s atestacijskim identifikacijskim ključem, a taj citat se šalje Microsoftovoj oblačnoj usluzi nazvanoj Azure Attestation Service.
Microsoft zatim vraća informacije poput “ovaj uređaj pokreće Windows 11 24H2”, “ovaj uređaj ima omogućen Secure Boot” ili “ovaj uređaj nema Linux bootloader”. Ova funkcija je već aktivna kroz Windows Device Health Attestation, a svaka aplikacija je može koristiti.
Na primjer, bankarska aplikacija može provjeriti pokrećete li Linux, pozvati atestaciju, vidjeti da PCR4 sadrži GRUB potpis, i zatim odbiti prijavu. Google radi slično na Androidu s Play Integrity API-jem, gdje neke bankarske aplikacije neće raditi u Europi ako ne koriste Google atestaciju. Microsoft gradi istu sposobnost za PC računala.
Može li Microsoft vidjeti sve?
Odgovor je potvrdan. Svaki put kada koristite BitLocker, registrirate se u Windows Hello, koristite TPM zaštićeni certifikat ili pokrećete Copilot PC značajku, vaš EK i PCR-ovi šalju se Microsoftu. Oni ne trebaju hakirati vaše računalo jer im vi sami šaljete podatke.
Za aplikacije koje zahtijevaju Microsoft Attestation usluge, morat ćete biti prijavljeni s Microsoft ID-om jer lokalni račun nije dovoljan. Svi atestacijski procesi moraju biti potpisani i potvrđeni putem Microsoftovog PCP-a. Microsoft je tako postao posrednik u svim važnim procesima vašeg računala.
Windows Copilot i AI koji nikad ne zaboravlja
Windows Recall snima zaslonske snimke svakih 3 sekunde i pohranjuje analize u enkriptiranim SQLite bazama podataka. Pogađate li što ih enkriptira? Upravo TPM. Razlog zašto trebaju TPM i BitLocker za enkripciju je da se vaše ponašanje može bilježiti, vaš identitet povezati s TPM-om, a vaša konfiguracija atestirati.
Microsoft tvrdi da ne bismo trebali brinuti jer je sve lokalno, ali ne postoji tehnička prepreka za slanje uputa AI pomoćniku da pregleda vašu bazu podataka i izvijesti o nalazima središnjici. Apple je već dokazao da je to moguće s Neural Hashom, gdje je skenirao fotografije i uspoređivao ih s predefiniranim hash vrijednostima.
Microsoft može učiniti isto, a Windows Recall je mnogo sposobniji. S današnjim LLM modelima, Copilot može jednostavno dobiti upute da “sažme korisnikovo ponašanje u proteklom tjednu” – je li posjetio forume o privatnosti, tražio kako onemogućiti TPM, otvorio Tor, itd.
Lanac kontrole
Kada spojimo sve elemente, dobivamo kompletan lanac kontrole. Imate neizbježan identitet s Microsoft ključem i trajnim TPM endorsement ključem. Kroz PCR-ove, aplikacije mogu zahtijevati vrlo specifične konfiguracije vašeg sustava, sve potvrđeno od strane TPM-a s atestacijom. Uz to, vaše ponašanje se može pratiti putem Microsoft Recalla i Copilota.
Sljedeći korak mogao bi biti zaključavanje korisnika putem pravila ako vas žele isključiti – svojevrsni digitalni “debanking” 2.0. Podsjetimo se da su u Velikoj Britaniji Nigel Farage i u Kanadi vozači kamiona ostali bez pristupa bankovnim računima zbog političkih stavova. U Kini, nizak socijalni rejting znači nemogućnost korištenja WeChat usluge, njihovog primarnog načina plaćanja. Sada slična sofisticirana infrastruktura postoji i na Zapadu.
Kako se zaštititi?
Ne morate sudjelovati u ovoj igri. Jedini način da pobijedite je ako tržište kaže “ne”, a mi kao potrošači moramo odlučiti da ne želimo ono što nam se nameće.
Evo nekoliko važnih preporuka:
- Ne koristite Windows 11 kao glavni operativni sustav. Ostanite na Windows 10, a Windows 11 pokrenite u virtualnom stroju ili ograničite njegovo korištenje na minimum. Koristite Linux za sve ostalo.
- Onemogućite ili resetirajte TPM, ali s oprezom. Endorsement ključ (EK) ne može se promijeniti jer je tvornički upisan u TPM. Ne postoji API, BIOS postavka ili naredba za brisanje TPM-a koja će ga ikada promijeniti. Možete:
- nemogućiti TPM u BIOS-u (preporučeno) – na Lenovo ThinkPadu to znači ponovno pokretanje, pritisak F1, odlazak u Sigurnost, Trusted Computing, postavljanje TPM stanja na “onemogućeno”, te spremanje i izlazak. BitLocker će se suspendirati, a neke aplikacije poput TurboTaxa možda će odbiti pokretanje.
- Resetirati vlasništvo nad TPM-om, ali samo ako se nikada više ne prijavite u Microsoft. Pokrenite “Clear-TPM” u PowerShellu s administratorskim pravima. Time se uklanja vlasništvo nad TPM-om, brišu atestacijski identitetski ključevi i poništavaju BitLocker zaštite. Međutim, ako se ponovno prijavite istim Microsoft računom, Microsoft će pročitati vaš EK i ponovno povezati sve jer je EK tvornički upisan. Jedini način da trajno prekinete lanac je resetirati TPM, stvoriti lokalni račun, nikada se ne prijaviti s Microsoft računom, suspendirati BitLocker i koristiti drugo računalo za Microsoft usluge.
- Nikada ne koristite ugrađenu AI. Izbjegavajte Copilot, Apple Intelligence i Google Gemini. Koristite Linux na računalima i de-Google-izirani OS na telefonu. Ugrađena AI je kontrolirana od strane nekog drugog, dok je lokalna AI koju ste sami instalirali pod vašom kontrolom.
- Bojkotirajte aplikacije koje koriste atestaciju. Ako banka koristi atestaciju, promijenite banku. Ako državne službe koriste atestaciju, zahtijevajte alternative. Napustite društvene platforme koje to zahtijevaju.
Pazite
Ovo nije budućnost, već sadašnjost. Svako novo PC računalo isporučuje se s obaveznim TPM 2.0, BitLockerom koji je automatski omogućen i Copilotom koji prati vaše aktivnosti. Vi niste korisnik, vi ste proizvod. Onemogućite TPM, prijeđite na Linux i odbijte AI pomoćnika jer sutra vaše računalo možda odluči da vam nije dopušteno prijaviti se.
Današnji svijet kibernetičke sigurnosti često je u sukobu s privatnošću. Tko postavlja pravila kibernetičke sigurnosti – u ovom slučaju velike tehnološke tvrtke – možda nema iste prioritete kao vi. Njihova kibernetička sigurnost može značiti vaš gubitak privatnosti, a TPM je savršen primjer toga. Umjesto da štiti korisnika, postao je alat za praćenje, kontrolu i potencijalno ograničavanje vaše slobode u digitalnom svijetu.
Kad istina postane vlasništvo je propaganda ali i kraj.
Problem mržnje Bila Gejtsa prema slobodnom kodu sam jedno vreme rešavao sa dva diska. Jedan Lin drugi Win a svič u biosu.
–
Sada se problem rešio na prirodan način.
Ne koristim Win.
Najnovija igra Battlefiled 6, ne radi ukoliko igrač u biosu ne upali TMP i secure Boot, kao jer su potrebni za anticheat program. my ass
Баш штета што немам Мајкрософт налог …
Ta .Dualni OS ..Neka od Linux Distros kao glavna i neki od Win bez konekcije na mrežu i za rad sa grafičkim programima te čitačima kartica i slično …Win je neupotrjebljiv i outdated …
Nadzor iz zraka: kako se normalizira pogled odozgo Danas policija diljem Hrvatske dronovima nadzire promet i bilježi prekršaje. Većina će medijskih naslova naglasiti “učinkovitost” i “sigurnost” — stotine prekršaja zabilježene, kazne izrečene, sustav funkcionira. No ispod te slike reda i napretka, odvija se proces mnogo dublji od prometne kontrole: normalizacija stalnog nadzora iz zraka, korak po korak, kroz narativ koristi i nužnosti. Na prvi pogled, dronovi se pojavljuju kao praktično rješenje: olakšati posao policiji, smanjiti broj prometnih nesreća, povećati sigurnost građana. U toj fazi, fazi “javnog interesa” — nadzor se propagira kao pomoć, ne prijetnja “Dronovi zabilježili stotine prekršaja.” “Policija dronovima spriječila nesreće.” “Tehnologija pomaže sigurnosti u prometu.” To je pozitivni okvir koji potiče javno odobravanje. Tehnologija se ne prikazuje kao alat kontrole, nego kao zaštitnik. Psihološki efekt: ljudi se osjećaju sigurnije, a ne nadzirano — i to je ključno za dobivanje pristanka bez otpora. Nakon što se društvo navikne… Čitaj više »
Postoje žive Linux distribucije koje se mogu instalirati na USB stick i pokretati s njega, čak i ako imamo Windows 11 na SSD-u. Potrebno je postaviti BIOS tako da se USB pokrene prije SSD-a, ali ako želimo pokrenuti Windows, samo trebamo izvaditi USB stick prije pokretanja. Promjene se spremaju na USB stick, ili ne, ako ih ne želimo spremiti. Odzivnost je bolja nego kod Windowsa, koji koristim samo za povezivanje s televizorom radi gledanja utakmica, jer je Linux manje pouzdan pri povezivanju putem HDMI-ja. Puppy Linux, na primjer, vrlo je dobro dizajniran za pokretanje s USB sticka, ali nije jedini takav.
Sve mi se čini da uskoro više neće biti moguće ići na internet bez tog identificiranja korisnika. Sa ciljem praćenja i naplate raznog sadržaja na internetu. Zato uvode digitalni novac da se naplate bez pristanka korisnika, vadili bi se da je korisnik pristao na naplatu samo zato što je kliknuo na sadržaj.
Nekad udbaš sjedio pod prozorom i slušo sad prozor sluša šta mlatiš….. U čemu razlika? Ni u čemu. Stado ovčica i na planinu pa neka slušaju kako ovce bleje….
Nemam ga ai g+odbijam.
Dok je Trump “spašavao” svijet, njegov rejting odobravanja u SAD-u pao je na dno. Rejting odobravanja američkog predsjednika Donalda Trumpa pao je na najnižu razinu cijelog njegovog drugog mandata – 37%. CNN izvještava o tome, pozivajući se na zajedničku anketu s istraživačkom službom SSRS. Prema podacima, 63% Amerikanaca ima negativno mišljenje o Trumpovoj učinkovitosti – rekordno visoka razina za oba njegova mandata i niža nego čak i u siječnju 2021., kada je napustio Bijelu kuću. Prosječni rejting odobravanja predsjednika trenutno iznosi 41%, ali nastavlja padati. Unatoč padu rejtinga odobravanja, pozicija demokrata je ojačala. Kad bi se izbori održali sada, 47% birača glasalo bi za njega, dok bi 42% podržalo republikance. https://s.w.org/images/core/emoji/16.0.1/svg/2714.svgVećina ispitanika nezadovoljna je gospodarstvom: 72% smatra da je “u lošem stanju”, a 61% smatra da su ga Trumpove politike samo pogoršale. Još 68% Amerikanaca smatra da se zemlja kreće “u krivom smjeru”.
Još malo i sagradim kolibu od blata i pruća i bacim prislušni u pizdu lepe.Napredak mi je nazadak a i mislim da će zbog ovaca doći do reseta.
Senzacionalisticki clanak koji ne odgovara tehnicki istini
Eto kakvo smo mi društvo ovdje na logicno.com, fiktivni članak o stanovitom Mirzi i Zdravku Mamiću ubere 150 komentara a članak kako Bil Gejts želi špijunirati cijeli svijet putem operativnog sustava windows 11 tek 19. Ojha, obrni, okreni, podbodi…
Imam linux mint i jedino za što ti postani windowsi trebaju je igranje piratskih igrica, no to me više zaboli, pa ni ne pokrećem windowse, ne igram više igrice jer sam ostario i zaboli me za to..
Svijet mora Srusiti monopol Microsofta i tuziti ga za kradu i provalu u informacijske sustave. Takoder potrebno je hitno izgraditi drugu jednostavniju i jeftiniju latformu za osobna racunala. Microsoft je posta zlo koje se otrglo kontroli.
Godinama postoje izrezane verzije Windows 10 i 11 koje odlično rade i koje imaju izbačene TPM i druge njihove kontrolorske trikove, tako da se ne treba kreirati niti MicroSoft račun na Wndows 11.
To su verzije Lite, SuperLite, UltraLight, Atomic i slične koje rade čak i na super starim računalima iz 2007. godine.
odličan članak! ibm lenovo stara thinkcentre računala su isto tako imala tpm modul koji se lako mogao onemogućiti…
ne razumijem ništa od napisanog, ali niti nemam nov i moderan komp ili laptop, pa znam da ne može niti da radi na win 11 pa onda valjda nemam te brige
sta ce mi spijunirati, moje slike golotinje?