+

AT527294B1 - data processing system for trusted computing - Google Patents

data processing system for trusted computing Download PDF

Info

Publication number
AT527294B1
AT527294B1 ATA50493/2023A AT504932023A AT527294B1 AT 527294 B1 AT527294 B1 AT 527294B1 AT 504932023 A AT504932023 A AT 504932023A AT 527294 B1 AT527294 B1 AT 527294B1
Authority
AT
Austria
Prior art keywords
processing system
data processing
microcontroller
mass storage
data bus
Prior art date
Application number
ATA50493/2023A
Other languages
German (de)
Other versions
AT527294A4 (en
Original Assignee
MUSE Electronics GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by MUSE Electronics GmbH filed Critical MUSE Electronics GmbH
Priority to ATA50493/2023A priority Critical patent/AT527294B1/en
Priority to PCT/AT2024/060230 priority patent/WO2024259461A1/en
Application granted granted Critical
Publication of AT527294A4 publication Critical patent/AT527294A4/en
Publication of AT527294B1 publication Critical patent/AT527294B1/en

Links

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0877Generation of secret information including derivation or calculation of cryptographic keys or passwords using additional device, e.g. trusted platform module [TPM], smartcard, USB or hardware security module [HSM]
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0668Interfaces specially adapted for storage systems adopting a particular infrastructure
    • G06F3/0671In-line storage system
    • G06F3/0683Plurality of storage devices
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0668Interfaces specially adapted for storage systems adopting a particular infrastructure
    • G06F3/0671In-line storage system
    • G06F3/0683Plurality of storage devices
    • G06F3/0689Disk arrays, e.g. RAID, JBOD
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • H04L9/0897Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Human Computer Interaction (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Stored Programmes (AREA)

Abstract

Eine Datenverarbeitungsanlage (1) umfasst eine Prozessoreinheit (2), zumindest zwei wahlweise anschließbare Massenspeicher (6i) und entweder ein Trusted-Platform-Modul (8) mit zumindest zwei umschaltbaren Registerbänken (PCRi) oder zumindest zwei umschaltbare physische oder virtuelle Trusted-Platform-Module (8i). Jeweils eine der Registerbänke (PCRi) oder eines der Trusted-Platform-Module (8i) wird entsprechend dem angeschlossenen Massenspeicher (6i) aktiviert oder jeweils eines der Trusted-Platform-Module (8i) wird gemeinsam mit dem jeweiligen Massenspeicher angeschlossen (6i).A data processing system (1) comprises a processor unit (2), at least two selectively connectable mass storage devices (6i) and either a trusted platform module (8) with at least two switchable register banks (PCRi) or at least two switchable physical or virtual trusted platform modules (8i). One of the register banks (PCRi) or one of the trusted platform modules (8i) is activated in accordance with the connected mass storage device (6i) or one of the trusted platform modules (8i) is connected together with the respective mass storage device (6i).

Description

8 NN 8 NN

BeschreibungDescription

[0001] Die vorliegende Erfindung betrifft eine Datenverarbeitungsanlage umfassend eine zentrale Prozessoreinheit, die von einer Stromversorgung gespeist ist, zumindest zwei Massenspeicher, von denen wahlweise einer über einen ersten Datenbus an die zentrale Prozessoreinheit anschließbar ist, und ein Trusted-Platform-Modul, das über einen zweiten Datenbus an die zentrale Prozessoreinheit anschließbar ist. [0001] The present invention relates to a data processing system comprising a central processor unit which is fed by a power supply, at least two mass storage devices, one of which can optionally be connected to the central processor unit via a first data bus, and a trusted platform module which can be connected to the central processor unit via a second data bus.

[0002] Eine Datenverarbeitungsanlage mit einem Trusted-Platform- Modul (TPM) wird auch als Trusted-Computing-Platform (TC Platform) bezeichnet. Das TPM ist ein Hard- oder Softwareelement nach der TPM-Spezifikation, die von der Trusted Computing Group (TCG) standardisiert wird, siehe z.B. „Trusted Platform Module (TPM) Summary“ vom 29. April 2008 der TCG unter www.trustedcomputinggroup.org, zuletzt in der Version TPM 2.0. Das TPM ist in der Praxis meist als gesonderter Hardware-Chip ausgeführt, der direkt über einen eigenen Datenbus an die zentrale Prozessoreinheit angeschlossen ist, beispielsweise einen seriellen Bus nach den Standards SPI (Serial Peripheral Interface), LPC (Low Pin Count) oder i°C. [0002] A data processing system with a Trusted Platform Module (TPM) is also referred to as a Trusted Computing Platform (TC Platform). The TPM is a hardware or software element according to the TPM specification, which is standardized by the Trusted Computing Group (TCG), see e.g. "Trusted Platform Module (TPM) Summary" from April 29, 2008 by the TCG at www.trustedcomputinggroup.org, most recently in version TPM 2.0. In practice, the TPM is usually designed as a separate hardware chip that is directly connected to the central processing unit via its own data bus, for example a serial bus according to the SPI (Serial Peripheral Interface), LPC (Low Pin Count) or i°C standards.

[0003] Ein TPM kann für viele Sicherheitsanwendungen im Rahmen der Datenverarbeitungsanlage verwendet werden. Es stellt dazu beispielsweise einen Zufallszahlengenerator, kryptografische Verschlüsselungsalgorithmen, Schlüssel und geschützte Speicherbereiche für verschlüsselte Daten zur Verfügung. Im Zusammenhang mit Massenspeichern kann das TPM beispielsweise zur hardwarenahen Verschlüsselung des Inhalts des Massenspeichern verwendet werden. Oder das TPM dient als geschützter Speicher für verschlüsselte Hash-Werte von Snapshots der Hardware und/oder des auf einem Massenspeicher gespeicherten Betriebssystems beim Hochfahren (Booten) des Betriebssystems, um dessen Softwareintegrität zu verifizieren oder eine korrekte Hardwarezuordnung zu gewährleisten. Beispielsweise wird in DE 10 2015 115 533 A1 eine Datenverarbeitungsanlage mit redundanter Speicherlaufwerksanordnung - auch als „Redundant Array of Independent Disks“ (RAID) bekannt - offenbart, welche unter anderem einen Anschluss für ein TPM hat. Das TPM wird dabei dazu verwendet, Systeme zu authentifizieren, die Speicherzugriff suchen. [0003] A TPM can be used for many security applications within the data processing system. For example, it provides a random number generator, cryptographic encryption algorithms, keys and protected storage areas for encrypted data. In connection with mass storage devices, the TPM can be used, for example, for hardware-level encryption of the contents of the mass storage device. Or the TPM serves as a protected storage for encrypted hash values of snapshots of the hardware and/or the operating system stored on a mass storage device when the operating system is booted in order to verify its software integrity or to ensure correct hardware assignment. For example, DE 10 2015 115 533 A1 discloses a data processing system with a redundant storage drive arrangement - also known as a "Redundant Array of Independent Disks" (RAID) - which has, among other things, a connection for a TPM. The TPM is used to authenticate systems that are seeking memory access.

[0004] Die Verwendung ein und derselben Datenverarbeitungsanlage mit verschiedenen Betriebssystemen, die auf unterschiedlichen Massenspeichern gespeichert sind, oder mit unterschiedlich verschlüsselten Massenspeichern ist mit den bekannten Lösungen nur schwer möglich. Die Erfindung setzt sich zum Ziel, diese Einschränkungen zu überwinden und eine Datenverarbeitungsanlage zu schaffen, welche massenspeicherbezogene TPM-Dienste zur Verwendung mit unterschiedlichen Massenspeichern zur Verfügung stellen kann. [0004] The use of one and the same data processing system with different operating systems stored on different mass storage devices or with differently encrypted mass storage devices is difficult with the known solutions. The invention aims to overcome these limitations and to create a data processing system which can provide mass storage-related TPM services for use with different mass storage devices.

[0005] Dieses Ziel wird in einer ersten Ausführungsform der Erfindung mit einer Datenverarbeitungsanlage der einleitend genannten Art erreicht, die sich durch einen Mikrokontroller auszeichnet, der an den zweiten Datenbus anschließbar ist, wobei das Trusted-Platform-Modul zumindest zwei Registerbänke von Platform-Configuration-Registern hat, von denen in einem Betriebsmodus der Datenverarbeitungsanlage jeweils nur eine Registerbank aktiv ist und die aktive Registerbank durch einen vom Mikrokontroller empfangenen Steuerbefehl einstellbar ist, wobei der Mikrokontroller dafür ausgebildet ist, in einem Konfigurationsmodus der Datenverarbeitungsanlage mittels des Steuerbefehls die aktive Registerbank entsprechend dem für den Betriebsmodus ausgewählten Massenspeicher einzustellen. [0005] This aim is achieved in a first embodiment of the invention with a data processing system of the type mentioned in the introduction, which is characterized by a microcontroller that can be connected to the second data bus, wherein the trusted platform module has at least two register banks of platform configuration registers, of which only one register bank is active in an operating mode of the data processing system and the active register bank can be set by a control command received from the microcontroller, wherein the microcontroller is designed to set the active register bank in a configuration mode of the data processing system by means of the control command in accordance with the mass storage device selected for the operating mode.

[0006] Bevorzugt weist die Datenverarbeitungsanlage in dieser Ausführungsform einen vom Mikrokontroller einstellbaren, in den zweiten Datenbus eingeschalteten Umschalter auf, welcher das Trusted-Platform-Modul entweder an die zentrale Prozessoreinheit oder an den Mikrokontroller anschließt, wobei der Mikrokontroller dafür ausgebildet ist, mittels des Umschalters das Trusted-Platform-Modul im Betriebsmodus an die zentrale Prozessoreinheit und im Konfigurationsmodus an den Mikrokontroller anzuschließen. [0006] Preferably, in this embodiment, the data processing system has a switch which is adjustable by the microcontroller and connected to the second data bus, which connects the trusted platform module either to the central processor unit or to the microcontroller, wherein the microcontroller is designed to connect the trusted platform module to the central processor unit in the operating mode and to the microcontroller in the configuration mode by means of the switch.

[0007] In einer zweiten Ausführungsform erreicht die Erfindung ihr Ziel mit einer Datenverarbeitungsanlage der einleitend genannten Art, welche sich durch einen Mikrokontroller und einen vom Mikrokontroller einstellbaren, in den zweiten Datenbus eingeschalteten Umschalter auszeichnet, [0007] In a second embodiment, the invention achieves its objective with a data processing system of the type mentioned in the introduction, which is characterized by a microcontroller and a switch adjustable by the microcontroller and connected to the second data bus,

SS N 8 N SS N 8 N

Sr ‚hes AT 527 294 B1 2025-01-15 Sr 'hes AT 527 294 B1 2025-01-15

welcher die zentrale Prozessoreinheit in einem Betriebsmodus der Datenverarbeitungsanlage über den zweiten Datenbus entweder an das erste Trusted-Platform-Modul oder an ein zweites Trusted-Platform- Modul anschließt, wobei der Mikrokontroller dafür ausgebildet ist, in einem Konfigurationsmodus der Datenverarbeitungsanlage den Umschalter entsprechend dem für den Betriebsmodus ausgewählten Massenspeicher einzustellen. which connects the central processor unit in an operating mode of the data processing system via the second data bus either to the first trusted platform module or to a second trusted platform module, wherein the microcontroller is designed to set the switch in a configuration mode of the data processing system according to the mass storage selected for the operating mode.

[0008] In einer dritten Ausführungsform schafft die Erfindung eine Datenverarbeitungsanlage der einleitend genannten Art, die sich auszeichnet durch einen Mikrokontroller, der an den zweiten Datenbus angeschlossen und dafür ausgebildet ist, sowohl das erste Trusted-Platform-Modul als auch ein zweites Trusted- Platform-Modul jeweils als Software-Instanz zu emulieren, von welchen Software-Instanzen in einem Betriebsmodus der Datenverarbeitungsanlage jeweils nur eine aktiv ist, wobei der Mikrokontroller dafür ausgebildet ist, in einem Konfigurationsmodus der Datenverarbeitungsanlage die aktive Software-Instanz entsprechend dem für den Betriebsmodus ausgewählten Massenspeicher einzustellen. [0008] In a third embodiment, the invention provides a data processing system of the type mentioned in the introduction, which is characterized by a microcontroller which is connected to the second data bus and is designed to emulate both the first trusted platform module and a second trusted platform module as a software instance, of which software instances only one is active in an operating mode of the data processing system, wherein the microcontroller is designed to set the active software instance in a configuration mode of the data processing system according to the mass storage device selected for the operating mode.

[0009] In dieser Ausführungsform sind die zwei Trusted-Platformform-Module der zweiten Ausführungsform als Software-Instanzen im Mikrocontroller realisiert, was die praktische Implementierung vereinfacht. [0009] In this embodiment, the two Trusted Platform modules of the second embodiment are implemented as software instances in the microcontroller, which simplifies the practical implementation.

[0010] In allen drei genannten Ausführungsformen ist es besonders günstig, wenn jeder Massenspeicher mit einer maschinenlesbaren Kennung versehen und der Mikrokontroller mit einem Lesegerät zum Lesen von Kennungen verbunden und dafür ausgebildet ist, den für den Betriebsmodus ausgewählten Massenspeicher anhand der vom Lesegerät gelesenen Kennung zu detektieren. [0010] In all three embodiments mentioned, it is particularly favorable if each mass storage device is provided with a machine-readable identifier and the microcontroller is connected to a reader for reading identifiers and is designed to detect the mass storage device selected for the operating mode on the basis of the identifier read by the reader.

[0011] Bevorzugt ist der Konfigurationsmodus zum Betriebsmodus alternativ, könnte aber auch vorübergehend parallel zum Betriebsmodus eingenommen werden. [0011] Preferably, the configuration mode is alternative to the operating mode, but could also be temporarily adopted in parallel to the operating mode.

[0012] In einer vierten Ausführungsform löst die Erfindung die genannte Aufgabe mit einer Datenverarbeitungsanlage der einleitend genannten Art, welche sich durch ein zweites TrustedPlatform-Modul auszeichnet, das wahlweise anstelle des ersten Trusted-Platform-Moduls an den zweiten Datenbus anschließbar ist, wobei jeweils einer der Massenspeicher und jeweils eines der Trusted-Platform-Module, das diesem Massenspeicher zugeordnet ist, in einem gemeinsamen Transportgehäuse angeordnet sind, welches lösbar mit der restlichen Datenverarbeitungsanlage verbunden ist. [0012] In a fourth embodiment, the invention achieves the stated object with a data processing system of the type mentioned in the introduction, which is characterized by a second TrustedPlatform module that can be optionally connected to the second data bus instead of the first TrustedPlatform module, wherein one of the mass storage devices and one of the TrustedPlatform modules that is assigned to this mass storage device are arranged in a common transport housing that is detachably connected to the rest of the data processing system.

[0013] In jeder der genannten vier Ausführungsformen ermöglicht die erfindungsgemäße Datenverarbeitungsanlage die wahlweise Verwendung unterschiedlicher Massenspeicher, beispielsweise mit unterschiedlichen Betriebssystemen bespielt oder in unterschiedlicher Weise verschlüsselt, in Zusammenhang mit den TPM- Diensten eines für den jeweiligen Massenspeicher individuell konfigurierten TPMs oder individuell konfigurierten Platform-Configuration-Registers (PCRs) eines TPMs. [0013] In each of the four embodiments mentioned, the data processing system according to the invention enables the optional use of different mass storage devices, for example loaded with different operating systems or encrypted in different ways, in connection with the TPM services of a TPM individually configured for the respective mass storage device or individually configured Platform Configuration Registers (PCRs) of a TPM.

[0014] Durch die Verwendung eines Umschalters kann in den beiden ersten Ausführungsformen sichergestellt werden, dass das TPM über den zweiten Datenbus stets nur mit einer einzigen Komponente am Bus kommuniziert, sodass Kommunikationsstörungen vermieden werden. Darüber hinaus ist diese Ausführungsform besonders für einfache TPMs geeignet, welche nicht für Mehrpartner-Kommunikationen ausgerüstet sind. [0014] By using a switch, it can be ensured in the first two embodiments that the TPM only ever communicates with a single component on the bus via the second data bus, thus avoiding communication disruptions. In addition, this embodiment is particularly suitable for simple TPMs that are not equipped for multi-partner communications.

[0015] In der vierten Ausführungsform, in welcher jeweils ein TPM und ein Massenspeicher in einem eigenen, an die restlichen Datenverarbeitungsanlage anschließbaren Gehäuse vereinigt sind, kann anstelle des wahlweisen Umschaltens eines Schalters einfach wahlweise ein anderes Transportgehäuse angeschlossen werden. Die Erfindung schafft so eine neues Produkt, nämlich eine wechselbare Einheit aus Massenspeicher und TPM, die austauschbar mit ein und derselben zentralen Prozessoreinheit verwendet werden kann. [0015] In the fourth embodiment, in which a TPM and a mass storage device are combined in a separate housing that can be connected to the rest of the data processing system, instead of selectively switching a switch, a different transport housing can simply be optionally connected. The invention thus creates a new product, namely an exchangeable unit consisting of mass storage device and TPM that can be used interchangeably with one and the same central processing unit.

[0016] In den ersten drei Ausführungsformen kann bevorzugt vorgesehen werden, im Konfigurationsmodus die Stromversorgung der zentralen Prozessoreinheit zu unterbrechen. Dadurch startet die zentrale Prozessoreinheit nach Rückkehr in den Betriebsmodus und damit Wiedereinschalten der Stromversorgung neu und fährt unter Verwendung des jeweils angeschlossenen [0016] In the first three embodiments, provision can preferably be made to interrupt the power supply of the central processing unit in configuration mode. As a result, the central processing unit restarts after returning to the operating mode and thus switching the power supply back on and continues using the respectively connected

Massenspeichers und zugeordneten TPMs hoch. mass storage and associated TPMs.

[0017] Der erste Datenbus kann nach jedem in der Technik bekannten, für die Anbindung von Massenspeichern geeigneten Stand der Technik ausgeführt sein. Bevorzugt ist der erste Datenbus nach einem der Standards USB, USB-C, Thunderbolt, SATA, eSATA, PCI oder PCIe ausgebildet. [0017] The first data bus can be designed according to any state of the art known in the art that is suitable for connecting mass storage devices. The first data bus is preferably designed according to one of the standards USB, USB-C, Thunderbolt, SATA, eSATA, PCI or PCIe.

[0018] Auch der zweite Datenbus kann nach jedem in der Technik bekannten, für die Anbindung von TPMs geeigneten Standard ausgeführt sein. Bevorzugt ist der zweite Datenbus nach einem der Standards i2C, SPI oder LPC ausgebildet. [0018] The second data bus can also be designed according to any standard known in the art that is suitable for connecting TPMs. The second data bus is preferably designed according to one of the standards i2C, SPI or LPC.

[0019] In allen genannten Ausführungsformen ist bevorzugt jeder der Massenspeicher eine Halbleiter-Festplatte oder ein nichtvolatiler Speicherchip. [0019] In all the above-mentioned embodiments, each of the mass storage devices is preferably a semiconductor hard disk or a non-volatile memory chip.

[0020] Die Erfindung wird nachstehend anhand von in den beigeschlossenen Zeichnungen dargestellten Ausführungsbeispielen näher erläutert. In den Zeichnungen zeigt: [0020] The invention is explained in more detail below with reference to embodiments shown in the accompanying drawings. In the drawings:

[0021] Fig. 1 eine erste Ausführungsform der Datenverarbeitungsanlage der Erfindung in einem Blockschaltbild; [0021] Fig. 1 shows a first embodiment of the data processing system of the invention in a block diagram;

[0022] Fig. 2 eine zweite und eine dritte Ausführungsform der Datenverarbeitungsanlage der Erfindung in einem Blockschaltbild; und [0022] Fig. 2 shows a second and a third embodiment of the data processing system of the invention in a block diagram; and

[0023] Fig. 3 eine vierte Ausführungsform der Datenverarbeitungsanlage der Erfindung in einem Blockschaltbild. [0023] Fig. 3 shows a fourth embodiment of the data processing system of the invention in a block diagram.

[0024] In Fig. 1 ist eine erste Ausführungsform einer Datenverarbeitungsanlage 1 gezeigt. Die Datenverarbeitungsanlage 1 umfasst eine zentrale Prozessoreinheit 2, an die ein Arbeitsspeicher 3 und zumindest eine Ein/Ausgabeeinheit 4, z.B. ein Bildschirm, eine Tastatur, ein Touchscreen, ein Drucker, ein Netzwerkadapter und/oder eine beliebige Ein/Ausgabe- Schnittstelle, angeschlossen sind. [0024] Fig. 1 shows a first embodiment of a data processing system 1. The data processing system 1 comprises a central processor unit 2 to which a working memory 3 and at least one input/output unit 4, e.g. a screen, a keyboard, a touchscreen, a printer, a network adapter and/or any input/output interface, are connected.

[0025] An die zentrale Prozessoreinheit 2 ist über einen ersten Datenbus 5 wahlweise einer von mehreren Massenspeichern 6«, 6, ..., allgemein 6;, anschließbar. Die Massenspeicher 6; sind insbesondere persistente Massenspeicher, d.h. sie speichern ihren Inhalt auch ohne Stromversorgung über längere Zeit. Beispiele für solche persistente Massenspeicher sind magnetische oder optische Festplatten, Halbleiter-Festplatten oder nichtvolatile Speicherchips wie FlashRAMs, ROMs, PROMs, EPROMs, EEPROMs, SSDs (Solid State Disks) usw. Der erste Datenbus 5 kann nach einem für solche Massenspeicher 6; geeigneten Standard ausgeführt sein, beispielsweise nach den Standards USB, USB-C, Thunderbolt, SATA, eSATA, PCI oder PCle. [0025] One of several mass storage devices 6", 6, ..., generally 6;, can be optionally connected to the central processor unit 2 via a first data bus 5. The mass storage devices 6; are in particular persistent mass storage devices, i.e. they store their contents for a long time even without a power supply. Examples of such persistent mass storage devices are magnetic or optical hard disks, semiconductor hard disks or non-volatile memory chips such as FlashRAMs, ROMs, PROMs, EPROMs, EEPROMs, SSDs (Solid State Disks), etc. The first data bus 5 can be designed according to a standard suitable for such mass storage devices 6;, for example according to the USB, USB-C, Thunderbolt, SATA, eSATA, PCI or PCle standards.

[0026] An die zentrale Prozessoreinheit 2 ist über einen zweiten Datenbus 7 ein Trusted-Platform-Modul (TPM) 8 angeschlossen, und zwar im gezeigten Beispiel über einen Umschalter 9, der in den zweiten Datenbus 7 eingeschaltet ist. Das TPM 8 ist ein Trusted-Platform-Modul nach einem TPM-Standard der Trusted- Computing-Group (TCG), beispielsweise nach dem Standard TPM 1.2 oder TPM 2.0. Das TPM 8 stellt der Datenverarbeitungsanlage 1 standardisierte TPMDienste zur Verfügung und besitzt dazu zumindest eine Bank von Platform-Configuration-Registern (PCR) für die Speicherung von Schlüsseln, Hash-Werten usw., wie sie über den zweiten Datenbus 7 (z.B. verschlüsselt) eingespeichtert oder abgerufen werden können. [0026] A trusted platform module (TPM) 8 is connected to the central processor unit 2 via a second data bus 7, in the example shown via a switch 9 that is connected to the second data bus 7. The TPM 8 is a trusted platform module according to a TPM standard of the Trusted Computing Group (TCG), for example according to the TPM 1.2 or TPM 2.0 standard. The TPM 8 provides the data processing system 1 with standardized TPM services and has at least one bank of platform configuration registers (PCR) for storing keys, hash values, etc., as they can be stored or retrieved via the second data bus 7 (e.g. encrypted).

[0027] In dem hier gezeigten Beispiel hat das TPM 8 zwei oder mehrere Bänke PCR+4, PCR, ..., allgemein PCR;, von Platform- Configuration-Registern. Mittels eines internen Umschalters 10 im TPM 8 kann die im Betriebsmodus der Datenverarbeitungsanlage 1, wenn also die zentrale Prozessoreinheit 2 über den Datenbus 7 mit dem TPM 8 kommunizieren möchte, jeweils verwendete („aktive“) Registerbank PCR; ausgewählt werden. [0027] In the example shown here, the TPM 8 has two or more banks PCR+4, PCR, ..., generally PCR;, of platform configuration registers. By means of an internal switch 10 in the TPM 8, the ("active") register bank PCR; used in the operating mode of the data processing system 1, i.e. when the central processor unit 2 wants to communicate with the TPM 8 via the data bus 7, can be selected.

[0028] Zur Einstellung der Umschalter 9 und 10 umfasst die Datenverarbeitungsanlage 1 einen Mikrokontroller 11. Der Mikrokontroller 11 ist entweder ständig an den zweiten Datenbus 7 angeschlossen oder - wie im gezeigten Beispiel - über den Umschalter 9 wahlweise anstelle der zentralen Prozessoreinheit 2 mit dem TPM 8 verbindbar. In dem in Fig. 1 gezeigten Betriebsmodus der Datenverarbeitungsanlage 1 befindet sich der Umschalter 9, sofern vorhanden, in der gezeig-[0028] To set the switches 9 and 10, the data processing system 1 comprises a microcontroller 11. The microcontroller 11 is either permanently connected to the second data bus 7 or - as in the example shown - can be connected to the TPM 8 via the switch 9 instead of the central processor unit 2. In the operating mode of the data processing system 1 shown in Fig. 1, the switch 9, if present, is in the position shown.

x hes AT 527 294 B1 2025-01-15 x hes AT 527 294 B1 2025-01-15

8 NN 8 NN

ten unteren Schalterstellung, sodass der Mikrokontroller 11 vom zweiten Datenbus 7 abgetrennt und inaktiv ist. Wenn hingegen kein Umschalter 9 verwendet wird, d.h. sowohl der Mikrokontroller 11 als auch das TPM 8 an den zweiten Datenbus 7 der zentralen Prozessoreinheit 2 angeschlossen sind, enthält sich in der Mikrokontroller 11 im Betriebsmodus der Datenverarbeitungsanlage 1 jJedweder Kommunikation auf dem zweiten Datenbus 7, um die Kommunikation zwischen dem TPM 8 und der zentralen Prozessoreinheit 7 nicht zu stören. lower switch position so that the microcontroller 11 is disconnected from the second data bus 7 and is inactive. If, however, no switch 9 is used, i.e. both the microcontroller 11 and the TPM 8 are connected to the second data bus 7 of the central processor unit 2, the microcontroller 11 refrains from any communication on the second data bus 7 in the operating mode of the data processing system 1 in order not to disrupt the communication between the TPM 8 and the central processor unit 7.

[0029] Die Datenverarbeitungsanlage 1 kann - zusätzlich oder insbesondere alternativ zu ihrem Betriebsmodus - in einen speziellen Konfigurationsmodus versetzt werden. Bei Vorhandensein eines Umschalters 9 wird dann der Umschalter 9 in seine obere Stellung in Fig. 1 versetzt und dadurch das TPM 8 über den zweiten Datenbus 7 mit dem Mikrokontroller 11 verbunden. Der Mikrokontroller 11 kann selbst die Umschaltung des Umschalters 9 veranlassen, siehe Steuerpfad 12. [0029] The data processing system 1 can be put into a special configuration mode - in addition to or in particular as an alternative to its operating mode. If a switch 9 is present, the switch 9 is then put into its upper position in Fig. 1 and the TPM 8 is thereby connected to the microcontroller 11 via the second data bus 7. The microcontroller 11 can itself cause the switch 9 to switch, see control path 12.

[0030] Im Konfigurationsmodus sendet der Mikrokontroller 11 über den zweiten Datenbus 7 einen Steuerbefehl 13 an das TPM 8 zur Einstellung des TPM-internen Umschalters 10, siehe punktiert dargestellter Steuerpfad, um so eine der PCR-Registerbänke PCR: im TPM 8 als „aktive“ Registerbank für den weiteren Betrieb auszuwählen. Nach Verlassen des Konfigurationsmodus und Wiedereintritt in den Betriebsmodus, d.h. nach Versetzen des Umschalters 9 in die in Fig. 1 gezeigte untere Stellung, falls vorhanden, oder nach Enthaltung des Mikrokontrollers 7 von jedweder weiteren Kommunikation auf dem Datenbus 7, wird nun die ausgewählte Registerbank PCR: von der zentralen Prozessoreinheit 2 weiter verwendet. Die zentrale Prozessoreinheit 2 merkt nicht, dass die aktive PCR-Registerbank PCR; im TPM 8 gewechselt hat. Wenn kein Umschalter 9 verwendet wird, kann der Konfigurationsmodus auch nur vorübergehend während des Betriebsmodus eingenommen werden. [0030] In configuration mode, the microcontroller 11 sends a control command 13 to the TPM 8 via the second data bus 7 to set the TPM-internal switch 10, see the dotted control path, in order to select one of the PCR register banks PCR: in the TPM 8 as the "active" register bank for further operation. After leaving the configuration mode and re-entering the operating mode, i.e. after moving the switch 9 to the lower position shown in Fig. 1, if present, or after the microcontroller 7 abstains from any further communication on the data bus 7, the selected register bank PCR: is now used by the central processor unit 2. The central processor unit 2 does not notice that the active PCR register bank PCR; in the TPM 8 has changed. If no switch 9 is used, the configuration mode can also be entered only temporarily during the operating mode.

[0031] Optional kann im Konfigurationsmodus eine die zentrale Prozessoreinheit 2 speisende Stromversorgung 14 über einen steuerbaren Schalter 15 und einen entsprechenden Steuerpfad 16 vom Mikrokontroller 11 unterbrochen werden. Auch dadurch kann eine exklusive Kommunikation zwischen dem Mikrokontroller 11 und dem TPM 8 im Konfigurationsmodus erreicht werden, insbesondere wenn kein Umschalter 9 vorgesehen ist. [0031] Optionally, in configuration mode, a power supply 14 feeding the central processor unit 2 can be interrupted by the microcontroller 11 via a controllable switch 15 and a corresponding control path 16. This also makes it possible to achieve exclusive communication between the microcontroller 11 and the TPM 8 in configuration mode, in particular if no switch 9 is provided.

[0032] Der Mikrokontroller 11 ist so programmiert, dass er die Auswahl der jeweiligen Registerbank PRC; durch Steuerung des Umschalters 10 je nach dem gerade an den ersten Datenbus 5 angeschlossenen Massenspeicher 6; veranlasst. Für den ersten Massenspeicher 6+ stellt der Mikrokontroller 11 beispielsweise die erste Registerbank PCR; ein, für den zweiten Massenspeicher 62 die zweite Registerbank PCR2, usw. [0032] The microcontroller 11 is programmed in such a way that it initiates the selection of the respective register bank PRC; by controlling the switch 10 depending on the mass storage device 6; currently connected to the first data bus 5. For the first mass storage device 6+, the microcontroller 11 sets, for example, the first register bank PCR;, for the second mass storage device 62 the second register bank PCR2, etc.

[0033] Die Information, welcher Massenspeicher 6; im Betriebsmodus an den ersten Datenbus 5 angeschlossen ist oder angeschlossen werden soll, kann der Mikrokontroller 11 beispielsweise über eine Eingabeeinrichtung 17 erhalten, d.h. der Benutzer schließt einerseits den jeweiligen Massenspeicher 6; an den Datenbus 5 an und stellt anderseits den Mikrokontroller 11 über die Eingabeeinrichtung 17 entsprechend ein. Alternativ kann der Mikrokontroller 11 diese Information automatisch vom ersten Datenbus 5 über eine entsprechende Datenverbindung 18 erhalten. Eine weitere Möglichkeit besteht darin, dass der Mikrokontroller 11 mit einem Lesegerät 19 in Verbindung steht, das eine entsprechende Identifikation 20 des jeweiligen Massenspeicher 6; ausliest. Die Identifikation 20 kann beispielsweise ein Barcode, ein RFID-Tag od.dgl. sein, der bzw. das am oder im Massenspeicher 6; angebracht ist. Das Lesegerät 19 kann dazu ein entsprechender Barcodereader, RFID-Reader od.dgl. sein. Die Identifikation 20 kann aber auch beispielsweise in einem speziellen Abschnitt oder Modul des Massenspeichers 6; gespeichert sein, der vom Lesegerät 19 auslesbar ist; das Lesegerät 19 kann dann beispielsweise eine entsprechende Schnittstelle sein. [0033] The microcontroller 11 can receive the information about which mass storage device 6; is connected or should be connected to the first data bus 5 in the operating mode, for example via an input device 17, i.e. the user connects the respective mass storage device 6; to the data bus 5 on the one hand and sets the microcontroller 11 accordingly via the input device 17 on the other. Alternatively, the microcontroller 11 can receive this information automatically from the first data bus 5 via a corresponding data connection 18. Another possibility is that the microcontroller 11 is connected to a reader 19 that reads out a corresponding identification 20 of the respective mass storage device 6;. The identification 20 can be, for example, a barcode, an RFID tag or the like that is attached to or in the mass storage device 6;. The reader 19 can be a corresponding barcode reader, RFID reader or the like. However, the identification 20 can also be stored, for example, in a special section or module of the mass storage device 6; which can be read by the reading device 19; the reading device 19 can then be, for example, a corresponding interface.

[0034] Fig. 2 zeigt eine zweite und eine dritte Ausführungsform der Datenverarbeitungsanlage 1, wobei hier nur auf die Unterschiede gegenüber der Ausführungsform von Fig. 1 eingegangen wird. Anstelle eines einzigen TPMs 8 verfügt die Datenverarbeitungsanlage 1 über mehrere TPMs 8:1, 82, ..., allgemein 8.. [0034] Fig. 2 shows a second and a third embodiment of the data processing system 1, whereby only the differences compared to the embodiment of Fig. 1 are discussed here. Instead of a single TPM 8, the data processing system 1 has several TPMs 8:1, 82, ..., generally 8..

[0035] In der zweiten Ausführungsform sind die verschiedenen TPMs 8; physische Einheiten und über einen in den zweiten Datenbus 7 eingeschalteten Umschalter 21 wahlweise alternativ an die zentrale Prozessoreinheit 2 anschließbar. Der Mikrokontroller 11 ist nun so programmiert, dass er im Konfigurationsmodus jeweils ein einem Massenspeicher 6; zugeordnetes TPM 8; über den Umschalter 21 und den Datenbus 7 mit der zentralen Prozessoreinheit 2 verbindet. Alles übrige, wie die Auswahl bzw. Erkennung des jeweils im Betriebsmodus verwendeten Massenspeichers 6; durch den Mikrokontroller 11 zwecks Steuerung des Umschalters 21, erfolgt so wie bei der Ausführungsform von Fig. 1 für die Steuerung des TPM-internen Umschalters 10 beschrieben. [0035] In the second embodiment, the various TPMs 8; are physical units and can be alternatively connected to the central processor unit 2 via a switch 21 connected to the second data bus 7. The microcontroller 11 is now programmed such that in the configuration mode it connects a TPM 8; assigned to a mass storage device 6; to the central processor unit 2 via the switch 21 and the data bus 7. Everything else, such as the selection or recognition of the mass storage device 6; used in the operating mode by the microcontroller 11 for the purpose of controlling the switch 21, takes place as described in the embodiment of Fig. 1 for controlling the TPM-internal switch 10.

[0036] In der dritten Ausführungsform sind die TPMs 8; als Software-Instanzen in der Programmierung des Mikrokontrollers 11 realisiert, wie durch den strichpunktierten Rahmen 11’ versinnbildlicht. Auch der Umschalter 21 ist demgemäß eine Software-Komponente in der Programmierung des Mikrokontrollers 11. Es versteht sich, dass solche Software-Instanzen auch in einer Firmware, die der Programmierung des Mikrokontrollers 11 dient, realisiert sein können. Der Mikrokontroller 11 ist nun so programmiert, dass er im Konfigurationsmodus über den SoftwareUmschalter 21 das dem jeweiligen Massenspeicher 6; zugeordnete TPM 8; einstellt und an den Datenbus 7 anschließt. Alles übrige, wie die Auswahl bzw. Erkennung des jeweils im Betriebsmodus verwendeten Massenspeichers 6; durch den Mikrokontroller 11 zwecks Steuerung des Umschalters 11 und Einstellung des entsprechenden emulierten TPMs 8; erfolgt wieder so wie bei der Ausführungsform von Fig. 1 für die Steuerung des TPM-internen Umschalters 10 beschrieben. [0036] In the third embodiment, the TPMs 8; are implemented as software instances in the programming of the microcontroller 11, as symbolized by the dash-dotted frame 11'. The switch 21 is also accordingly a software component in the programming of the microcontroller 11. It is understood that such software instances can also be implemented in a firmware that is used to program the microcontroller 11. The microcontroller 11 is now programmed in such a way that in configuration mode it sets the TPM 8; assigned to the respective mass storage device 6; via the software switch 21 and connects it to the data bus 7. Everything else, such as the selection or recognition of the respective mass storage device 6; used in the operating mode by the microcontroller 11 for the purpose of controlling the switch 11 and setting the corresponding emulated TPM 8; is again carried out as described in the embodiment of Fig. 1 for the control of the TPM-internal switch 10.

[0037] Fig. 3 zeigt eine vierte Ausführungsform der Datenverarbeitungsanlage 1, welche ohne Umschalter 10 bzw. 21 zur Auswahl zwischen verschiedenen Registerbänken PCR; eines TPMs 8 bzw. zwischen verschiedenen TPMs 8; auskommt. In Fig. 3 ist jeweils ein TPM 8; mit dem ihm zugeordneten Massenspeicher 6; in einem gesonderten Transportgehäuse 224, 22, ..., allgemein 22;, angeordnet. Jedes Transportgehäuse 22; ist lösbar mit dem restlichen Teil 23 der Datenverarbeitungsanlage 1 verbindbar, u.zw. über eine Schnittstelle 24, welche pro Transportgehäuse 22; eine erste Schnittstelle 25 zur lösbaren Verbindung mit dem ersten Datenbus 5 und eine zweite Schnittstelle 26 zur lösbaren Verbindung mit dem zweiten Datenbus 7 umfasst. [0037] Fig. 3 shows a fourth embodiment of the data processing system 1, which does not require a switch 10 or 21 for selecting between different register banks PCR; of a TPM 8 or between different TPMs 8;. In Fig. 3, a TPM 8; with the mass storage device 6; assigned to it is arranged in a separate transport housing 224, 22, ..., generally 22;. Each transport housing 22; can be detachably connected to the remaining part 23 of the data processing system 1, via an interface 24, which comprises a first interface 25 for detachable connection to the first data bus 5 and a second interface 26 for detachable connection to the second data bus 7 for each transport housing 22;.

[0038] Das Transportgehäuse 22; kann beispielsweise das Gehäuse eines Speicher-Sticks oder einer SSD sein, welches zusätzlich zu der Massenspeicher-Schnittstelle 25 für den Massenspeicher 6; die weitere Schnittstelle 26 für das integrierte TPM 8; hat. [0038] The transport housing 22; can, for example, be the housing of a memory stick or an SSD, which in addition to the mass storage interface 25 for the mass storage 6; has the further interface 26 for the integrated TPM 8;.

[0039] In dieser vierten Ausführungsform kann das TPM 8; wieder als Software-Instanz von einem Mikrokontroller im Massenspeicher 6; emuliert werden, falls gewünscht. Es versteht sich, dass solche Software-Instanzen auch als Firmware des Mikrokontrollers realisiert sein können. [0039] In this fourth embodiment, the TPM 8; can again be emulated as a software instance by a microcontroller in the mass storage 6; if desired. It is understood that such software instances can also be implemented as firmware of the microcontroller.

[0040] Die Datenverarbeitungsanlage 1 kann in jeder beliebigen Form und für jeden beliebigen Zweck ausgeführt sein, beispielsweise als Server, Terminal, Computer, Notebook, Laptop, PDA (Personal Digital Assistant), Smartphone od.dgl. [0040] The data processing system 1 can be designed in any form and for any purpose, for example as a server, terminal, computer, notebook, laptop, PDA (Personal Digital Assistant), smartphone or the like.

[0041] Die Erfindung ist nicht auf die dargestellten Ausführungsbeispiele beschränkt, sondern umfasst alle Varianten, Modifikationen und deren Kombinationen, die in den Rahmen der angeschlossenen Ansprüche fallen. [0041] The invention is not limited to the embodiments shown, but includes all variants, modifications and combinations thereof that fall within the scope of the appended claims.

Claims (11)

Patentansprüchepatent claims 1. Datenverarbeitungsanlage, umfassend 1. Data processing system, comprising eine zentrale Prozessoreinheit (2), die von einer Stromversorgung (14) gespeist ist, a central processor unit (2) which is fed by a power supply (14), zumindest zwei Massenspeicher (6;), von denen wahlweise einer über einen ersten Datenbus (5) an die Prozessoreinheit (2) anschließbar ist, und at least two mass storage devices (6;), one of which can optionally be connected to the processor unit (2) via a first data bus (5), and ein Trusted-Platform-Modul (8), das über einen zweiten Datenbus (7) an die Prozessoreinheit (2) anschließbar ist, a trusted platform module (8) which can be connected to the processor unit (2) via a second data bus (7), gekennzeichnet durch characterized by einen Mikrokontroller (11), der an den zweiten Datenbus (7) anschließbar ist, a microcontroller (11) which can be connected to the second data bus (7), wobei das Trusted-Platform-Modul (8) zumindest zwei Registerbänke (PCR;) von Platform-Configuration-Registern hat, von denen in einem Betriebsmodus der Datenverarbeitungsanlage (1) jeweils nur eine Registerbank (PCR)) aktiv ist und die aktive Registerbank (PCR)) durch einen vom Mikrokontroller (11) empfangenen Steuerbefehl (13) einstellbar ist, wherein the trusted platform module (8) has at least two register banks (PCR;) of platform configuration registers, of which only one register bank (PCR)) is active in an operating mode of the data processing system (1) and the active register bank (PCR)) can be set by a control command (13) received from the microcontroller (11), wobei der Mikrokontroller (11) dafür ausgebildet ist, in einem Konfigurationsmodus der Datenverarbeitungsanlage (1) mittels des Steuerbefehls (13) die aktive Registerbank (PCR;) entsprechend dem für den Betriebsmodus ausgewählten Massenspeicher (6;) einzustellen. wherein the microcontroller (11) is designed to set the active register bank (PCR;) in a configuration mode of the data processing system (1) by means of the control command (13) in accordance with the mass storage device (6;) selected for the operating mode. 2, Datenverarbeitungsanlage nach Anspruch 1, gekennzeichnet durch einen vom Mikrokontroller (11) einstellbaren, in den zweiten Datenbus (7) eingeschalteten Umschalter (9), welcher das Trusted-Platform-Modul (8) entweder an die Prozessoreinheit (2) oder an den Mikrokontroller (11) anschließt, 2, Data processing system according to claim 1, characterized by a switch (9) which can be set by the microcontroller (11) and is connected to the second data bus (7), which connects the trusted platform module (8) either to the processor unit (2) or to the microcontroller (11), wobei der Mikrokontroller (11) dafür ausgebildet ist, mittels des Umschalters (9) das Trusted-Platform-Modul (8) im Betriebsmodus an die Prozessoreinheit (2) und im Konfigurationsmodus an den Mikrokontroller (11) anzuschließen. wherein the microcontroller (11) is designed to connect the trusted platform module (8) to the processor unit (2) in operating mode and to the microcontroller (11) in configuration mode by means of the switch (9). 3. Datenverarbeitungsanlage, umfassend 3. Data processing system, comprising eine zentrale Prozessoreinheit (2), die von einer Stromversorgung (14) gespeist ist, a central processor unit (2) which is fed by a power supply (14), zumindest zwei Massenspeicher (6;), von denen wahlweise einer über einen ersten Datenbus (5) an die Prozessoreinheit (2) anschließbar ist, und at least two mass storage devices (6;), one of which can optionally be connected to the processor unit (2) via a first data bus (5), and ein erstes Trusted-Platform-Modul (8+), das über einen zweiten Datenbus (7) an die Prozessoreinheit (2) anschließbar ist, a first trusted platform module (8+) which can be connected to the processor unit (2) via a second data bus (7), gekennzeichnet durch characterized by einen Mikrokontroller (11) und a microcontroller (11) and einen vom Mikrokontroller (11) einstellbaren, in den zweiten Datenbus (7) eingeschalteten Umschalter (21), welcher die Prozessoreinheit (2) in einem Betriebsmodus der Datenverarbeitungsanlage (1) über den zweiten Datenbus (7) entweder an das erste Trusted-Platform-Modul (8) oder an ein zweites Trusted- Platform-Modul (82) anschließt, a switch (21) which can be set by the microcontroller (11) and is connected to the second data bus (7), which connects the processor unit (2) in an operating mode of the data processing system (1) via the second data bus (7) either to the first trusted platform module (8) or to a second trusted platform module (82), wobei der Mikrokontroller (11) dafür ausgebildet ist, in einem Konfigurationmodus der Datenverarbeitungsanlage (1) den Umschalter (21) entsprechend dem für den Betriebsmodus ausgewählten Massenspeicher (6;) einzustellen. wherein the microcontroller (11) is designed to set the changeover switch (21) in a configuration mode of the data processing system (1) according to the mass storage device (6;) selected for the operating mode. 4. Datenverarbeitungsanlage, umfassend 4. Data processing system, comprising eine zentrale Prozessoreinheit (2), die von einer Stromversorgung (14) gespeist ist, a central processor unit (2) which is fed by a power supply (14), zumindest zwei Massenspeicher (6;), von denen wahlweise einer über einen ersten Datenbus (5) an die Prozessoreinheit (2) anschließbar ist, und at least two mass storage devices (6;), one of which can optionally be connected to the processor unit (2) via a first data bus (5), and ein erstes Trusted-Platform-Modul (8:), das über einen zweiten Datenbus (7) an die Prozessoreinheit (2) anschließbar ist, a first trusted platform module (8:) which can be connected to the processor unit (2) via a second data bus (7), gekennzeichnet durch characterized by einen Mikrokontroller (11), der an den zweiten Datenbus (7) angeschlossen und dafür ausgebildet ist, sowohl das erste Trusted-Platform-Modul (8+) als auch ein zweites TrustedPlatform-Modul (82) jeweils als Software-Instanz (8;) zu emulieren, von welchen SoftwareInstanzen (8;) in einem Betriebsmodus der Datenverarbeitungsanlage (1) jeweils nur eine aktiv ist, a microcontroller (11) which is connected to the second data bus (7) and is designed to emulate both the first trusted platform module (8+) and a second trusted platform module (82) each as a software instance (8;), of which software instances (8;) only one is active in an operating mode of the data processing system (1), wobei der Mikrokontroller (11) dafür ausgebildet ist, in einem Konfigurationsmodus der Datenverarbeitungsanlage (1) die aktive Software-Instanz (8;) entsprechend dem für den Betriebsmodus ausgewählten Massenspeicher (6;) einzustellen. wherein the microcontroller (11) is designed to set the active software instance (8;) in a configuration mode of the data processing system (1) according to the mass storage device (6;) selected for the operating mode. 5. Datenverarbeitungsanlage nach einem der Ansprüche 1 bis 4, dadurch gekennzeichnet, dass jeder Massenspeicher (6;) mit einer maschinenlesbaren Kennung (20) versehen und der Mikrokontroller (11) mit einem Lesegerät (19) zum Lesen von Kennungen (20) verbunden und dafür ausgebildet ist, den für den Betriebsmodus ausgewählten Massenspeicher (6) anhand der vom Lesegerät (19) gelesenen Kennung (20) zu detektieren. 5. Data processing system according to one of claims 1 to 4, characterized in that each mass storage device (6;) is provided with a machine-readable identifier (20) and the microcontroller (11) is connected to a reader (19) for reading identifiers (20) and is designed to detect the mass storage device (6) selected for the operating mode on the basis of the identifier (20) read by the reader (19). 6. Datenverarbeitungsanlage nach einem der Ansprüche 1 bis 5, dadurch gekennzeichnet, dass der Konfigurationsmodus zum Betriebsmodus alternativ ist. 6. Data processing system according to one of claims 1 to 5, characterized in that the configuration mode is alternative to the operating mode. 7. Datenverarbeitungsanlage nach einem der Ansprüche 1 bis 6, dadurch gekennzeichnet, dass im Konfigurationsmodus die Stromversorgung (14) der zentralen Prozessoreinheit (2) unterbrochen ist. 7. Data processing system according to one of claims 1 to 6, characterized in that in the configuration mode the power supply (14) of the central processor unit (2) is interrupted. 8. Datenverarbeitungsanlage, umfassend 8. Data processing system, comprising eine zentrale Prozessoreinheit (2), a central processing unit (2), zumindest zwei Massenspeicher (6;), von denen wahlweise einer über einen ersten Datenbus (5) an die Prozessoreinheit (2) anschließbar ist, und at least two mass storage devices (6;), one of which can optionally be connected to the processor unit (2) via a first data bus (5), and ein erstes Trusted-Platform-Modul (8:), das über einen zweiten Datenbus (7) an die Prozessoreinheit (2) anschließbar ist, a first trusted platform module (8:) which can be connected to the processor unit (2) via a second data bus (7), gekennzeichnet durch characterized by ein zweites Trusted-Platform-Modul (82), das wahlweise anstelle des ersten TrustedPlatform-Moduls (84) an den zweiten Datenbus (7) anschließbar ist, a second Trusted Platform module (82) which can optionally be connected to the second data bus (7) instead of the first Trusted Platform module (84), wobei jeweils einer der Massenspeicher (6;) und jeweils eines der Trusted-Platform-Module (8;), das diesem Massenspeicher (6;) zugeordnet ist, in einem gemeinsamen Transportgehäuse (22;) angeordnet sind, welches lösbar mit der restlichen Datenverarbeitungsanlage (23) verbunden ist. wherein one of the mass storage devices (6;) and one of the trusted platform modules (8;) assigned to this mass storage device (6;) are arranged in a common transport housing (22;) which is detachably connected to the remaining data processing system (23). 9. Datenverarbeitungsanlage nach einem der Ansprüche 1 bis 8, dass der erste Datenbus (5) nach einem der Standards USB, USB-C, Thunderbolt, SATA, eSATA, PCI oder PCIe ausgebildet ist. 9. Data processing system according to one of claims 1 to 8, characterized in that the first data bus (5) is designed according to one of the standards USB, USB-C, Thunderbolt, SATA, eSATA, PCI or PCIe. 10. Datenverarbeitungsanlage nach einem der Ansprüche 1 bis 9, dass der zweite Datenbus (7) nach einem der Standards i2C, SPI oder LPC ausgebildet ist. 10. Data processing system according to one of claims 1 to 9, characterized in that the second data bus (7) is designed according to one of the standards i2C, SPI or LPC. 11. Datenverarbeitungsanlage nach einem der Ansprüche 1 bis 10, dass jeder der Massenspeicher (6;) eine Halbleiter-Festplatte oder ein nichtvolatiler Speicherchip ist. 11. Data processing system according to one of claims 1 to 10, characterized in that each of the mass storage devices (6;) is a semiconductor hard disk or a non-volatile memory chip. Hierzu 3 Blatt Zeichnungen Here 3 sheets of drawings
ATA50493/2023A 2023-06-22 2023-06-22 data processing system for trusted computing AT527294B1 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
ATA50493/2023A AT527294B1 (en) 2023-06-22 2023-06-22 data processing system for trusted computing
PCT/AT2024/060230 WO2024259461A1 (en) 2023-06-22 2024-06-14 Data processing system for trusted computing

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
ATA50493/2023A AT527294B1 (en) 2023-06-22 2023-06-22 data processing system for trusted computing

Publications (2)

Publication Number Publication Date
AT527294A4 AT527294A4 (en) 2025-01-15
AT527294B1 true AT527294B1 (en) 2025-01-15

Family

ID=91664630

Family Applications (1)

Application Number Title Priority Date Filing Date
ATA50493/2023A AT527294B1 (en) 2023-06-22 2023-06-22 data processing system for trusted computing

Country Status (2)

Country Link
AT (1) AT527294B1 (en)
WO (1) WO2024259461A1 (en)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2004034238A2 (en) * 2002-10-09 2004-04-22 Intel Corporation Encapsulation of a tcpa trusted platform module functionality within a server management coprocessor subsystem
DE102015115533A1 (en) * 2014-09-19 2016-03-24 Lenovo (Singapore) Pte. Ltd. Control strategy for a drive arrangement

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8090919B2 (en) * 2007-12-31 2012-01-03 Intel Corporation System and method for high performance secure access to a trusted platform module on a hardware virtualization platform
US20080120510A1 (en) * 2006-11-20 2008-05-22 David Carroll Challener System and method for permitting end user to decide what algorithm should be used to archive secure applications
US8245053B2 (en) * 2009-03-10 2012-08-14 Dell Products, Inc. Methods and systems for binding a removable trusted platform module to an information handling system
CN110069361B (en) * 2018-01-24 2023-12-01 联想企业解决方案(新加坡)有限公司 Method and apparatus for TPM failover

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2004034238A2 (en) * 2002-10-09 2004-04-22 Intel Corporation Encapsulation of a tcpa trusted platform module functionality within a server management coprocessor subsystem
DE102015115533A1 (en) * 2014-09-19 2016-03-24 Lenovo (Singapore) Pte. Ltd. Control strategy for a drive arrangement

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
TRUSTED COMPUTING GROUP "Trusted Platform Module (TPM) Summary" 29.04.2008 abgerufen am 14.06.2024 im Internet unter dem Link: <https://www.trustedcomputinggroup.org/wp-content/uploads/Trusted-Platform-Module-Summary_04292008.pdf> *
Windeck Christof "Windows 11: Basisinformationen zum Trusted Platform Module TPM 2.0" 25.06.2021 abgerufen am 14.06.2024 im Internet unter dem Link: <https://www.heise.de/news/Windows-11-Basisinformationen-zum-Trusted-Platform-Module-TPM-2-0-6119725.html> *

Also Published As

Publication number Publication date
AT527294A4 (en) 2025-01-15
WO2024259461A1 (en) 2024-12-26

Similar Documents

Publication Publication Date Title
DE69803087T2 (en) INTEGRATED BIMODAL SINGLE CHIP CONTROLLER
DE112007000101C5 (en) Method of communicating with a multifunction memory card
DE69325072T2 (en) Secure memory card
DE112010003662B4 (en) Compensate for degraded functionality of semiconductor media based on the data and parity usage information received from a RAID controller
DE102018105943A1 (en) Context aware dynamic command scheduling for a data storage system
DE102018113447A1 (en) A memory device for coupling with a host and methods for operating the host and the memory device
DE102010030742A1 (en) Phase change memory in a double-row memory module
DE112021000648T5 (en) STORAGE DEVICE RESISTANT TO CYBER ATTACKS AND MALFUNCTIONS
EP0500973B1 (en) EEPROM and method for altering a bootstrap routine in the EEPROM
EP2807558A1 (en) Memory controller for providing a plurality of defined areas of a mass storage medium as independent mass memories to a master operating system core for exclusive provision to virtual machines
DE10048402B4 (en) Data storage system
DE102008046577A1 (en) Connection device for connecting a plurality of peripheral devices and operating methods
EP1118941A1 (en) Microprocessor system and arrangement in order to operate a microprocessor system
DE112021002897B4 (en) METHOD AND DEVICE FOR SECURING MEMORY MODULES
DE112015003569T5 (en) Method and system for using NAND page buffers to improve the transfer buffer utilization of a solid state drive
DE112017004995T5 (en) Method and apparatus for sharing a security metadata space
DE102007024192A1 (en) Control unit e.g. advanced memory buffer, for use in e.g. fully buffered dual inline memory module, has control circuit connected with usage determination unit to compare utilization information and usage limitation information
AT527294B1 (en) data processing system for trusted computing
EP2272025B1 (en) System and method for providing user media
DE102021119402A1 (en) SETTING-BASED ACCESS TO DATA STORED IN SEPARATE STORAGE MEDIA
DE102015210539A1 (en) Memory protection unit, memory management unit and microcontroller
DE69031768T2 (en) Dual bus micro-computer arrangement with programmable lock function control
WO2018015111A1 (en) Memory device, data transmission device, and method for transmitting data
EP0966711B1 (en) Microcomputer with a memory management unit
DE102015114721B4 (en) Method, device and system for data processing
点击 这是indexloc提供的php浏览器服务,不要输入任何密码和下载