Spi tpm header что это

Что такое доверенный платформенный модуль (TPM) и как он работает?

Хотя большинство домашних пользователей не тратят много времени на размышления об этом, компьютерная безопасность является критическим. Настолько важно, что многие компьютеры, ориентированные на бизнес, имеют внутри специальное оборудование (например, считыватели смарт-карт), что затрудняет их взлом или иным образом скомпрометирует их.

TPM (Trusted Platform Module) становится стандартной функцией новых компьютеров, особенно бизнес-ориентированных. Итак, что такое TPM и зачем он вам нужен?

Почему вам следует заботиться о TPM?

До недавнего времени единственные люди, которым нужно было заботиться о TPM, были те, кто работал в крупных компаниях, где сетевая безопасность является главным приоритетом. Люди работаю из дома на своих персональных компьютерах или тем, кто в основном использует свои компьютеры для игр и развлечений, не нужно было знать о TPM.

Однако с объявлением Windows 11, он внезапно стал одним из самых важных трехбуквенных сокращений в компьютерном мире. Это связано с тем, что для работы Windows 11 требуется наличие на компьютере доверенного платформенного модуля. В частности, для этого требуется TPM 2.0, хотя эти требования могут быть изменены по усмотрению Microsoft.

Поддержка Windows 10 заканчивается 14 октября 2025 г. Она больше не будет получать исправления безопасности для дальнейших обновлений от Microsoft. На этом этапе вам нужно либо отключить компьютер от Интернета, либо перейти на Windows 11.

В нынешнем виде вы просто не сможете выполнить обновление, а также не сможете продолжать использовать Windows 10! Если вы не перейдете на Linux (отличная идея!) Или другую альтернативу Windows, вам придется покупать новый компьютер. Это правда, даже если ваш существующий все еще в порядке! Microsoft может смягчить свою позицию в будущем, но сейчас такова реальность ситуации.

Теперь, когда вы знаете, почему проблема TPM так важна, давайте рассмотрим, что такое TPM.

TPM — это микросхема

TPM — это физический компонент, который обычно встроен в вашу материнскую плату. Внутри есть множество компонентов, которые позволяют доверенному платформенному модулю выполнять свою работу. В чем конкретно его работа? Вот основные задачи, которые выполняет TPM:

Помимо этих функций, TPM также включает в себя зашитый, уникальный и неизменяемый ключ шифрования, что делает невозможным его замену или подделку.

Вкратце, TPM — это специальное оборудование на материнской плате, которое обеспечивает безопасное использование компьютера и аутентификацию. Ну, кроме случаев, когда у вас есть fTPM или TPP.

fTPM и PTT

fTPM (TPM микропрограмм) и PTT (Platform Trust Technology) — соответствующие названия AMD и Intel для «микропрограмм» TPM. Вместо выделенного чипа на материнской плате функциональность Trusted Platform Module существует во встроенном ПО ЦП. fTPM и TPP интегрированы в большинство современных процессоров AMD и Intel, но для работы функции необходимо активировать.

Здесь все может немного усложниться. Обычно производители материнских плат по умолчанию отключают функциональность TPM микропрограммы, но затем позволяют вам включить ее вручную в меню BIOS или UEFI. Однако, поскольку каждая марка и модель материнской платы могут отличаться, вам следует проверить руководство по материнской плате для получения конкретных инструкций по активации TPM микропрограммы.

В некоторых случаях, несмотря на то, что ваш процессор имеет функцию TPM микропрограммы, на вашей материнской плате может отсутствовать возможность ее включения. Некоторым недорогим материнским платам или материнским платам для игр может не хватать этой опции, потому что они не нацелены на бизнес-клиентов. Будем надеяться, что в свете требований Windows 11 большинство производителей материнских плат выпустят обновления прошивки для своих материнских плат, добавив эту функцию. Если нет, то вам, возможно, придется как минимум заменить материнскую плату.

Могу ли я добавить доверенный платформенный модуль?

Что делать, если у вас нет физического TPM на материнской плате и нет никаких перспектив использования TPM с микропрограммой? В некоторых случаях можно купить TPM как надстройку. Однако ваша материнская плата должна явно поддерживать обновление и иметь необходимый заголовок TPM. Без заголовка TPM его некуда установить.

На момент написания обновления TPM на удивление дороги, поэтому не торопитесь, чтобы сравнить стоимость модуля TPM со стоимостью замены материнской платы.

Как проверить TPM

Если вы используете Windows 10 и хотите подтвердить, что у вас есть действующий и работающий модуль Trusted Platform Module, выполните следующие действия:

Если обе эти части информации присутствуют и верны, все готово. Просто помните, что он не будет отображаться здесь в случае TPM микропрограммы, если он не включен в BIOS.

Windows 11 требует больше, чем просто TPM

Хотя модуль Trusted Platform Module привлек наибольшее внимание в общей панике по поводу требований Windows 11, одного TPM на вашем компьютере недостаточно. Хотя Windows 11 не так энергоемка с точки зрения технических характеристик, у нее есть и другие довольно неожиданные требования.

Главный из них — потребность в процессорах определенного поколения. Вам понадобится компьютер как минимум с процессором Intel 8-го поколения или процессором Ryzen серии 2000, иначе Windows не будет работать. Опять же, это все, что нам известно на момент написания.

Таким образом, несмотря на наличие более чем достаточной вычислительной мощности, высокопроизводительные процессоры Intel 6-го и 7-го поколений и процессоры Ryzen серии 1000 ограничены Windows 10.

Единственный способ убедиться, что ваш текущий компьютер соответствует всем текущим требованиям, — это отправиться в официальная страница требований Windows 11 проверять каждое требование вручную. К сожалению, Microsoft на данный момент отозвала свое приложение Windows 11 Health Checker. Вы также можете попробовать сторонние программы с открытым исходным кодом. Приложение WhyNotWin11, но вы делаете это на свой страх и риск!

Источник

Что такое TPM 2.0 для Windows 11

После анонса операционной системы Windows 11 многие пользователи начали интересоваться, что такое TPM модуль, который необходим для поддержки этой новой ОС.

В данной статье мы расскажем, что такое TPM 2.0, как проверить его наличие на компьютере, а также как установить и включить TMP модуль в настройках BIOS.

Что такое TPM модуль

TPM или Trusted Platform Module (Доверенный Платформенный Модуль) – это спецификация, которая описывает специальный процессор, предназначенный для безопасного хранения ключей шифрования и защиты информации. Например, в данном чипе могут храниться ключи для шифрования жесткого диска при помощи технологии Bitlocker.

Спецификация может быть реализована в виде отдельного физического процессора или в виде программной эмуляции на базе прошивки BIOS. Программная эмуляция TPM 2.0 присутствует на большинстве современных материнских плат для процессоров Intel и AMD.

Аппаратные TPM модули для материнских плат разных производителей.

Также многие материнские платы поддерживают установку отдельных физических чипов, которые выглядят как небольшая плата, подключаемая к через специальный разъем. Такие платы с чипами выпускаются производителями материнских плат специально под свое оборудование и не являются универсальными. Поэтому при покупке отдельного модуля нужно уточнять, подходит ли он к вашей материнской плате.

Как проверить наличие TPM 2.0 для Windows 11

Для того чтобы проверить наличие TPM 2.0 на компьютере можно воспользоваться встроенной программой для работы с TPM, которая доступна на Windows 10. Для этого нужно нажать комбинацию клавиш Win-R и выполнить команду « tpm.msc ».

В результате откроется окно « Управление доверенным платформенным модулем на локальном компьютере ». Если на компьютере есть TPM модуль, то здесь будут доступны настройки TPM на локальном компьютере. В центральной части окна будет информация о модуле, а справа кнопки « Подготовить » и « Очистить ».

Если TPM модуль отсутствует или он отключен в BIOS, то данном окне будет отображаться надпись « Не удается найти совместимый доверенных платформенный модуль ».

В этом случае нужно открыть настройки BIOS, включить модуль TPM и еще раз выполнить команду « tpm.msc », для того чтобы проверить состояние модуля.

Больше информации в статьях:

Как включить TPM 2.0 в BIOS

В большинстве современных материнских плат от Intel и AMD есть программная реализация TPM, которую можно включить в BIOS. Для этого нужно зайти в настройки BIOS, найти там соответствующую функцию и включите ее. Програмная реализация обычно называется:

Потом открыть раздел « Settings – Miscellaneous ».

И включить функцию « Intel Platform Trust Technology (PTT) ».

А потом перейти в раздел « Дополнительно – AMD fTPM configuration ».

Здесь нужно включить опцию « AMD fTPM swich ».

После включения Intel PPT или AMD fTPM загрузитесь в Windows 10 и выполните команду « tpm.msc ». Если все было сделано правильно, то в окне окно « Управление доверенным платформенным модулем » должны появиться настройки.

Подробно о включении TPM 2.0 на:

Как установить TPM модуль

Для начала нужно установить сам TPM модуль на материнскую плату. Для установки используется специальный разъем, который должен быть предусмотрен на материнской плате.

После установки TPM модуля нужно включить компьютер и войти в BIOS. В случае материнской платы от ASUS нужно перейти в режим « Advanced Mode (F7) » и открыть раздел « Advanced – Trusted Computing ».

Дальше нужно включить слудующие функции и сохранить настройки BIOS:

После установки и включения TPM модуля загрузитесь в Windows 10 и выполните команду « tpm.msc ». Если модуль заработал, то в окне окно « Управление доверенным платформенным модулем » должны отобразиться настройки.

Возможно вам будет интересно:

Создатель сайта comp-security.net, автор более 2000 статей о ремонте компьютеров, работе с программами, настройке операционных систем.

Задайте вопрос в комментариях под статьей или на странице «Задать вопрос» и вы обязательно получите ответ.

хотел узнать на z97 есть ли етот тпм, оказалься что есть
спасибо

Скорее всего, у вас есть только поддержка внешнего модуля, программная эмуляция Intel PTT вроде как только с 8 поколения Интел, а AMD fTPM с 1 поколения Ryzen.

Но, это пока не точно. Не получается найти информацию, с какого момента появилась программная эмуляция TPM.

В России и Китае для работы Windows 11 он вроде так и не понадобится, но я все равно включил в Биосе (проц. Райзен 3100) TPM. Виртаулизацию тоже включил — вроде необходима для работы антивируса. Скажите, насколько TPM необходимая вещь?

Пока неизвестно точно. Возможно, TPM будет отключен только для готовых компьютеров, которые продаются вместе с Windows, а для самостоятельной установки это требование останется.

Домашние пользователи ССД или винчестер не шифруют. Но будет ли полезна ТРМ для хранения браузером паролей например, и шифрованного Интернет соединения?

на m5a99x evo r2.0 как включить TPM.

Поддержку по конкретным моделям нужно уточнять в инструкции к материнской плате. Ищите в Google название платы, переходите на сайт производителя, дальше раздел «Поддержка — Руководства и документация». Там всегда есть инструкция (user manual) в формате PDF. Открываете и ищите по словам «TPM» и «PTT».

Источник

Что такое доверенный платформенный модуль (TPM)?

Доверенный платформенный модуль (TPM) используется для повышения безопасности компьютера. Он используется такими службами, как шифрование диска BitLocker, Windows Hello и другие, для безопасного создания и хранения криптографических ключей, а также для подтверждения того, что операционная система и встроенное ПО на вашем устройстве соответствуют указанным сведениям и не были изменены.

Как правило, это отдельная микросхема на системной плате, хотя стандарт TPM 2.0 позволяет изготовителям, например Intel или AMD, встраивать возможности доверенного платформенного модуля в набор микросхем.

Доверенный платформенный модуль используется уже более 20 лет и входит в состав компьютеров с 2005 г. В 2016 г. версия TPM 2.0 (текущая версия на момент написания этой статьи) стала стандартом для новых компьютеров.

Когда вы шифруете данные, чтобы защитить их от посторонних глаз, программа для шифрования берет фрагмент данных, который нужно зашифровать, и объединяет его с длинной случайной строкой символов, чтобы создать новый (зашифрованный) фрагмент данных. Длинная случайная строка символов, используемая программой для шифрования, является криптографическим ключом.

Примечание: Незашифрованные данные называются «открытым текстом». Зашифрованная версия этих данных называется «зашифрованным текстом».

Расшифровать такой текст и прочитать исходный фрагмент данных может только пользователь, у кого есть правильный криптографический ключ.

Имеется ли на моем компьютере доверенный платформенный модуль?

Существует высокая вероятность того, что на вашем компьютере уже есть доверенный платформенный модуль и, если ему менее 5 лет, это версия TPM 2.0.

Чтобы узнать, есть ли доверенный платформенный модуль на вашем компьютере с Windows 10, выберите Пуск > Параметры > Обновление и безопасность > Безопасность Windows > Безопасность устройства. Если он у вас есть, на экране будет отрезок Процессор безопасности.

Совет: Если вы не видите раздел Процессор безопасности, возможно, на вашем устройстве есть TPM, но она отключена. Чтобы узнать, как включить его, см. статью Включение TPM 2.0 на компьютере.

Далее нужно узнать, какая версия доверенного платформенного модуля есть на вашем компьютере. Выберите Сведения об обработчике безопасности и на появившемся экране найдите версию спецификации. Должна быть указана версия 1.2 или 2.0.

Важно: Для Windows 11 требуется TPM 2.0. Дополнительные сведения см. в статье Требования к системе для Windows 11.

Хотите узнать больше о доверенном платформенном модуле? См. статью Обзор технологии доверенного платформенного модуля.

Источник

Микросхемы TPM 2.0 для установки Windows 11 на материнскую плату

Windows 11, без сомнения, дает о чем поговорить. Многие процессоры остаются без внимания, несмотря на то, что Intel PTT или AMD fTPM за плечами, в основном потому, что видимо у них не версия стандарта 2.0, а 1.2. Но не унывайте, если вы соответствуете минимальным требованиям и вместе с этими чипами вы можете установить указанную операционную систему, даже если ваша ЦП не поддерживается как таковой.

Хотя мы уже рассмотрели все, что связано с Windows 11, TPM 2.0 и Intel PTT, правда, что некоторые пользователи все еще теряются с этой проблемой. Можно ли на ваш компьютер установить Windows 11 или нет? Что вам понадобится для этого, если вы не отвечаете никаким требованиям, ранее описанным Microsoft сам?

Windows 11 ничем не отличается от Windows 10 в TPM

На самом деле, когда Windows 10 поступила в продажу, требования были такими же, то есть для установки указанной ОС нам теоретически требовался TPM 2.0 в качестве системы шифрования. Так к чему весь этот шум? Что ж, разница в том, что теперь Microsoft серьезно относится к этому, и все указывает на оправдание безопасности, позволяющее установить ее ОС.

Самое простое решение, если ваш компьютер не соответствует требованиям, поначалу очевидно: не устанавливайте Windows 11 и оставайтесь на Windows 10. Но на данный момент никто не хочет, чтобы его оставили в стороне, есть мощные и более чем способные компьютеры для тех, кто Редмонд не учитывает столько миллионов компьютеров. Это не будет причиной для их отступления, мы уже видели это в то время, поэтому, если вы не хотите отказываться от установки, это может спасти вас и позволить это.

Различия между требованиями, совместимостью и поддержкой

И то, что у Microsoft действительно очень низкие требования, также указано на их веб-сайте:

Здесь ничего не говорится о процессорах, в частности, потому что их много, и поэтому он предназначен для другой статьи, где сама Microsoft правильно отмечает их как совместимые, как для AMD, так и для Intel. Совместимость не является обязательным требованием, поэтому ЦП, не входящий в официальный список, может поддерживать Windows 11, если он имеет более 1 ГГц, два или более ядер и является 64-разрядным.

Это открывает двери для огромного количества ПК в мире, но нам нужно иметь только одно: встроенный TPM.

Есть ли на вашей материнской плате порт TPM?

Это вопрос, который мы должны задать себе, если мы находимся за пределами официального списка Microsoft с нашим процессором. Много материнская плата модели имеют определенный порт TPM, о существовании которого многие даже не подозревают, но могут включать его.

Здесь возникает вся проблема, поскольку, хотя нам нужен порт TPM, обычно у каждого производителя платы есть серия определенных моделей, которые несовместимы друг с другом, потому что у них разные разъемы.

По этой причине, и если на вашей материнской плате установлена ​​плата с версией TPM 2.0, и если ваш процессор имеет безопасную загрузку, вы можете установить Windows 11 с одним из этих конкретных чипов:

ASRock TPM 2.0

плита поддержки довольно сбивает с толку, поскольку бренд указывает только, что он совместим с материнскими платами H110, X299, AM4, TR4 и более новыми платформами.

GIGABYTE GC-TPM2.0

Здесь снова возникают разногласия, поскольку GIGABYTE имеет два разных разъема и, следовательно, два разных физических модуля. Тот, что на изображении выше, соответствует 20-контактная версия что несколько сбивает с толку сам бренд:

Как мы видим везде неоднозначность, но теоретически, если у нас есть разъем, этот модуль должен поддерживаться в BIOS, которая будет активирована, когда мы его подключим.

GIGABYTE GC-TPM2.0-S

Это 12-контактный разъем, меньшего размера, но с теми же функциями, по крайней мере теоретически. На сайте GIGABYTE он не указан, видимо, это доработка, чтобы поменять разъем и сделать его более компактным.

Единственное, что мы можем сказать в зависимости от бренда, это:

MSI MS-4462 TPM 2.0

Кажется, это единственный модуль с 12-контактным разъемом MSI, но, что любопытно, хотя он физически определяется как TPM1, этот модуль включает в себя микросхему INFINEON 9670 с TPM 2.0 и интерфейсом SPI.

Поддержка указана на сайте MSI как:

Он должен быть совместим с более новыми платами.

MSI MS-4136 TPM 2.0

ASUS TPM-M R2.0

ASUS Кажется, он понятнее, поскольку у него только 14-контактный разъем TPM 2.0. Это основано на INFINEON SLB9665 и не указывает совместимость, потому что все платы, которые включают его, имеют то же самое.

Источник

Национальная библиотека им. Н. Э. Баумана
Bauman National Library

Персональные инструменты

TPM (Trusted Platform Module)

В вычислительной технике TPM (англ. Trusted Platform Module ) [Источник 1] — название спецификации, описывающей криптопроцессор, в котором хранятся криптографические ключи для защиты информации, а также обобщенное наименование реализаций указанной спецификации, например, в виде «чипа TPM» или «устройства безопасности TPM» (Dell). Раньше назывался «чипом Фрица» (бывший сенатор «Фриц» Холлингс известен своей горячей поддержкой системы защиты авторских прав на цифровую информацию, DRM). Спецификация TPM разработана некоммерческой организацией «Trusted Computing Group» (англ.). Текущая версия спецификации TPM — 1.2 ревизия 116, издание 3 марта 2011.

Содержание

История разработки

В январе 1999 года была создана рабочая группа производственных компаний «Альянс доверяемых компьютерных платформ» (англ. Trusted Computing Platform Alliance, TCPA) с целью развития механизмов безопасности и доверия в компьютерных платформах. Первоначально в TCPA входили ведущие разработчики аппаратного и программного обеспечения — HP, Compaq (в настоящее время подразделение HP), IBM, Intel, Microsoft.

В октябре 1999 года была анонсирована проектная спецификация и открыта возможность другим компаниям присоединиться к альянсу. В августе 2000 года была выпущена для обсуждения предварительная публичная версия спецификации. Спецификация TCPA версии 1.0 была опубликована в феврале 2001 года, в ней были определены основные требования к TPM с точки зрения производителя электронных устройств.

Затем была создана рабочая группа по созданию TPM, которая пересмотрела общую спецификацию с точки зрения практического применения доверяемого модуля (TPM). В августе 2001 года была выпущена спецификация версии 1.1 и создана рабочая группа по проектированию платформы ПК, на которую устанавливается доверяемый модуль.

В апреле 2003 года была организована некоммерческая организация «Trusted Computer Group» (TCG), которая стала преемником TCPA и продолжила работать над развитием уже выпущенных спецификаций. В дополнение к уже созданным рабочим группам по проектированию TPM и платформы ПК были созданы группы по разработке спецификаций для мобильных устройств, ПК-клиентов, серверов, запоминающих устройств, инфраструктуры доверяемых вычислений, программного обеспечения (англ. Trusted Software Stack, TSS) и доверяемого сетевого соединения. В ноябре 2003 года была опубликована спецификация TPM версии 1.2, последняя версия с существенными изменениями, в которой по существу описана функциональность TPM.

Краткий обзор

Trusted Platform Module (TPM), содержащий в себе криптопроцессор, обеспечивает средства безопасного создания ключей шифрования, способных ограничить использование ключей (как для подписи, так и для шифрования/дешифрования) с той же степенью неповторяемости, что и генератор случайных чисел. Также этот модуль имеет следующие возможности: удалённую аттестацию, привязку и надёжное защищённое хранение. Удалённая аттестация создаёт связь аппаратных средств, загрузки системы и конфигурации хоста (ОС компьютера), разрешая третьему лицу (вроде цифрового магазина музыки) проверять, чтобы программное обеспечение или музыка, загруженная из магазина, не были изменены или скопированы пользователем (см. DRM). Криптопроцессор шифрует данные таким способом, что они могут быть расшифрованы только на компьютере, где были зашифрованы, под управлением того же самого программного обеспечения. Привязка шифрует данные, используя ключ подтверждения TPM — уникальный ключ RSA, записанный в чип в процессе его производства, или другой ключ, которому доверяют.

Модуль TPM может использоваться, чтобы подтвердить подлинность аппаратных средств. Так как каждый чип TPM уникален для специфического устройства, это делает возможным однозначное установление подлинности платформы. Например, чтобы проверить, что система, к которой осуществляется доступ — ожидаемая система.

Архитектура TPM

В спецификации TCG описан минимальный набор алгоритмов и протоколов, которым должен удовлетворять чип TPM. Кроме того, производителем могут быть реализованы дополнительные алгоритмы и протоколы (которые, разумеется, должны быть описаны производителем в соответствующей документации). В архитектуре чипа реализованы следующие защитные механизмы:

В чип имплементированы алгоритмы асимметричной криптографии, обеспечивающие высокий уровень защиты. Некоторые элементы логического дизайна чипа являются нестандартными с точки зрения типовых методов проектирования интегральных схем (ИС). Применяются и специальные приемы проектирования ИС: «запутывание» топологии слоев ИС, усложняющее анализ функций элементов микросхемы. Ряд технологических особенностей чипов безопасности специально не разглашается компаниями-производителями, чтобы уменьшить вероятность взлома даже в том случае, когда для этого применяются современные методы анализа функционирования микросхем и дорогостоящее оборудование.

Ввод/Вывод (англ. I/O)

Этот компонент управляет потоком информации по шине и управляет сообщениями между соответствующим компонентами TPM. I/O компонент вводит в действие политику доступа, связанную с функциями TPM. Правила доступа определяются флагами доступа, хранящимися в блоке Opt-In энергонезависимой памяти.

Криптографический процессор

Осуществляет криптографические операции внутри TPM. Эти операции включают в себя:

TPM использует эти возможности для генерации случайных последовательностей, генерации асимметричных ключей, цифровой подписи и конфиденциальности хранимых данных. Также TPM поддерживает симметричное шифрование для внутренних нужд. Все хранимые ключи по силе должны соответствовать ключу RSAдлиной 2048 бит.

Энергонезависимая память (англ. Non-Volatile Storage)

Используется для хранения ключа подтверждения, корневого ключа (англ. Storage Root Key, SRK), авторизационных данных, различных флагов доступа и блока Opt-In. Объем этого типа памяти ограничен (1280 байт).[6]

Ключ подтверждения (англ. Endorsement Key, EK)

EK — ключ RSA размером 2048 бит, идентифицирующий чип, а также все устройство, фундаментальный компонент TPM. Открытая часть называется PUBEK, закрытая — PRIVEK. В соответствии с политикой безопасности PRIVEK не должен быть доступен вне чипа, он никогда не используется для генерирования подписей. PUBEK хранится в сертификате, используется только для установления владельца TPM и в процессе генерации AIK. EK генерируется до того, как конечный пользователь получит платформу. Стандарт позволяет изменить этот ключ, из-за чего использование TPM может быть ограниченным.

Ключи подтверждения подлинности (англ. Attestation Identity Keys, AIK)

AIK — ключ RSA длиной 2048 бит, используемый только для подписей, для шифрования не используется. TPM может сгенерировать неограниченное количество AIK, эти ключи должны быть постоянными, но рекомендуется хранить AIK в виде блобов в постоянной внешней памяти, а не внутри энергонезависимой памяти TPM. В соответствии со спецификацией предполагается, что производители обеспечат достаточно места для многих блобов AIK, которые будут одновременно загружаться в энергозависимую память TPM. Переход AIK от одного TPM к другому запрещён.

Регистры конфигурации платформы (Platform Configuration Registers, PCR)

PCR — это уникальные признаки TPM, в которых в зашифрованном виде содержится вся информация о целостности метрик системы, начиная с загрузки BIOS до завершения работы системы. Информация, содержащаяся в PCR, формирует корень доверия для измерений (RTM). Могут храниться как в энергонезависимой, так и в энергозависимой памяти. Эти регистры сбрасываются при старте и при перезагрузке системы. Спецификация предписывает минимальное количество регистров (16), каждый регистр содержит 160 бит информации. Регистры 0-7 зарезервированы для нужд TPM. Регистры 8-15 доступны для использования операционной системой и приложениями. Изменения значений PCR необратимы и их значения нельзя записать напрямую, их можно только расширить новыми значениями, которые зависят от предыдущих. Все изменения значений PCR записываются в лог изменений, который хранится в энергозависимой памяти.

Генератор случайных чисел (англ. Random Number Generator, RNG)

Используется для генерации ключей и случайностей в сигнатурах (подписях). TPM должен быть способным обеспечить 32 случайных бита на каждый вызов. RNG чипа состоит из следующих компонентов:

Источник энтропии — процесс (или процессы), обеспечивающие энтропию. Такими источниками могут быть шум, счётчик тактов процессора и другие события. Коллектор энтропии — процесс, который собирает энтропию, удаляет смещение, выравнивает выходные данные. Энтропия должна передаваться только регистру состояния.

Реализация регистра состояния может использовать 2 регистра: энергозависимый и независимый. При старте TPM загружает энергозависимый регистр из энергонезависимого. Любое последующее изменение регистра состояния от источника энтропии или от смешивающей функции влияет на энергозависимый регистр. При выключении TPM записывает текущее значение регистра состояния в энергонезависимый регистр (такое обновление может происходить и в любое другое время). Причиной такой реализации является стремление реализовать энергонезависимый регистр на флэш-памяти, количество записи в которую ограничено. TPM должен обеспечить отсутствие экспорта регистра состояния.

Берёт значение из регистра состояния и выдаёт выходные данные RNG. Каждое использование смешивающей функции должно изменять регистр состояния. При потере питания происходит сброс RNG. Любые выходные данные RNG для TPM должны быть защищены.

Блок SHA-1 (англ. SHA-1 Engine)

Используется для вычисления сигнатур (подписей), создания блоков ключей и других целей общего назначения. Хэш-интерфейсы доступны вне TPM. Это позволяет окружению иметь доступ к хэш-функции.

Генератор ключей RSA (англ. RSA Key Generator)

Создаёт пары ключей RSA. TCG не определяет требований ко времени генерации ключей.

Устройство RSA (англ. RSA Engine)

Используется для цифровых подписей и шифрования. Нет ограничений на реализацию алгоритма RSA. Минимально рекомендуемая длина ключа — 2048 бит. Производители могут использовать китайскую теорему об остатках или любой другой метод. Значение открытой экспоненты должно быть 2 16 +1.

Компонент Opt-In

Этот компонент отвечает за состояние TPM и статус владения пользователем TPM. За это отвечают три группы переменных: TPM включен/отключен (в отключенном состоянии все операции блокируются), TPM активирован/деактивирован (в деактивированном состоянии возможно выполнение операций, напр. смена владельца), пользователь прошел/не прошел аутентификацию как владелец модуля. Данная информация хранится в виде флагов.

Доверенная платформа (англ. The trusted Platform)

Идея доверенной платформы или платформы, которой можно доверять (её ожидаемое поведение всегда совпадает с реальным), основана на понятии «корень доверия» (англ. Root of Trust) — набор компонентов, которым нужно доверять. Полный набор корней доверия имеет минимальную функциональность, необходимую для описания платформы, что влияет на доверенность этой платформе. Есть три корня доверия: корень доверия для измерений (RTM), корень доверия для хранения (RTS) и корень доверия для сообщений (RTR). RTM — вычислительный механизм, который производит надёжные измерения целостности платформы. RTS — вычислительный механизм, способный хранить хэши значений целостности. RTR — механизм, который надёжно сообщает о хранимой в RTS информации. Данные измерений описывают свойства и характеристики измеряемых компонентов. Хэши этих измерений — «снимок» состояния компьютера. Их хранение осуществляется функциональностью RTS и RTR. Сравнивая хэш измеренных значений с хэшом доверенного состояния платформы, можно судить о целостности системы.

Возможные применения

Аутентификация

TPM представляет собой токен аутентификации следующего поколения. Криптопроцессор поддерживает аутентификацию и пользователя, и компьютера, обеспечивая доступ к сети только авторизованным пользователям и компьютерам. Это может использоваться, например, при защите электронной почты, основанной на шифровании или для подписания цифровых сертификатов, привязанных к TPM. Отказ от паролей и использование TPM позволяют создать более сильные модели аутентификации для проводного, беспроводного и VPN доступа.

Защита данных от кражи

Это является основным назначением «защищённого контейнера». Самошифрующиеся устройства, реализованные на основе спецификаций Trusted Computing Group, делают доступными встроенное шифрование и контроль доступа к данным. Такие устройства обеспечивают полное шифрование диска, защищая данные при потере или краже компьютера.

Аппаратное шифрование позволяет оперировать со всем диапазоном данных без потерь производительности.

Шифрование всегда включено. Кроме того, ключи генерируются внутри устройства и никогда не покидают его.

Не требуются модификации операционной системы, приложений и т. д. Для шифрования не используются ресурсы центрального процессора. Большие перспективы имеет связка TPM+Bitlocker. Такое решение позволяет прозрачно от ПО шифровать весь диск.

Управление доступом к сети (NAC)

TPM может подтверждать подлинность компьютера и даже его работоспособность ещё до получения доступа к сети и, если необходимо, помещать компьютер в карантин.

Защита ПО от изменения

Сертификация программного кода обеспечит защиту игр от читерства, а программы, требующие особой осторожности, наподобие банковских и почтовых клиентов, — от намеренной модификации. Сразу же будет пресечено добавление «троянского коня» в устанавливаемом приложении.

Защита от копирования

Защита от копирования основана на такой цепочке: программа имеет сертификат, обеспечивающий ей (и только ей) доступ к ключу расшифровки (который также хранится в TPM’е). Это даёт защиту от копирования, которую невозможно обойти программными средствами.

Реализация

Производители

Хотя спецификация предполагает как аппаратную, так и программную реализации системы TPM, обеспечение должного уровня безопасности, установленного в общей спецификации, на сегодняшний день возможно только при аппаратной реализации. Аппаратная реализация в виде чипа TPM была впервые выпущена в 2005 году. На сегодняшний день чипом TPM оснащено более 500 000 000 компьютеров. В будущем TPM сможет устанавливаться на такие устройства, как мобильные телефоны, устройства ввода и хранения информации. Микроконтроллеры TPM на сегодняшний день производятся и применяются многими компаниями.

Критика

Проблема «доверия»

Trusted Platform Module критикуется некоторыми IT-специалистами за название. Доверие (англ. trust) всегда должно быть обоюдным, в то время как разработчики TPM пользователю не доверяют, что приводит к ущемлению свободы. По мнению отдельных IT-специалистов, для доверенных вычислений больше подходит название «вероломные вычисления» (англ. treacherous computing), поскольку наличие модуля гарантирует обратное — систематический выход компьютера из подчинения. Фактически, компьютер перестает функционировать в качестве компьютера общего назначения, поскольку любая операция может потребовать явного разрешения владельца компьютера.

Потеря «владения» компьютером

Владелец компьютера больше не может делать с ним всё, что угодно, поскольку передает часть своих прав производителям программного обеспечения. В частности, TPM может мешать (из-за ошибок в ПО или намеренного решения разработчиков):

Потеря анонимности

Компьютер, оборудованный TPM, имеет уникальный идентификатор, зашитый в чипе. Идентификатор известен производителю программного обеспечения и его невозможно изменить. Это ставит под угрозу одно из естественных преимуществ Интернета — анонимность. На данный момент, если на компьютере нет троянских программ, в программном обеспечении нет явных ошибок, а cookie удалены, единственным идентификатором пользователя остается IP-адрес и заголовки HTTP. Наряду с повышением безопасности, наличие модуля TPM может иметь негативный эффект на свободу слова, что особенно актуально для развивающихся стран. Чтобы понять, к чему может привести удалённо читаемый и неизменяемый идентификатор компьютера, достаточно вспомнить аналогичную проблему с идентификационным номером процессора Pentium III.

Потенциальная угроза свободной конкуренции

Программа, ставшая лидером отрасли (как AutoCAD, Microsoft Word или Adobe Photoshop), может установить шифрование на свои файлы, делая невозможным доступ к этим файлам посредством программ других производителей, создавая, таким образом, потенциальную угрозу свободной конкуренции на рынке прикладного ПО.

Проблемы неисправности модуля TPM

В случае неисправности модуля TPM-контейнеры, защищённые им, становятся недоступными, а данные, находящиеся в них — невосстановимыми. Для полной гарантии восстановления данных в случае порчи модуля TPM необходимо осуществлять сложную процедуру резервного копирования. Для обеспечения секретности система резервного копирования (backup) также должна иметь собственные TPM-модули.

Взломы

Инструкция использования [Источник 2]

Включение и выключение доверенного платформенного модуля

Назначение: Windows 7, Windows Server 2008 R2 Обычно доверенный платформенный модуль (TPM) включается в ходе процесса инициализации TPM. Как правило, в отдельном включении или выключении TPM не возникает необходимости, Но при необходимости для этого можно воспользоваться оснасткой консоли управления TPM.

Включение TPM

Если доверенный платформенный модуль был инициализирован, но никогда не использовался, или если нужно снова использовать доверенный платформенный модуль после его выключения, следует включить доверенный платформенный модуль.

Включение доверенного платформенного модуля

После перезагрузки компьютера, но до входа в Windows будет предложено принять измененную конфигурацию доверенного платформенного модуля. Это гарантирует, что у пользователя есть физический доступ к компьютеру и что вредоносное программное обеспечение не пытается внести изменения в доверенных платформенный модуль.

Выключение TPM

Если нужно остановить использование служб, предоставляемых доверенным платформенным модулем, модуль можно выключить с помощью консоли управления TPM. При наличии пароля владельца доверенного платформенного модуля физический доступ к компьютеру для выключения модуля не требуется. Если пароль владельца доверенного платформенного модуля неизвестен, для выключения модуля требуется физический доступ пользователя к компьютеру.

Отключение доверенного платформенного модуля также можно использовать для моделирования или тестирования процесса восстановления шифрования диска BitLocker.

Выключение доверенного платформенного модуля

Рекомендации по доверенному платформенному модулю

Сравнение TPM версии 1.2 и 2.0

Корпорация Microsoft является лидером отрасли по стандартизации доверенного платформенного модуля TPM 2.0 и переходу на его использование. Как показано в таблице ниже, TPM 2.0 содержит много реализованных преимуществ, связанных с алгоритмами, шифрованием, иерархией, корневыми ключами, авторизацией и энергонезависимой оперативной памятью.

Преимущества TPM 2.0

Продукты и системы на основе TPM 2.0 имеют важные преимущества безопасности по сравнению TPM 1.2, в том числе:

Дискретный TPM или TPM в виде встроенного ПО?

Windows использует дискретный TPM и TPM в виде встроенного ПО одинаково. При использовании любого из этих вариантов для Windows нет никаких функциональных преимуществ или недостатков.

С точки зрения безопасности дискретный TPM и TPM в виде встроенного ПО обладают одинаковыми характеристиками.

Соответствие Windows 10 требованию об использовании TPM 2.0 в будущем

С 28 июля 2016 г. все поставляемые устройства для Windows 10 любых типов SKU должны использовать дискретный TPM или TPM на основе встроенного ПО. Это требование будет реализовываться через нашу программу сертификации оборудования для Windows.

Windows 10 для настольных компьютеров (Домашняя, Pro, Корпоративная и для образовательных учреждений)

Windows 10 Mobile

IoT Базовая

Windows Server 2016 Technical Preview

TPM и компоненты Windows

В следующей таблице указано, какие компоненты Windows нуждаются в поддержке доверенного платформенного модуля. Некоторые компоненты не используются в Windows 7/8/8.1 и помечены соответствующим образом.

Параметры наборов микросхем для TPM 2.0

Существуют различные производители как дискретных TPM, так и TPM на основе встроенного ПО.

Источник