TPM 2.0, без него вы не сможете установить Windows 11

С момента объявления Microsoft что TPM будет обязательным для установки Windows 11 , новости об этом термине не прекращаются; Мы уже подробно говорили об этом задолго до этого, поэтому в этой статье мы рассмотрим Версия TPM 2.0 и Новости и функции что он приносит по сравнению с предыдущей версией 1.2, и особенно то, как он влияет на процессоры Intel и AMD.

Как вы, возможно, уже знаете, TPM означает Модуль Trusted Platform Module (также известный как ISO / IEC 11889), международный стандарт безопасности для защищенного криптопроцессора, который является не чем иным, как специальный микроконтроллер предназначен для защиты оборудования через ключи встроенный криптографический. На данный момент мы уже знаем, что это такое и для чего он нужен, а также, конечно, на каких устройствах он установлен, но знаете ли вы различия между его различными версиями?

Различные типы развертывания TPM 2.0

TPM 2.0

Чтобы понять различия между различными версиями стандарта и то, как они влияют на процессоры Intel и AMD, мы должны сначала объяснить различные типы реализации, которые мы можем найти. TPM не является чем-то новым, поскольку с 2006 года были проданы тысячи ноутбуков, в которых уже был интегрирован чип TPM. После этого были разработаны различные формы интеграции, что сделало концепцию, которая может быть интегрирована в любое другое устройство, включая мобильные телефоны. В ПК используется шина LPC или SPI, поэтому ЦП может подключаться к микросхеме TPM.

Trusted Computing Group (TCG) сертифицировала микросхемы TPM, произведенные разными производителями, такими как Infineon, Novoton или STMicroelectronics, но также присвоила идентификаторы поставщиков другим, таким как AMD, Atmel, Broadcom, IBM, Intel, Lenovo, National Semiconductor, Nationz, Qualcomm, Rockchip, SMC, Samsung, Sinosun, Texas Instruments или Winbond, поэтому, если вы обнаружите предполагаемый модуль TPM, произведенный кем-то, которого нет в этом списке, это определенно ложь.

Существует пять различных типов реализаций TPM 2.0, и мы собираемся перечислить их в порядке от самого высокого до самого низкого уровня безопасности:

  • Выделенный TPM 2.0 - Эти представляют собой специализированные микросхемы, которые реализуют функциональность TPM в собственном защищенном от несанкционированного доступа полупроводниковом корпусе. Теоретически они являются наиболее безопасным типом, поскольку процедуры, реализованные на оборудовании, должны быть более устойчивыми к ошибкам по сравнению с подпрограммами, реализованными в программном обеспечении, а их пакеты должны обеспечивать некоторую устойчивость к взлому.
  • Интегрированный TPM 2.0: они являются частью другого чипа, и, хотя они используют оборудование, устойчивое к программным ошибкам, им не нужно обеспечивать физическую защиту от взлома. Intel интегрировала TPM таким образом, например, в некоторые из своих наборов микросхем.
  • Микропрограммные TPM (fTPM) - эти - это решения, переданные в микропрограммном обеспечении (например, UEFI), которые работают в доверенном кольце выполнения ЦП. Intel, AMD и Qualcomm реализовали TPM микропрограмм таким образом.
  • TPM от гипервизора (vTPM): они представляют собой виртуальные доверенные платформенные модули, предоставляемые гипервизорами, и поэтому зависят от них. Они работают изолированно и скрыты от программного обеспечения внутри виртуальных машин для защиты вашего кода и могут обеспечить уровень безопасности, сопоставимый с fTPM.
  • Программное обеспечение TPM 2.0: эти представляют собой эмуляторы, которые работают без большей защиты, чем та, которую обеспечивает обычная программа в операционной системе. Они полностью зависят от среды, в которой они работают, поэтому они не обеспечивают большей безопасности, чем может обеспечить обычная рабочая среда, и поэтому уязвимы для собственных программных ошибок и атак. Они полезны только для целей разработки.

Microsoft разработала официальную эталонную реализацию TPM 2.0, она лицензирована BSD, а исходный код в открытом доступе. Microsoft предоставляет решение Visual Studio и сценарии сборки для Linux автоматизированные инструменты. Intel со своей стороны, в 2018 году уже был открыт свой код TPM 2.0 с поддержкой Windows и Linux, а также с лицензией BSD.

Чем TPM 2.0 отличается от предыдущей версии (1.2)?

Доверенный платформенный модуль Windows 11

Хотя версия TPM 2.0 решает многие из тех же сценариев использования, что и версия 1.2, и имеет в основном схожие характеристики, детали отличаются, и на самом деле TPM 2.0 несовместим с версиями до TPM 1.2 (поэтому мы сравниваем эти две версии. ).

Архитектура

TPM 1.2 состоит из трех частей или трех разных библиотек. Версия 2.0, в свою очередь, состоит из специфической для платформы спецификации, которая ссылается на общую библиотеку TPM 2.0, состоящую из четырех частей. Эти спецификации платформы определяют, какие части библиотеки являются обязательными, необязательными или запрещенными для библиотеки. Эти спецификации включают клиентские ПК, мобильные телефоны и автомобили.

Алгоритмы

Для версии 1.2 требуются алгоритмы шифрования SHA-1 и RSA, а AES - необязательный. Тройной DES также был необязательным алгоритмом в то время в предыдущих версиях, но был запрещен в версии 94 TPM 1.2 по соображениям безопасности. Требуется функция генерации маски на основе хэша MGF1, которая определена в PKCS # 1.

Для версии 2.0 для архитектуры клиентского ПК требуются SHA-1 и SHA-256, а также RSA и ECC с использованием 256-битной кривой Баррето-Наерига и NIST P-256 для криптографии с открытым ключом и генерации и проверки асимметричной цифровой подписи. . HMAC также требуется для симметричной генерации и проверки цифровых подписей, 128-битного AES для алгоритма симметричного ключа и функции генерации маски на основе хэша MGF1. Также определено множество дополнительных алгоритмов, но они не являются обязательными. Имейте в виду, что Triple DES был включен в TPM 2.0, но с ограничениями.

Криптографические примитивы и дополнительные соображения

Для версии 1.2 используются генератор случайных чисел (RNG), криптографический алгоритм с открытым ключом, криптографическая хеш-функция, функция генерации маски, генерация и проверка цифровой подписи, а также анонимная прямая аттестация. Уникальные алгоритмы симметричного ключа не являются обязательными.

В TPM 2.0 генератор случайных чисел, криптографические алгоритмы с открытым ключом, криптографические хэш-функции, алгоритмы симметричного ключа, генерация и проверка цифровой подписи, функции генерации масок, анонимная прямая или эксклюзивная аттестация, а также на основе ECC с использованием кривой Баррето-Наерига 256 бит. В спецификации также требуются функции генерации и деривации ключей.

Коннектор TPM

С другой стороны, следует также отметить, что версия 1.2 имеет единую иерархию (хранилище), тогда как версия 2.0 использует три (платформа, хранилище и доверие), используя только один корневой ключ (SRK RSA-2048) в случае версии выше. и несколько ключей и алгоритмов для каждой иерархии в последней версии TPM.

Аналогичным образом, с точки зрения авторизации, версия 1.2 поддерживает HMAC, PCR, местонахождение и физическое присутствие, тогда как TPM 2.0 поддерживает пароль, HMAC и различные настраиваемые политики (которые охватывают HMAC, PCR, местонахождение и физическое присутствие). Наконец, следует отметить, что с точки зрения NVRAM версия 1.2 использует только неструктурированные данные, тогда как версия 2.0 использует неструктурированные данные, а также счетчик, растровое изображение, расширение и PIN-код.