TPM 代表 Trusted Platform Module,它集成在主板(Mainboard)上以保护计算机上的数据。
是的,这是您经常在技术论坛上看到的答案,但该答案并不详尽。
这就是为什么在这篇文章中,我会更全面和彻底地向你解释这个 TPM 芯片,关于 TPM 的问题,例如:
TPM 使用什么和保护什么,如何检查计算机是否有 TPM,为什么 Windows 11 对 TPM 2.0、TPM 1.2 和 TPM 2.0 的要求不同。等,云云。
1.TPM 的介绍。芯片
" 
TPM 于 2005 年首次推出,它是位于主板上(或可能位于 CPU 内部)的物理芯片,可提供加密功能并为计算机创建额外的安全层。电脑。
TPM 是一种能够生成加密密钥并为硬件和软件提供身份验证功能的芯片,从而增强计算机的安全性。
<块引用>简而言之,TPM是一家为家庭(软件-软件)和工厂企业(硬件-硬件)生产锁具的工厂。
大多数现代计算机和笔记本电脑(从 2018 年或之后制造)在主板中预焊了 TPM 芯片。
如果您自己组装计算机,并且您购买的主板没有内置 TPM,您可以从外部购买 TPM 模块并插入。
但是,目前 TPM 模块相当昂贵,如果您的主板不支持 TPM,那么购买 TPM 模块只是浪费您的钱。
所以在决定升级之前请仔细检查信息,有些主板带有TMP连接器,您只需要购买更多的TPM连接即可。
正如我上面提到的,TPM 芯片不仅安装在主板上,某些类型的 TPM 也可以直接集成到 CPU 中。
还有一些其他类型称为虚拟 TPM,它们不需要物理芯片即可工作,而是作为一种软件(软件)形式集成到计算机中。但肯定这种虚拟TPM,安全级别不会高。
请参阅本文以获取有关 TPM 的更多信息:Windows 11 上的 TPM 2.0 是什么?以及如何测试?
2.1.2 和 2.0 之间的区别。 TPM芯片
TPM 1.2 于 2005 年首次发布,并于 2011 年获得最终修订版。
与此同时,截至撰写本文时(2021 年),TPM 2.0 于 2014 年首次发布,并于 2019 年收到最新修订版。
虽然TPM 2.0是TPM 2.0的升级版,但TPM 2.0与TPM 1.2不兼容。
对于TPM 1.2以上的算法,SHA-1和RSA算法是必须的,AES算法是可选的。
对于 TPM 2.0,哈希函数需要 SHA-1 和 SHA-256 算法。此外,TPM 2.0 使用 HMAC 算法和 128 位 AES 作为对称密钥算法。
两种算法之间的差异很大,很明显,TPM 2.0 是比 TPM 1.2 安全得多的解决方案。
在去中心化方面,TPM 1.2 只有存储层次结构,而 TPM 2.0 具有平台、存储和验证层次结构。
根密钥呢? TPM 1.2 仅支持 SRK RSA-2048 算法,而 TPM 2.0 支持每个层次结构更多的密钥和算法。
对于授权,TPM 1.2 使用 HMAC、PCR、Locality 和物理存在算法。同时,TPM 2.0 提供相同的授权功能以及密码保护。
关于NVRAM,TPM 1.2只支持非结构化数据,而TPM 2.0同时支持:非结构化数据、计数器、位图、扩展(Extend)、PIN pass-pass code PIN and fail。
=> TPM 2.0 再次为我们提供了一系列显着且非常真实的改进。
TPM 1.2和TPM 2.0支持的算法对比表
| STT | 替代方案 | 算法名称 | TPM 1.2 | TPM 2.0 |
|---|---|---|---|---|
| 第一次 | Asymmetrical(非对称) | RSA 1024 | 有 | 可选 |
| RSA 2048 | 有 | 有 | ||
| ECC P256 | 不是 | 有 | ||
| ECC BN256 | 不是 | 有 | ||
| 2 | 对称(对称) | AES 128 | 可选 | 有 |
| AES 256 | 可选 | 可选 | ||
| 3 | 哈希(散列) | SHA-1 | 有 | 有 |
| SHA-2 256 | 不是 | 有 | ||
| 4 | HMAC | SHA-1 | 有 | 有 |
| SHA-2 256 | 不是 | 有 |
3.与 TPM 1.2 相比,TPM 2.0 的突出优势是什么?
TPM 1.2 仅使用 SHA-1 哈希算法,这可能是一个弱点,因为 SHA-1 不安全,而且人们自 2014 年以来已切换到 SHA-256。
证明 SHA-1 不安全的证据是 Google 和 Microsoft 在 2017 年取消了对基于 SHA-1 算法的证书的支持。
同时,TPM 2.0 支持更新的算法,从而将安全级别提高到更高级别。并且某些功能如设备加密、Windows Defender System Guard、Autopilot 和 SecureBIO 仅在计算机具有 TPM 2.0 芯片时可用。
TPM 1.2 和 TPM 2.0 支持的功能列表:
| STT | 特点 | TPM 1.2 | TPM 2.0 |
|---|---|---|---|
| 第一次 | 测量引导 | ✓ | ✓ |
| 2 | BitLocker | ✓ | ✓ |
| 3 | 设备加密 | ✘ | ✓ |
| 4 | Windows Defender 应用程序控制 | ✓ | ✓ |
| 5 | Windows Defender 系统防护 | ✘ | ✓ |
| 6 | 凭证保护 | ✓ | ✓ |
| 7 | 设备健康证明 | ✓ | ✓ |
| 8 | Windows Hello | ✓ | ✓ |
| 9 | UEFI 安全启动 | ✓ | ✓ |
| 十 | TPM 平台加密提供商密钥存储提供商 | ✓ | ✓ |
| 11 | 虚拟智能卡 | ✓ | ✓ |
| 第十二个 | 自动驾驶仪 | ✓ | ✓ |
| 13 | SecureBIO | ✘ | ✓ |
| 14 | 证书存储 | ✘ | ✓ |
4.TPM 如何工作?
TPM 芯片用于保护和加密数据(生成和存储加密密钥的组成部分),TPM 将与硬件一起存储密码、加密密钥和安全证书等安全信息。
这意味着,要解锁加密硬盘,您需要使用生成密钥的同一个 TPM 芯片。
而且由于物理芯片的特殊性质(加密密钥不存储在硬盘上),黑客将更难解密数据,因为他们无法控制 TPM 芯片。
TPM芯片还内置了防伪功能,万一芯片和主板被篡改,TPM仍然可以正常锁定您的数据。
当它在您的设备上检测到病毒或其他恶意软件时,TPM 会立即自我隔离(以及其中的加密数据)。
TPM 还可以在启动时扫描 BIOS 并在运行之前运行测试以检查软件。
如果检测到数据被盗,TPM 还可以阻止计算机启动并锁定它。此外,TPM 还可以存储 Windows Hello(人脸解锁)的生物特征数据。
TPM 最常见的作用是生成唯一的加密密钥,其中一部分存储在 TPM 芯片上。从那里,日当硬盘插入另一台计算机时,带有该加密密钥的硬盘将无法读取数据。 (出于这样的原因,Bitlocker 需要 TPM。)
5.为什么 Windows 11 需要有 TPM 2.0 芯片
我们目前对 Windows 11 的系统要求的了解非常模糊,包括微软是否会支持 Windows 11 的 TPM 1.2?
根据微软最初发布的文档,Windows 11 将支持 TPM 1.2 和 TPM 2.0,显然支持 TPM 1.2(但不推荐)。
然而,不久之后,微软更新了他们的文档,目前仅支持带有 TPM 2.0 芯片的机器。
目前,微软专注于 Windows 11 的安全性。因此,要求 TPM 2.0 是可以理解的。 TPM 2.0 将满足 Windows 11 最新、最现代的安全功能。
不仅如此,微软还对固件攻击发出警告,从而引发勒索软件攻击,导致用户数据丢失。
因此,Microsoft 正在努力加强其操作系统的安全性,以减轻这些攻击并确保未来用户的安全。
但也有一部分用户认为微软更高的系统配置要求只是金融阴谋。
用户将不得不放弃 Windows 8 及更低版本的计算机以及一些运行 Windows 10 的计算机,才能购买硬件支持 Windows 11 的计算机或笔记本电脑。
只有 4 年的计算机或
0 评论