هل أحتاج إلى تمكين TPM؟

إذا كنت تريد BitLocker، أو نظام التشغيل Windows الآمن التشغيل، أو Windows Hello المدعوم بالأجهزة، أو ميزات المؤسسة المتنوعة - نعم. إذا كنت تستخدم Linux عاديًا دون أي من هذه الميزات، فيمكنك تركه معطلاً. يتم تشغيله بشكل افتراضي في معظم الأنظمة الحديثة؛ إيقاف تشغيله هو الاختيار المتعمد.

ما الفرق بين TPM 1.2 وTPM 2.0؟

يدعم TPM 2.0 الخوارزميات الحديثة (ECC، SHA-256) التي لا يدعمها الإصدار 1.2، ويحتوي على بروتوكول أنظف والمزيد من PCRs ونموذج ترخيص أكثر مرونة. يتطلب Windows 11 الإصدار 2.0. يتم استبعاد الأجهزة القديمة المزودة بـ TPM 1.2 بشكل متزايد من متطلبات البرامج الجديدة.

ما هو fTPM ولماذا يكون ضعيفًا في بعض الأحيان؟

البرنامج الثابت TPM - بدلاً من شريحة منفصلة، تعمل وظيفة TPM كرمز داخل المنطقة الآمنة لوحدة المعالجة المركزية (Intel TXT/CSME، AMD PSP). بشكل عام، أكثر أمانًا من أجهزة TPM المنفصلة نظرًا لعدم وجود حافلة يمكن شمها. أدت الثغرات الأمنية المحددة في البرامج الثابتة (CVEs في عام 2023 ضد AMD fTPM) إلى إضعاف تطبيقات محددة؛ يتم طرح التصحيحات عبر تحديثات BIOS.

هل يمكن إعادة ضبط TPM؟

نعم - يحتوي BIOS على خيار Clear-TPM الذي يمسح جميع المفاتيح المخزنة. بعد المسح، يتم فقدان أي شيء تم إغلاقه مسبقًا (BitLocker، Windows Hello) بشكل دائم ما لم يكن لديك مفاتيح استرداد احتياطية. لا تقم بالمسح بدون تلك النسخة الاحتياطية.

هل يستخدم نظام التشغيل macOS TPM؟

ليس جهاز TPM القياسي - تستخدم Apple المنطقة الآمنة الخاصة بها ذات الإمكانات المماثلة. تؤدي شريحة T2 (أجهزة Intel Mac) وSecure Enclave في أجهزة Mac من السلسلة M وظائف مكافئة لـ FileVault وTouch ID وApple Pay وKeychain. الهندسة المعمارية مختلفة. الخصائص الأمنية قابلة للمقارنة.

شرح TPM: شريحة أمان الأجهزة الموجودة داخل أجهزة الكمبيوتر والخوادم الحديثة

تتطلب عمليات تثبيت Windows الحديثة وجود TPM. تحتوي شرائح سلسلة Mac M الحديثة على شريحة مدمجة في SoC. يتم شحن الخوادم الحديثة بمعيار TPM 2.0. الشريحة صغيرة ومختومة وتقوم بعمليات تشفير يمكن لبقية النظام طلبها ولكن لا يمكن استخراجها منها. إن فهم ما يفعله يوضح سبب اعتماد تشفير القرص والتمهيد الآمن والمصادقة عن بعد عليه.

يتم توفير نص المقالة الكامل باللغة الإنجليزية أدناه.

A Trusted Platform Module (TPM) عبارة عن شريحة تشفير مخصصة موجودة على اللوحة الأم للكمبيوتر (أو مدمجة في وحدة المعالجة المركزية في الأنظمة الحديثة). يقوم بتخزين مفاتيح التشفير، وتنفيذ العمليات عليها دون الكشف عنها، ويوفر قياسات معتمدة لحالة تمهيد النظام. المعيار الحالي هو TPM 2.0؛ تستخدم الأنظمة القديمة إمكانيات TPM 1.2.

Core

إنشاء المفاتيح وتخزينها. يمكن لـ TPM إنشاء مفاتيح RSA وECC وHMAC داخليًا. لا تترك المفاتيح الخاصة الشريحة أبدًا - يمكن للبرنامج أن يطلب عمليات التوقيع أو التشفير أو فك التشفير ولكن لا يمكنه استخراج المفاتيح.
Platform Configuration Registers (PCRs). السجلات المستندة إلى التجزئة التي تسجل حالة عملية التمهيد. يقيس كل مكون (BIOS، أداة تحميل التشغيل، kernel) المكون التالي ويقوم بتوسيع PCR باستخدام التجزئة. قيم PCR النهائية تطبع سلسلة التمهيد بأكملها.
Sealed تخزين. يرتبط التشفير بقيم PCR محددة. لن يقوم TPM بفك تشفير النقطة المختومة إلا إذا تطابقت PCRs الخاصة بالنظام مع ما كانت عليه عندما تم ختم البيانات. التلاعب بسلسلة التمهيد → لا يمكن فك تشفير البيانات.
Attestation. يمكن لـ TPM التوقيع على عرض أسعار لوحدات PCR الخاصة به باستخدام مفتاح التصديق. تتلقى الخدمة عن بعد عرض الأسعار الموقع وتتحقق من تشغيل الجهاز في حالة جيدة معروفة.
إنشاء أرقام عشوائية. Hardware RNG، مفيد عندما لا يحتوي نظام التشغيل على إنتروبيا كافية.

ما يتيحه TPM

الميزات المذكورة أعلاه هي لبنات بناء للمستوى الأعلى القدرات:

تشفير القرص بالكامل - يمكن لـ BitLocker على نظام التشغيل Windows، وLUKS على Linux إغلاق مفتاح تشفير القرص إلى TPM. يقوم النظام بإلغاء قفل القرص تلقائيًا عند التمهيد إذا (وفقط إذا) كانت سلسلة التمهيد سليمة.
Secure Boot — يتم قياس كل خطوة من خطوات التمهيد. أداة تحميل التشغيل المعدلة ← PCR مختلف ← لا يتم فتح بيانات الاعتماد المختومة.
شهادة الجهاز - تتحقق المؤسسات من أن الأجهزة المُدارة تقوم بتشغيل تكوينات معتمدة قبل منح الوصول إلى الموارد.
المصادقة المدعومة بالأجهزة - Windows Hello، وبدائل البطاقات الذكية، وFIDO2 في البرنامج يمكن استخدام وحدة TPM المخزنة المفاتيح.
حماية مفاتيح قوية لـ SSH وVPN وتوقيع التعليمات البرمجية - لا يمكن استخراج المفاتيح التي تم إنشاؤها في TPM بواسطة البرامج الضارة، حتى مع امتيازات المسؤول.

TPM vs Secure Enclave vs HSM

ذات صلة لكن متميز:

TPM — موحد بواسطة TCG، وموجود في معظم أجهزة الكمبيوتر والخوادم. قدرة حسابية محدودة؛ مصمم لأساسيات تشفير محددة.
Apple Secure Enclave - ما يعادل TPM من Apple، مدمج في SoC. نفس الدور، واجهة برمجة تطبيقات مختلفة، يستخدمها Touch ID وFace ID وFileVault وKeychain.
Hardware Security Module (HSM) - جهاز تشفير أكثر قدرة، عادةً بطاقة PCIe أو جهاز شبكة. يتم استخدامه من قبل CAs ومعالجات الدفع والبنوك. آلاف الدولارات وما فوق.
FIDO مفتاح الأمان (YubiKey، وما إلى ذلك) - تخزين مفاتيح يشبه TPM في عامل شكل محمول.

BitLocker وتكامل TPM

حالة استخدام TPM الأكثر انتشارًا: BitLocker على Windows. يتم إغلاق مفتاح تشفير محرك الأقراص في أجهزة PCR التي تقيس سلسلة التمهيد. التمهيد العادي ← تطابق PCRs ← تحرير TPM المفتاح ← فتح محرك الأقراص ← تسجيل الدخول. إذا تم تعديل سلسلة التمهيد (أداة تحميل تشغيل مختلفة، تحديث BIOS بدون معالجة مناسبة)، فإن PCRs غير متطابقة، ويطالب BitLocker بمفتاح الاسترداد.

هذا هو السبب في أن تعطيل التمهيد الآمن، أو استبدال أداة تحميل التشغيل، أو حتى تحديثات BIOS في بعض الأحيان تؤدي إلى تشغيل مطالبات استرداد BitLocker.

متطلبات TPM لنظام التشغيل Windows 11

قرار Microsoft المثير للجدل لعام 2021 بطلب TPM 2.0 لنظام التشغيل Windows 11 استبعد العديد من أجهزة الكمبيوتر القديمة من الترقية. المبرر: أصبحت الميزات المدعومة بـ TPM (BitLocker، وWindows Hello، وCredential Guard) هي الأساس. وأشار النقاد إلى أن هذا الشرط خلق ضغطًا على النفايات الإلكترونية. القرار صمد إلى حد كبير. أصبح اعتماد نظام التشغيل Windows 11 الآن واسع النطاق، كما أن معظم أجهزة الكمبيوتر الجديدة مزودة بتمكين TPM. هجمات

TPM

تم عرض العديد من فئات الهجوم ضد TPM:

Bus sniffing. ينتقل الاتصال بين وحدة المعالجة المركزية (CPU) ووحدة TPM المنفصلة على ناقل اللوحة الأم (LPC أو SPI أو I2C). ومن خلال الوصول الفعلي، تمكن المهاجمون من استنشاق مفاتيح التشفير أثناء النقل. يتجنب fTPM (البرنامج الثابت TPM المدمج في وحدة المعالجة المركزية) هذا الهجوم.
هجمات التمهيد الباردة.تحتفظ ذاكرة الوصول العشوائي بالبيانات لفترة وجيزة بعد فقدان الطاقة؛ إذا تم تحميل مفتاح القرص في ذاكرة الوصول العشوائي (RAM)، فيمكن استعادته. تعمل أنظمة التشغيل الحديثة على مسح الذاكرة الحساسة عند إيقاف التشغيل، لكن حالات تعليق الكمبيوتر المحمول أكثر خطورة. قنوات
Side. لقد أدى تحليل التوقيت والطاقة لعمليات TPM في إلى تسرب معلومات أساسية جزئية في إعدادات البحث. نقاط ضعف البرامج الثابتة
. تعمل أجهزة TPM على تشغيل البرامج الثابتة أيضًا؛ يمكن أن تؤثر الثغرات الأمنية في البرامج الثابتة TPM على عزل المفاتيح.

بالنسبة لنماذج التهديدات العادية (سرقة الكمبيوتر المحمول والبرامج الضارة)، تعد الحماية المستندة إلى TPM فعالة للغاية. بالنسبة للهجمات الجسدية المستهدفة عالية القيمة، يكون الدفاع بعمق أمرًا مهمًا.

هل "يتوشى" TPM عليك؟

A أسطورة مستمرة: TPM عبارة عن باب خلفي أو يتتبع نشاط المستخدم. TPM عبارة عن شريحة تشفير سلبية - تقوم بتخزين المفاتيح وقياس حالة التمهيد. ليس لديه إمكانية الوصول إلى الشبكة، ولا يتصل بالمنزل، ولا يرى ملفاتك. يعد الخطر على وكالة المستخدم أكثر دقة: يمكن أن تستبعد إدارة الحقوق الرقمية المقفلة بواسطة TPM والخدمات المطلوبة للتصديق، من حيث المبدأ، المستخدمين الذين يقومون بتشغيل تكوينات غير معتمدة. حتى الآن، تستخدم عمليات النشر السائدة TPM للحماية بدلاً من التحكم، ولكن الاهتمام المعماري مشروع.

الأسئلة المتداولة

هل أحتاج إلى تمكين TPM؟: إذا كنت تريد BitLocker، أو نظام التشغيل Windows الآمن التشغيل، أو Windows Hello المدعوم بالأجهزة، أو ميزات المؤسسة المتنوعة - نعم. إذا كنت تستخدم Linux عاديًا دون أي من هذه الميزات، فيمكنك تركه معطلاً. يتم تشغيله بشكل افتراضي في معظم الأنظمة الحديثة؛ إيقاف تشغيله هو الاختيار المتعمد.
ما الفرق بين TPM 1.2 وTPM 2.0؟: يدعم TPM 2.0 الخوارزميات الحديثة (ECC، SHA-256) التي لا يدعمها الإصدار 1.2، ويحتوي على بروتوكول أنظف والمزيد من PCRs ونموذج ترخيص أكثر مرونة. يتطلب Windows 11 الإصدار 2.0. يتم استبعاد الأجهزة القديمة المزودة بـ TPM 1.2 بشكل متزايد من متطلبات البرامج الجديدة.
ما هو fTPM ولماذا يكون ضعيفًا في بعض الأحيان؟: البرنامج الثابت TPM - بدلاً من شريحة منفصلة، تعمل وظيفة TPM كرمز داخل المنطقة الآمنة لوحدة المعالجة المركزية (Intel TXT/CSME، AMD PSP). بشكل عام، أكثر أمانًا من أجهزة TPM المنفصلة نظرًا لعدم وجود حافلة يمكن شمها. أدت الثغرات الأمنية المحددة في البرامج الثابتة (CVEs في عام 2023 ضد AMD fTPM) إلى إضعاف تطبيقات محددة؛ يتم طرح التصحيحات عبر تحديثات BIOS.
هل يمكن إعادة ضبط TPM؟: نعم - يحتوي BIOS على خيار Clear-TPM الذي يمسح جميع المفاتيح المخزنة. بعد المسح، يتم فقدان أي شيء تم إغلاقه مسبقًا (BitLocker، Windows Hello) بشكل دائم ما لم يكن لديك مفاتيح استرداد احتياطية. لا تقم بالمسح بدون تلك النسخة الاحتياطية.
هل يستخدم نظام التشغيل macOS TPM؟: ليس جهاز TPM القياسي - تستخدم Apple المنطقة الآمنة الخاصة بها ذات الإمكانات المماثلة. تؤدي شريحة T2 (أجهزة Intel Mac) وSecure Enclave في أجهزة Mac من السلسلة M وظائف مكافئة لـ FileVault وTouch ID وApple Pay وKeychain. الهندسة المعمارية مختلفة. الخصائص الأمنية قابلة للمقارنة.