TPM 2.0private keys, sealedsealed storage + attestation + measured boot

Trusted Platform Module (TPM)

11 Min. gelesenSicherheit

Moderne Windows-Installationen erfordern ein TPM. Bei modernen Mac-Chips der M-Serie ist ein solcher in den SoC integriert. Moderne Server werden mit dem TPM 2.0-Standard ausgeliefert. Der Chip ist klein, versiegelt und führt kryptografische Operationen aus, die der Rest des Systems anfordern, aber nicht extrahieren kann. Wenn man versteht, was es tut, wird deutlich, warum Festplattenverschlüsselung, sicherer Start und Remote-Bestätigung davon abhängen.

Der vollständige Artikeltext ist unten in englischer Sprache aufgeführt.

A Trusted Platform Module (TPM) ist ein dedizierter kryptografischer Chip auf der Hauptplatine eines Computers (oder in die CPU integriert bei modernen Systemen). Es speichert kryptografische Schlüssel, führt Vorgänge mit ihnen aus, ohne sie preiszugeben, und stellt zertifizierte Messungen des Startstatus des Systems bereit. Der aktuelle Standard ist TPM 2.0; Ältere Systeme verwenden TPM 1.2.

Kernfunktionen

  • Schlüsselgenerierung und -speicherung. Das TPM kann intern RSA-, ECC- und HMAC-Schlüssel generieren. Die privaten Schlüssel verlassen niemals den Chip – Software kann Signierungs-, Verschlüsselungs- oder Entschlüsselungsvorgänge anfordern, die Schlüssel jedoch nicht extrahieren.
  • XPLZ12 Jede Komponente (BIOS, Bootloader, Kernel) misst die nächste Komponente und erweitert eine PCR mit dem Hash. Die endgültigen PCR-Werte erfassen die gesamte Boot-Kette.
  • Versiegelter Speicher. Verschlüsselung, die an bestimmte PCR-Werte gebunden ist. Das TPM entschlüsselt den versiegelten Blob nur, wenn die PCRs des Systems mit denen zum Zeitpunkt der Versiegelung der Daten übereinstimmen. Manipulation der Boot-Kette → Die Daten können nicht entschlüsselt werden.
  • Attestation. Das TPM kann ein Zitat seiner PCRs mit einem Attestierungsschlüssel signieren. Ein Remote-Dienst empfängt das signierte Angebot und überprüft, ob das Gerät in einem bekanntermaßen guten Zustand gestartet wurde Funktionen:

    • Vollständige Festplattenverschlüsselung – BitLocker unter Windows, LUKS unter Linux kann den Festplattenverschlüsselungsschlüssel für das TPM versiegeln. Das System entsperrt die Festplatte beim Booten automatisch, wenn (und nur dann) die Boot-Kette intakt ist.
    • Sicherer Boot – Jeder Schritt des Bootens wird gemessen. Modifizierter Bootloader → andere PCR → versiegelte Anmeldeinformationen werden nicht entsperrt.
    • Gerätebescheinigung XPLZ43 Schlüssel.
    • XPLZ50 eindeutig:

      • TPM – standardisiert von TCG, in den meisten PCs und Servern vorhanden. Begrenzte Rechenkapazität; Entwickelt für bestimmte kryptografische Grundelemente.
      • Apple Secure Enclave – Apples TPM-Äquivalent, integriert in den SoC. Gleiche Rolle, andere API, verwendet von Touch ID, Face ID, FileVault, Schlüsselbund.
      • Hardware-Sicherheitsmodul (HSM) – viel leistungsfähigeres kryptografisches Gerät, typischerweise PCIe-Karte oder Netzwerkgerät. Wird von Zertifizierungsstellen, Zahlungsabwicklern und Banken verwendet. Tausende von Dollar und mehr. Der Verschlüsselungsschlüssel des Laufwerks ist an PCRs gebunden, die die Boot-Kette messen. Normaler Start → PCRs stimmen überein → TPM gibt den Schlüssel frei → Laufwerk wird entsperrt → Sie melden sich an. Wenn die Boot-Kette geändert wird (anderer Bootloader, BIOS-Update ohne ordnungsgemäße Handhabung), stimmen die PCRs nicht überein, BitLocker fordert zur Eingabe des Wiederherstellungsschlüssels auf. Das TPM tut genau das, was es soll – es schützt die Festplatte vor Manipulation.

        XPLZ82 Die Begründung: TPM-gestützte Funktionen (BitLocker, Windows Hello, Credential Guard) werden zur Basis. Kritiker bemerkten, dass die Anforderung einen Druck auf Elektroschrott erzeugte. Die Entscheidung blieb weitgehend bestehen; Die Akzeptanz von Windows 11 ist mittlerweile weit verbreitet und die meisten neuen PCs werden mit aktiviertem TPM ausgeliefert.

        TPM-Angriffe

        Es wurden mehrere Angriffskategorien gegen TPMs nachgewiesen:

        • Bus sniffing. Die Kommunikation zwischen CPU und diskretem TPM erfolgt über einen Motherboard-Bus (LPC, SPI oder I2C). Durch den physischen Zugriff haben Angreifer während der Übertragung Verschlüsselungsschlüssel erschnüffelt. fTPM (in die CPU integriertes Firmware-TPM) vermeidet diesen Angriff.
        • Kaltstartangriffe. RAM behält Daten kurz nach einem Stromausfall; Wenn der Festplattenschlüssel in den RAM geladen wurde, kann er wiederhergestellt werden. Moderne Betriebssysteme löschen sensiblen Speicher beim Herunterfahren, aber Laptop-Suspendierungszustände sind riskanter.
        • Seitenkanäle. Schwachstellen in der TPM-Firmware können die Schlüsselisolierung beeinträchtigen.

        Für gewöhnliche Bedrohungsmodelle (Laptop-Diebstahl, Malware) ist der TPM-basierte Schutz äußerst effektiv. Bei gezielten physischen Angriffen mit hohem Wert kommt es auf die Tiefenverteidigung an.

        I „Verpfeift“ Sie TPM? Das TPM ist ein passiver kryptografischer Chip – es speichert Schlüssel und misst den Startstatus. Es hat keinen Netzwerkzugriff, ruft nicht nach Hause und sieht Ihre Dateien nicht. Das Risiko für die Benutzeragentur ist subtiler: TPM-gesperrtes DRM und bescheinigungspflichtige Dienste könnten grundsätzlich Benutzer ausschließen, die nicht genehmigte Konfigurationen ausführen. Bisher verwenden Mainstream-Bereitstellungen TPM eher zum Schutz als zur Kontrolle, aber die architektonischen Bedenken sind berechtigt.

Häufig gestellte Fragen

Muss ich TPM aktivieren?
Wenn Sie BitLocker, sicheres Boot-Locked Windows, hardwaregestütztes Windows Hello oder verschiedene Unternehmensfunktionen wünschen – ja. Wenn Sie normales Linux ohne diese Funktionen verwenden, können Sie es deaktiviert lassen. Bei den meisten modernen Systemen ist es standardmäßig aktiviert. Das Ausschalten ist eine bewusste Entscheidung.
Was ist der Unterschied zwischen TPM 1.2 und TPM 2.0?
TPM 2.0 unterstützt im Gegensatz zu 1.2 moderne Algorithmen (ECC, SHA-256), verfügt über ein saubereres Protokoll, mehr PCRs und ein flexibleres Autorisierungsmodell. Windows 11 erfordert 2.0. Alte Hardware mit TPM 1.2 wird zunehmend von neuen Softwareanforderungen ausgeschlossen.
Was ist fTPM und warum ist es manchmal anfällig?
Firmware-TPM – anstelle eines separaten Chips wird die TPM-Funktionalität als Code in der sicheren Enklave der CPU ausgeführt (Intel TXT/CSME, AMD PSP). Im Allgemeinen sicherer als diskrete TPMs, da kein Bus zum Ausspionieren vorhanden ist. Spezifische Firmware-Schwachstellen (CVEs im Jahr 2023 gegen AMD fTPM) haben bestimmte Implementierungen geschwächt; Patches werden über BIOS-Updates bereitgestellt.
Kann das TPM zurückgesetzt werden?
Ja – das BIOS verfügt über eine Clear-TPM-Option, die alle gespeicherten Schlüssel löscht. Nach dem Löschen gehen alle zuvor versiegelten Daten (BitLocker, Windows Hello) dauerhaft verloren, es sei denn, Sie verfügen über Backup-Wiederherstellungsschlüssel. Löschen Sie nicht ohne diese Sicherung.
Verwendet macOS TPM?
Nicht das TCG-Standard-TPM – Apple verwendet seine eigene Secure Enclave mit ähnlichen Funktionen. Der T2-Chip (Intel-Macs) und die Secure Enclave auf Macs der M-Serie führen gleichwertige Funktionen für FileVault, Touch ID, Apple Pay und Schlüsselbund aus. Die Architektur ist anders; die Sicherheitseigenschaften sind vergleichbar.
TPM erklärt: Der Hardware-Sicherheitschip in modernen PCs und Servern