Czy muszę mieć włączony moduł TPM?

Jeśli potrzebujesz funkcji BitLocker, systemu Windows z blokadą bezpiecznego rozruchu, funkcji Windows Hello ze wsparciem sprzętowym lub różnych funkcji dla przedsiębiorstw — tak. Jeśli używasz zwykłego Linuksa bez żadnego z nich, możesz pozostawić go wyłączonym. Większość nowoczesnych systemów ma tę opcję domyślnie włączoną; wyłączenie go jest świadomym wyborem.

Jaka jest różnica między modułem TPM 1.2 a modułem TPM 2.0?

TPM 2.0 obsługuje nowoczesne algorytmy (ECC, SHA-256), których nie obsługuje wersja 1.2, ma czystszy protokół, więcej PCR i bardziej elastyczny model autoryzacji. Windows 11 wymaga wersji 2.0. Stary sprzęt z modułem TPM 1.2 jest coraz częściej wykluczany z nowych wymagań programowych.

Co to jest fTPM i dlaczego czasami jest podatny na ataki?

Firmware TPM — zamiast oddzielnego chipa, funkcjonalność TPM działa jako kod w bezpiecznej enklawie procesora (Intel TXT/CSME, AMD PSP). Generalnie bezpieczniejsze niż dyskretne moduły TPM, ponieważ nie ma magistrali do wąchania. Specyficzne luki w oprogramowaniu sprzętowym (CVE w 2023 r. przeciwko AMD fTPM) osłabiły określone implementacje; poprawki są wprowadzane poprzez aktualizacje BIOS-u.

Czy moduł TPM można zresetować?

Tak — BIOS ma opcję Clear-TPM, która usuwa wszystkie zapisane klucze. Po wyczyszczeniu wszystko, co zostało wcześniej zapieczętowane (BitLocker, Windows Hello), zostanie trwale utracone, chyba że masz klucze odzyskiwania kopii zapasowej. Nie usuwaj bez tej kopii zapasowej.

Czy macOS korzysta z modułu TPM?

Nie jest to standardowy moduł TPM TCG — Apple korzysta z własnej bezpiecznej enklawy o podobnych możliwościach. Układ T2 (komputery Mac z procesorem Intel) i moduł Secure Enclave na komputerach Mac z serii M wykonują równoważne funkcje w przypadku FileVault, Touch ID, Apple Pay i Keychain. Architektura jest inna; właściwości bezpieczeństwa są porównywalne.

Wyjaśnienie modułu TPM: sprzętowy układ zabezpieczający w nowoczesnych komputerach i serwerach

Nowoczesne instalacje systemu Windows wymagają modułu TPM. Nowoczesne chipy Mac z serii M mają jeden wbudowany w SoC. Nowoczesne serwery są dostarczane w standardzie TPM 2.0. Chip jest mały, zapieczętowany i wykonuje operacje kryptograficzne, których reszta systemu może żądać, ale nie może z nich wyodrębnić. Zrozumienie jego działania pokazuje, dlaczego zależy od niego szyfrowanie dysku, bezpieczny rozruch i zdalne poświadczanie.

Poniżej znajduje się pełna treść artykułu w języku angielskim.

A Trusted Platform Module (TPM) to dedykowany układ kryptograficzny znajdujący się na płycie głównej komputera (lub zintegrowany z procesorem w nowoczesnych systemach). Przechowuje klucze kryptograficzne, wykonuje na nich operacje bez ich ujawniania i zapewnia potwierdzone pomiary stanu rozruchu systemu. Obecnym standardem jest TPM 2.0; starsze systemy korzystają z modułu TPM 1.2.

Podstawowe możliwości

Generowanie i przechowywanie kluczy. Moduł TPM może wewnętrznie generować klucze RSA, ECC i HMAC. Klucze prywatne nigdy nie opuszczają chipa — oprogramowanie może żądać operacji podpisywania, szyfrowania lub deszyfrowania, ale nie może wyodrębnić kluczy.
Rejestry konfiguracji platformy (PCR). Rejestry oparte na skrótach, które rejestrują stan procesu rozruchu. Każdy komponent (BIOS, bootloader, jądro) mierzy następny komponent i rozszerza PCR o hash. Końcowe wartości PCR stanowią odcisk palca całego łańcucha rozruchowego.
Zapieczętowana pamięć masowa. Szyfrowanie powiązane z określonymi wartościami PCR. Moduł TPM odszyfruje zapieczętowany obiekt blob tylko wtedy, gdy wyniki PCR systemu będą zgodne z tym, jakie były w chwili zapieczętowania danych. Manipuluj łańcuchem rozruchowym → nie można odszyfrować danych.
Atestacja. Moduł TPM może podpisać wycenę swoich PCR kluczem atestacyjnym. Zdalna usługa odbiera podpisaną wycenę i sprawdza, czy urządzenie uruchomiło się w znanym, dobrym stanie.
Losowe generowanie liczb. Sprzętowy RNG, przydatny, gdy system operacyjny nie ma wystarczającej entropii.

Co umożliwia moduł TPM

Powyższe funkcje to elementy składowe wyższego poziomu możliwości:

Szyfrowanie całego dysku — funkcja BitLocker w systemie Windows, LUKS w systemie Linux może uszczelnić klucz szyfrowania dysku w module TPM. System odblokowuje dysk automatycznie podczas rozruchu, jeśli (i tylko wtedy) łańcuch rozruchowy jest nienaruszony.
Secure Boot — mierzony jest każdy krok rozruchu. Zmodyfikowany program ładujący → inny PCR → zapieczętowane dane uwierzytelniające nie odblokowują się.
Atest urządzenia — Przed udzieleniem dostępu do zasobów przedsiębiorstwa weryfikują, czy zarządzane urządzenia działają w zatwierdzonych konfiguracjach.
Uwierzytelnianie wspierane sprzętowo — Windows Hello, zamienniki kart inteligentnych, FIDO2 w oprogramowaniu może korzystać z modułu TPM klucze.
Silna ochrona kluczy dla SSH, VPN, podpisywania kodu — klucze wygenerowane w TPM nie mogą zostać wydobyte przez złośliwe oprogramowanie, nawet z uprawnieniami administratora.

TPM vs Secure Enclave vs HSM

Powiązane, ale odrębny:

TPM — ustandaryzowany przez TCG, obecny w większości komputerów PC i serwerów. Ograniczone możliwości obliczeniowe; zaprojektowany dla określonych prymitywów kryptograficznych.
Apple Secure Enclave — odpowiednik TPM firmy Apple, zintegrowany z SoC. Ta sama rola, inny interfejs API, używany przez Touch ID, Face ID, FileVault, Keychain.
Hardware Security Module (HSM) — urządzenie kryptograficzne o znacznie większych możliwościach, zazwyczaj karta PCIe lub urządzenie sieciowe. Używany przez urzędy certyfikacji, podmioty przetwarzające płatności, banki. Tysiące dolarów i więcej.
Klucz bezpieczeństwa FIDO (YubiKey itp.) — przechowywanie kluczy podobne do TPM w przenośnej obudowie.

Integracja BitLocker i TPM

Najczęściej wdrażany przypadek użycia modułu TPM: funkcja BitLocker w systemie Windows. Klucz szyfrujący dysku jest zapieczętowany w testach PCR, które mierzą łańcuch rozruchowy. Normalny rozruch → Dopasowanie PCR → TPM zwalnia klucz → dysk odblokowuje → logujesz się. Jeśli łańcuch rozruchu zostanie zmodyfikowany (inny program ładujący, aktualizacja BIOS-u bez właściwej obsługi), PCR nie są zgodne, funkcja BitLocker monituje o klucz odzyskiwania.

Dlatego wyłączenie Bezpiecznego rozruchu, wymiana modułu ładującego, a czasem nawet aktualizacje systemu BIOS powodują wyświetlenie monitów o odzyskanie funkcji BitLocker. Moduł TPM robi dokładnie to, co powinien — chroni dysk przed manipulacją.

Wymagania dotyczące modułu TPM w systemie Windows 11

Kontrowersyjna decyzja firmy Microsoft z 2021 r. dotycząca wymagania modułu TPM 2.0 dla systemu Windows 11 wykluczyła wiele starszych komputerów z aktualizacji. Uzasadnienie: funkcje obsługiwane przez moduł TPM (BitLocker, Windows Hello, Credential Guard) stają się podstawą. Krytycy zauważyli, że wymóg spowodował presję na odpady elektroniczne. Decyzja w dużej mierze utrzymana; System Windows 11 jest obecnie powszechnie stosowany i większość nowych komputerów PC jest dostarczana z włączoną funkcją TPM. Ataki

TPM

Wykazano kilka kategorii ataków na moduły TPM:

Wąchanie magistrali. Komunikacja pomiędzy procesorem a oddzielnym modułem TPM odbywa się poprzez magistralę płyty głównej (LPC, SPI lub I2C). Dzięki dostępowi fizycznemu napastnicy wąchają klucze szyfrujące podczas przesyłania. fTPM (oprogramowanie TPM zintegrowane z procesorem) pozwala uniknąć tego ataku.
Ataki podczas zimnego rozruchu. RAM przechowuje dane przez krótki czas po utracie zasilania; jeśli klucz dysku został załadowany do pamięci RAM, można go odzyskać. Nowoczesne systemy operacyjne czyszczą wrażliwą pamięć podczas wyłączania, ale stany zawieszenia laptopa są bardziej ryzykowne.
Kanały boczne. Analiza taktowania i mocy operacji TPM spowodowała wyciek części kluczowych informacji w ustawieniach badawczych.
Błędy w oprogramowaniu sprzętowym. Moduły TPM również uruchamiają oprogramowanie sprzętowe; luki w oprogramowaniu TPM mogą mieć wpływ na izolację kluczy.

W przypadku zwykłych modeli zagrożeń (kradzież laptopa, złośliwe oprogramowanie) ochrona oparta na TPM jest bardzo skuteczna. W przypadku ukierunkowanych ataków fizycznych o dużej wartości liczy się głęboka obrona.

Czy moduł TPM „donosi” na Ciebie?

Uporczywy mit: TPM to backdoor lub śledzi aktywność użytkownika. Moduł TPM to pasywny układ kryptograficzny — przechowuje klucze i mierzy stan rozruchu. Nie ma dostępu do sieci, nie dzwoni do domu, nie widzi Twoich plików. Ryzyko dla agencji użytkownika jest bardziej subtelne: DRM z blokadą modułu TPM i usługi wymagające atestów mogą w zasadzie wykluczać użytkowników korzystających z niezatwierdzonych konfiguracji. Jak dotąd w głównych wdrożeniach moduł TPM jest używany do ochrony, a nie kontroli, ale problem związany z architekturą jest uzasadniony.

Często zadawane pytania

Czy muszę mieć włączony moduł TPM?: Jeśli potrzebujesz funkcji BitLocker, systemu Windows z blokadą bezpiecznego rozruchu, funkcji Windows Hello ze wsparciem sprzętowym lub różnych funkcji dla przedsiębiorstw — tak. Jeśli używasz zwykłego Linuksa bez żadnego z nich, możesz pozostawić go wyłączonym. Większość nowoczesnych systemów ma tę opcję domyślnie włączoną; wyłączenie go jest świadomym wyborem.
Jaka jest różnica między modułem TPM 1.2 a modułem TPM 2.0?: TPM 2.0 obsługuje nowoczesne algorytmy (ECC, SHA-256), których nie obsługuje wersja 1.2, ma czystszy protokół, więcej PCR i bardziej elastyczny model autoryzacji. Windows 11 wymaga wersji 2.0. Stary sprzęt z modułem TPM 1.2 jest coraz częściej wykluczany z nowych wymagań programowych.
Co to jest fTPM i dlaczego czasami jest podatny na ataki?: Firmware TPM — zamiast oddzielnego chipa, funkcjonalność TPM działa jako kod w bezpiecznej enklawie procesora (Intel TXT/CSME, AMD PSP). Generalnie bezpieczniejsze niż dyskretne moduły TPM, ponieważ nie ma magistrali do wąchania. Specyficzne luki w oprogramowaniu sprzętowym (CVE w 2023 r. przeciwko AMD fTPM) osłabiły określone implementacje; poprawki są wprowadzane poprzez aktualizacje BIOS-u.
Czy moduł TPM można zresetować?: Tak — BIOS ma opcję Clear-TPM, która usuwa wszystkie zapisane klucze. Po wyczyszczeniu wszystko, co zostało wcześniej zapieczętowane (BitLocker, Windows Hello), zostanie trwale utracone, chyba że masz klucze odzyskiwania kopii zapasowej. Nie usuwaj bez tej kopii zapasowej.
Czy macOS korzysta z modułu TPM?: Nie jest to standardowy moduł TPM TCG — Apple korzysta z własnej bezpiecznej enklawy o podobnych możliwościach. Układ T2 (komputery Mac z procesorem Intel) i moduł Secure Enclave na komputerach Mac z serii M wykonują równoważne funkcje w przypadku FileVault, Touch ID, Apple Pay i Keychain. Architektura jest inna; właściwości bezpieczeństwa są porównywalne.