Preciso ativar o TPM?

Se você deseja o BitLocker, o Windows com inicialização segura e bloqueada, o Windows Hello com suporte de hardware ou vários recursos empresariais, sim. Se você estiver executando o Linux simples sem nenhum desses itens, poderá deixá-lo desativado. A maioria dos sistemas modernos o ativa por padrão; desligá-lo é uma escolha deliberada.

Qual é a diferença entre TPM 1.2 e TPM 2.0?

O TPM 2.0 oferece suporte a algoritmos modernos (ECC, SHA-256) que o 1.2 não oferece, possui protocolo mais limpo, mais PCRs e um modelo de autorização mais flexível. O Windows 11 requer 2.0. Hardware antigo com TPM 1.2 é cada vez mais excluído dos novos requisitos de software.

O que é fTPM e por que às vezes é vulnerável?

Firmware TPM — em vez de um chip discreto, a funcionalidade TPM é executada como código dentro do enclave seguro da CPU (Intel TXT/CSME, AMD PSP). Geralmente mais seguro que TPMs discretos porque não há barramento para detectar. Vulnerabilidades específicas de firmware (CVEs em 2023 contra AMD fTPM) enfraqueceram implementações específicas; patches são lançados por meio de atualizações do BIOS.

O TPM pode ser redefinido?

Sim – o BIOS possui uma opção clear-TPM que limpa todas as chaves armazenadas. Após a limpeza, tudo o que foi previamente selado (BitLocker, Windows Hello) será perdido permanentemente, a menos que você tenha chaves de recuperação de backup. Não limpe sem esse backup.

Não é o TPM padrão TCG – a Apple usa seu próprio Secure Enclave com recursos semelhantes. O chip T2 (Macs Intel) e o Secure Enclave em Macs da série M executam funções equivalentes para FileVault, Touch ID, Apple Pay e Keychain. A arquitetura é diferente; as propriedades de segurança são comparáveis.

TPM explicado: o chip de segurança de hardware dentro de PCs e servidores modernos

As instalações modernas do Windows requerem um TPM. Os chips modernos da série Mac M têm um integrado ao SoC. Os servidores modernos são fornecidos com o padrão TPM 2.0. O chip é pequeno, selado e realiza operações criptográficas que o resto do sistema pode solicitar, mas não extrair. Entender o que ele faz mostra por que a criptografia de disco, a inicialização segura e o atestado remoto dependem dele.

O corpo completo do artigo é fornecido em inglês abaixo.

A Trusted Platform Module (TPM) é um chip criptográfico dedicado na placa-mãe de um computador (ou integrado à CPU em sistemas modernos). Ele armazena chaves criptográficas, executa operações nelas sem expô-las e fornece medições atestadas do estado de inicialização do sistema. O padrão atual é TPM 2.0; sistemas mais antigos usam TPM 1.2.

Capacidades principais

Geração e armazenamento de chaves. O TPM pode gerar chaves RSA, ECC e HMAC internamente. As chaves privadas nunca saem do chip - o software pode solicitar operações de assinatura, criptografia ou descriptografia, mas não pode extrair as chaves.
Registros de configuração de plataforma (PCRs). Registros baseados em hash que registram o estado do processo de inicialização. Cada componente (BIOS, bootloader, kernel) mede o próximo componente e estende um PCR com o hash. Os valores PCR finais identificam toda a cadeia de inicialização.
Armazenamento selado. Criptografia vinculada a valores PCR específicos. O TPM só descriptografará o blob selado se os PCRs do sistema corresponderem ao que eram quando os dados foram selados. Adulterar a cadeia de inicialização → não é possível descriptografar os dados.
Attestation. O TPM pode assinar uma cotação de seus PCRs com uma chave de atestado. Um serviço remoto recebe a cotação assinada e verifica se o dispositivo foi inicializado em um estado conhecido.
Geração de números aleatórios. Hardware RNG, útil quando o sistema operacional não tem entropia suficiente.

O que o TPM permite

Os recursos acima são blocos de construção para nível superior capacidades:

Criptografia de disco completo — BitLocker no Windows, LUKS no Linux pode selar a chave de criptografia de disco para o TPM. O sistema desbloqueia o disco automaticamente na inicialização se (e somente se) a cadeia de inicialização estiver intacta.
Secure Boot — Cada etapa da inicialização é medida. Carregador de inicialização modificado → PCR diferente → credenciais seladas não são desbloqueadas.
Atestado de dispositivo — As empresas verificam se os dispositivos gerenciados estão executando configurações aprovadas antes de conceder acesso aos recursos.
Autenticação apoiada por hardware — Windows Hello, substituições de cartão inteligente, FIDO2 no software pode usar armazenamento TPM chaves.
Forte proteção de chave para SSH, VPN, assinatura de código — as chaves geradas no TPM não podem ser exfiltradas por malware, mesmo com privilégios de administrador.

TPM vs Secure Enclave vs HSM

Relacionado, mas distinto:

TPM — padronizado pelo TCG, presente na maioria dos PCs e servidores. Capacidade computacional limitada; projetado para primitivas criptográficas específicas.
Apple Secure Enclave — equivalente ao TPM da Apple, integrado ao SoC. Mesma função, API diferente, usada por Touch ID, Face ID, FileVault, Keychain.
Módulo de segurança de hardware (HSM) — dispositivo criptográfico muito mais capaz, normalmente placa PCIe ou dispositivo de rede. Usado por CAs, processadores de pagamento, bancos. Milhares de dólares ou mais.
Chave de segurança FIDO (YubiKey, etc.) — armazenamento de chaves semelhante ao TPM em um formato portátil.

Integração com BitLocker e TPM

O caso de uso de TPM mais implantado: BitLocker no Windows. A chave de criptografia da unidade é selada para PCRs que medem a cadeia de inicialização. Inicialização normal → correspondência de PCRs → TPM libera a chave → unidade desbloqueia → você faz login. Se a cadeia de inicialização for modificada (carregador de inicialização diferente, atualização do BIOS sem tratamento adequado), os PCRs não correspondem, o BitLocker solicita a chave de recuperação.

É por isso que desabilitar a inicialização segura, substituir o carregador de inicialização ou, às vezes, até mesmo atualizações do BIOS acionam prompts de recuperação do BitLocker. O TPM está fazendo exatamente o que deveria - protegendo o disco contra adulteração.

Requisito de TPM do Windows 11

A controversa decisão de 2021 da Microsoft de exigir o TPM 2.0 para Windows 11 excluiu muitos PCs mais antigos da atualização. A justificativa: os recursos apoiados pelo TPM (BitLocker, Windows Hello, Credential Guard) tornam-se básicos. Os críticos observaram que a exigência criou pressão sobre o lixo eletrônico. A decisão foi amplamente mantida; A adoção do Windows 11 agora é ampla e a maioria dos novos PCs vem com TPM habilitado. Ataques

TPM

Várias categorias de ataque foram demonstradas contra TPMs:

Bus sniffing. A comunicação entre CPU e TPM discreto viaja em um barramento da placa-mãe (LPC, SPI ou I2C). Com acesso físico, os invasores detectaram chaves de criptografia em trânsito. fTPM (firmware TPM integrado à CPU) evita esse ataque.
Ataques de inicialização a frio. RAM retém dados brevemente após perda de energia; se a chave do disco foi carregada na RAM, ela pode ser recuperada. Os sistemas operacionais modernos limpam a memória sensível ao desligar, mas os estados de suspensão do laptop são mais arriscados.
Canais laterais. O tempo e a análise de energia das operações TPM vazaram informações importantes parciais nas configurações de pesquisa.
Vulnerabilidades de firmware. TPMs também executam firmware; vulnerabilidades no firmware TPM podem afetar o isolamento de chaves.

Para modelos de ameaças comuns (roubo de laptop, malware), a proteção baseada em TPM é altamente eficaz. Para ataques físicos direcionados de alto valor, a defesa em profundidade é importante.

O TPM está "delatando" você?

Um mito persistente: o TPM é um backdoor ou rastreia a atividade do usuário. O TPM é um chip criptográfico passivo – ele armazena chaves e mede o estado de inicialização. Não tem acesso à rede, não liga para casa, não vê seus arquivos. O risco para a agência do usuário é mais sutil: DRM bloqueado por TPM e serviços exigidos por atestado poderiam, em princípio, excluir usuários que executam configurações não aprovadas. Até agora, as implantações convencionais usam TPM para proteção em vez de controle, mas a preocupação arquitetônica é legítima.

Perguntas frequentes

Preciso ativar o TPM?: Se você deseja o BitLocker, o Windows com inicialização segura e bloqueada, o Windows Hello com suporte de hardware ou vários recursos empresariais, sim. Se você estiver executando o Linux simples sem nenhum desses itens, poderá deixá-lo desativado. A maioria dos sistemas modernos o ativa por padrão; desligá-lo é uma escolha deliberada.
Qual é a diferença entre TPM 1.2 e TPM 2.0?: O TPM 2.0 oferece suporte a algoritmos modernos (ECC, SHA-256) que o 1.2 não oferece, possui protocolo mais limpo, mais PCRs e um modelo de autorização mais flexível. O Windows 11 requer 2.0. Hardware antigo com TPM 1.2 é cada vez mais excluído dos novos requisitos de software.
O que é fTPM e por que às vezes é vulnerável?: Firmware TPM — em vez de um chip discreto, a funcionalidade TPM é executada como código dentro do enclave seguro da CPU (Intel TXT/CSME, AMD PSP). Geralmente mais seguro que TPMs discretos porque não há barramento para detectar. Vulnerabilidades específicas de firmware (CVEs em 2023 contra AMD fTPM) enfraqueceram implementações específicas; patches são lançados por meio de atualizações do BIOS.
O TPM pode ser redefinido?: Sim – o BIOS possui uma opção clear-TPM que limpa todas as chaves armazenadas. Após a limpeza, tudo o que foi previamente selado (BitLocker, Windows Hello) será perdido permanentemente, a menos que você tenha chaves de recuperação de backup. Não limpe sem esse backup.
O macOS usa TPM?: Não é o TPM padrão TCG – a Apple usa seu próprio Secure Enclave com recursos semelhantes. O chip T2 (Macs Intel) e o Secure Enclave em Macs da série M executam funções equivalentes para FileVault, Touch ID, Apple Pay e Keychain. A arquitetura é diferente; as propriedades de segurança são comparáveis.