TPM'nin etkinleştirilmesine ihtiyacım var mı?

BitLocker'ı, güvenli önyükleme kilitli Windows'u, donanım destekli Windows Hello'yu veya çeşitli kurumsal özellikleri istiyorsanız - evet. Bunlardan herhangi biri olmadan sade bir Linux çalıştırıyorsanız, onu devre dışı bırakabilirsiniz. Çoğu modern sistemde bu özellik varsayılan olarak açıktır; kapatmak kasıtlı bir seçimdir.

TPM 1.2 ile TPM 2.0 arasındaki fark nedir?

TPM 2.0, 1.2'nin desteklemediği modern algoritmaları (ECC, SHA-256) destekler, daha temiz protokole, daha fazla PCR'ye ve daha esnek bir yetkilendirme modeline sahiptir. Windows 11 2.0 gerektirir. TPM 1.2'ye sahip eski donanımlar, yeni yazılım gereksinimlerinin giderek daha fazla dışında tutuluyor.

ftPM nedir ve neden bazen savunmasızdır?

Firmware TPM — ayrı bir çip yerine, TPM işlevi CPU'nun güvenli bölgesinde (Intel TXT/CSME, AMD PSP) kod olarak çalışır. Genellikle ayrık TPM'lerden daha güvenlidir çünkü koklanacak veri yolu yoktur. Belirli ürün yazılımı güvenlik açıkları (2023'te AMD fTPM'ye karşı CVE'ler) belirli uygulamaları zayıflattı; yamalar BIOS güncellemeleri aracılığıyla yayınlanır.

TPM sıfırlanabilir mi?

Evet — BIOS'ta, saklanan tüm anahtarları silen bir clear-TPM seçeneği bulunur. Temizledikten sonra, yedek kurtarma anahtarlarınız olmadığı sürece önceden mühürlenmiş olan her şey (BitLocker, Windows Hello) kalıcı olarak kaybolur. Yedekleme olmadan temizlemeyin.

MacOS TPM kullanıyor mu?

TCG standardı TPM değil — Apple, benzer yeteneklere sahip kendi Secure Enclave'ini kullanır. T2 yongası (Intel Mac'ler) ve M serisi Mac'lerdeki Secure Enclave, FileVault, Touch ID, Apple Pay ve Keychain için eşdeğer işlevleri gerçekleştirir. Mimari farklıdır; güvenlik özellikleri karşılaştırılabilir.

TPM'nin Açıklaması: Modern Bilgisayarların ve Sunucuların İçindeki Donanım Güvenliği Çipi

Modern Windows yüklemeleri bir TPM gerektirir. Modern Mac M serisi yongalarda SoC'de yerleşik bir tane bulunur. Modern sunucular TPM 2.0 standardıyla birlikte gönderilir. Çip küçüktür, mühürlenmiştir ve sistemin geri kalanının isteyebileceği ancak çıkaramayacağı kriptografik işlemler yapar. Ne yaptığını anlamak, disk şifrelemenin, güvenli önyüklemenin ve uzaktan doğrulamanın neden ona bağlı olduğunu gösterir.

Makalenin tam metni aşağıda İngilizce olarak verilmektedir.

A Güvenilir Platform Modülü (TPM), bilgisayarın anakartında bulunan (veya modern sistemlerde CPU'ya entegre edilmiş) özel bir şifreleme çipidir. Kriptografik anahtarları saklar, onları açığa çıkarmadan bunlar üzerinde işlemler gerçekleştirir ve sistemin önyükleme durumuna ilişkin onaylanmış ölçümler sağlar. Mevcut standart TPM 2.0'dır; eski sistemler TPM 1.2.

Core yeteneklerini kullanır

Anahtar oluşturma ve depolama. TPM, dahili olarak RSA, ECC ve HMAC anahtarları oluşturabilir. Özel anahtarlar hiçbir zaman çipten ayrılmaz; yazılım imzalama, şifreleme veya şifre çözme işlemlerini isteyebilir ancak anahtarları çıkaramaz.
Platform Yapılandırma Kayıtları (PCR'ler). Önyükleme işleminin durumunu kaydeden karma tabanlı kayıtlar. Her bileşen (BIOS, önyükleyici, çekirdek) bir sonraki bileşeni ölçer ve karma ile bir PCR'yi genişletir. Nihai PCR değerleri, tüm önyükleme zincirinin parmak izini alır.
Mühürlü depolama. Şifreleme, belirli PCR değerlerine bağlıdır. TPM, yalnızca sistemin PCR'leri veriler mühürlendiğindekilerle eşleştiğinde mühürlü blobun şifresini çözer. Önyükleme zincirine müdahale → verilerin şifresi çözülemiyor.
Attestation. TPM, PCR'lerinin bir teklifini bir doğrulama anahtarıyla imzalayabilir. Uzak hizmet, imzalı teklifi alır ve aygıtın iyi bilinen bir durumda önyüklendiğini doğrular.
Rastgele sayı oluşturma. Donanım RNG'si, işletim sistemi yeterli entropiye sahip olmadığında kullanışlıdır.

TPM neler sağlar

Yukarıdaki özellikler daha yüksek düzey için yapı taşlarıdır yetenekler:

Tam disk şifreleme — Windows'ta BitLocker, Linux'ta LUKS, disk şifreleme anahtarını TPM'ye mühürleyebilir. Sistem, önyükleme zinciri sağlamsa (ve yalnızca bu durumda) önyükleme sırasında otomatik olarak diskin kilidini açar.
Secure Boot — Önyüklemenin her adımı ölçülür. Değiştirilmiş önyükleyici → farklı PCR → mühürlü kimlik bilgilerinin kilidi açılmaz.
Cihaz doğrulama — Kuruluşlar, kaynaklara erişim izni vermeden önce yönetilen cihazların onaylı yapılandırmaları çalıştırdığını doğrular.
Donanım destekli kimlik doğrulama — Windows Hello, akıllı kart değiştirmeleri, yazılımdaki FIDO2, TPM'de depolanan TPM'yi kullanabilir anahtarlar.
SSH, VPN ve kod imzalama için güçlü anahtar koruması — TPM'de oluşturulan anahtarlar, yönetici ayrıcalıklarına sahip olsa bile kötü amaçlı yazılımlar tarafından sızdırılamaz.

TPM ile Secure Enclave ve HSM

İlgili ancak Different:

TPM — TCG tarafından standartlaştırılmıştır ve çoğu bilgisayar ve sunucuda mevcuttur. Sınırlı bilgi işlem kapasitesi; belirli kriptografik temel öğeler için tasarlanmıştır.
Apple Secure Enclave — Apple'ın TPM eşdeğeri, SoC'ye entegre edilmiştir. Touch ID, Face ID, FileVault, Keychain tarafından kullanılan aynı rol, farklı API.
Donanım Güvenlik Modülü (HSM) — çok daha yetenekli bir şifreleme cihazı, genellikle PCIe kartı veya ağ cihazı. CA'lar, ödeme işlemcileri ve bankalar tarafından kullanılır. Binlerce dolar ve üzeri.
FIDO güvenlik anahtarı (YubiKey, vb.) — Taşınabilir form faktöründe TPM benzeri anahtar depolama.

BitLocker ve TPM entegrasyonu

En çok kullanılan TPM kullanım örneği: Windows'ta BitLocker. Sürücünün şifreleme anahtarı, önyükleme zincirini ölçen PCR'lere mühürlenmiştir. Normal önyükleme → PCR'ler eşleşir → TPM anahtarı serbest bırakır → sürücünün kilidi açılır → oturum açarsınız. Önyükleme zinciri değiştirilirse (farklı önyükleyici, uygun işlem yapılmadan BIOS güncellemesi), PCR'ler eşleşmez, BitLocker kurtarma anahtarını ister.

Bu nedenle Güvenli Önyüklemeyi devre dışı bırakmak, önyükleyiciyi değiştirmek ve hatta bazen BIOS güncellemeleri BitLocker kurtarma istemlerini tetikler. TPM tam olarak yapması gerekeni yapıyor; diski kurcalamaya karşı koruyor.

Windows 11'in TPM gereksinimi

Microsoft'un 2021'de Windows 11 için TPM 2.0'ı zorunlu kılma yönündeki tartışmalı kararı, birçok eski bilgisayarı yükseltme kapsamı dışında bıraktı. Gerekçe: TPM destekli özelliklerin (BitLocker, Windows Hello, Credential Guard) temel haline gelmesi. Eleştirmenler, gerekliliğin e-atık baskısı yarattığını belirtti. Karar büyük ölçüde geçerliydi; Windows 11'in benimsenmesi artık çok yaygın ve yeni bilgisayarların çoğu TPM etkin olarak gönderiliyor.

TPM saldırıları

TPM'lere karşı çeşitli saldırı kategorileri gösterilmiştir:

Bus sniffing. CPU ile ayrık TPM arasındaki iletişim, bir anakart veri yolu (LPC, SPI veya I2C) üzerinde ilerler. Saldırganlar, fiziksel erişim sayesinde aktarım halindeki şifreleme anahtarlarını ele geçirdi. fTPM (CPU'ya entegre donanım yazılımı TPM) bu saldırıyı önler.
Soğuk önyükleme saldırıları. RAM, güç kaybından sonra verileri kısa süreliğine korur; disk anahtarı RAM'e yüklendiyse kurtarılabilir. Modern işletim sistemleri kapatıldığında hassas belleği siler ancak dizüstü bilgisayarın askıya alınma durumları daha risklidir.
Yan kanallar. TPM işlemlerinin zamanlaması ve güç analizi, araştırma ayarlarında kısmi önemli bilgilerin sızdırılmasına neden oldu.
Ürün yazılımı güvenlik açıkları. TPM'ler ürün yazılımını da çalıştırır; TPM ürün yazılımındaki güvenlik açıkları anahtar izolasyonunu etkileyebilir.

Sıradan tehdit modelleri için (dizüstü bilgisayar hırsızlığı, kötü amaçlı yazılım), TPM tabanlı koruma oldukça etkilidir. Yüksek değerli hedefli fiziksel saldırılar için derinlemesine savunma önemlidir.

TPM sizi "istismar ediyor" mu?

Kalıcı bir efsane: TPM bir arka kapıdır veya kullanıcı etkinliğini izler. TPM, pasif bir şifreleme çipidir; anahtarları saklar ve önyükleme durumunu ölçer. Ağ erişimi yok, evinizi aramıyor, dosyalarınızı görmüyor. Kullanıcı ajansına yönelik risk daha hafiftir: TPM kilitli DRM ve onay gerektiren hizmetler, prensip olarak onaylanmamış yapılandırmaları çalıştıran kullanıcıları hariç tutabilir. Şimdiye kadar ana akım dağıtımlar kontrol yerine koruma için TPM'yi kullanıyor ancak mimari endişe meşru.

Sık sorulan sorular

TPM'nin etkinleştirilmesine ihtiyacım var mı?: BitLocker'ı, güvenli önyükleme kilitli Windows'u, donanım destekli Windows Hello'yu veya çeşitli kurumsal özellikleri istiyorsanız - evet. Bunlardan herhangi biri olmadan sade bir Linux çalıştırıyorsanız, onu devre dışı bırakabilirsiniz. Çoğu modern sistemde bu özellik varsayılan olarak açıktır; kapatmak kasıtlı bir seçimdir.
TPM 1.2 ile TPM 2.0 arasındaki fark nedir?: TPM 2.0, 1.2'nin desteklemediği modern algoritmaları (ECC, SHA-256) destekler, daha temiz protokole, daha fazla PCR'ye ve daha esnek bir yetkilendirme modeline sahiptir. Windows 11 2.0 gerektirir. TPM 1.2'ye sahip eski donanımlar, yeni yazılım gereksinimlerinin giderek daha fazla dışında tutuluyor.
ftPM nedir ve neden bazen savunmasızdır?: Firmware TPM — ayrı bir çip yerine, TPM işlevi CPU'nun güvenli bölgesinde (Intel TXT/CSME, AMD PSP) kod olarak çalışır. Genellikle ayrık TPM'lerden daha güvenlidir çünkü koklanacak veri yolu yoktur. Belirli ürün yazılımı güvenlik açıkları (2023'te AMD fTPM'ye karşı CVE'ler) belirli uygulamaları zayıflattı; yamalar BIOS güncellemeleri aracılığıyla yayınlanır.
TPM sıfırlanabilir mi?: Evet — BIOS'ta, saklanan tüm anahtarları silen bir clear-TPM seçeneği bulunur. Temizledikten sonra, yedek kurtarma anahtarlarınız olmadığı sürece önceden mühürlenmiş olan her şey (BitLocker, Windows Hello) kalıcı olarak kaybolur. Yedekleme olmadan temizlemeyin.
MacOS TPM kullanıyor mu?: TCG standardı TPM değil — Apple, benzer yeteneklere sahip kendi Secure Enclave'ini kullanır. T2 yongası (Intel Mac'ler) ve M serisi Mac'lerdeki Secure Enclave, FileVault, Touch ID, Apple Pay ve Keychain için eşdeğer işlevleri gerçekleştirir. Mimari farklıdır; güvenlik özellikleri karşılaştırılabilir.