Доверенный платформенный модуль 2.0 (TPM 2.0)

Trusted Platform Module — это чипы безопасности, встроенные в материнскую плату ноутбука или компьютера. Благодаря базовым функциям безопасности TPM создает безопасную среду для проверки целостности системы, аутентификации пользователей или хранения криптографических ключей и паролей. В версии TPM 2.0, выпущенной в 2018 году, были добавлены новые функции, например. использование различных алгоритмов хеширования, персональных идентификационных номеров и определяемого пользователем управления ключами.

Краткий обзор: что означает модуль Trusted Platform?

Большинство пользователей знакомы с распространенными механизмами защиты от вредоносных программ, руткитов и программ-вымогателей. Помимо брандмауэров сюда также входят антивирусные программы или двухфакторная аутентификация. В этом контексте модуль Trusted Platform — это микросхема безопасности, которая добавляет в систему еще один уровень безопасности.

Чип TPM, который физически интегрирован в ноутбуки и компьютеры, используется для аутентификации устройств и пользователей, а также для проверки целостности системы или лицензий на программное обеспечение. Еще одна важная функция — хранение криптографических ключей, паролей и сертификатов. Поскольку TPM создает безопасную, защищенную от несанкционированного доступа среду, программные и аппаратные компоненты можно последовательно проверять на безопасность во время процесса загрузки. Если манипуляции обнаруживаются путем сравнения сохраненных показателей, TPM поднимает тревогу. Раньше TPM использовались как отдельные микросхемы безопасности, но новые компьютеры и ноутбуки часто имеют встроенные функции TPM.

Что такое ТРМ 2.0?

TPM был разработан компьютерным консорциумом TCG (Trusted Computing Group) и стандартизирован в 2009 году Международной организацией по стандартизации (ISO) и Международной электротехнической комиссией (IEC) как ISO/IEC 11889:2009. Первый окончательный TPM был выпущен 3 марта 2011 года как TPM версии 1.2. В 2019 году появился новый стандарт TPM 2.0 под названием ISO/IEC 11889:2015 с новыми функциями безопасности. Оптимизации были у.а. внесены в архитектуру и структуру TPM, а также в команды TPM и процедуры поддержки.

Где находится TPM 2.0?

Поскольку чипы TPM 2.0 действуют как выделенные процессоры, они интегрируются непосредственно в материнскую плату ноутбука или компьютера. Как правило, большинство новых ПК и ноутбуков поставляются со встроенными на заводе TPM и совместимыми с TPM. Вы также можете приобрести материнские платы, которые не имеют предустановленных чипов TPM 2.0, но содержат слот для дополнительного чипа. Таким образом, чип безопасности TPM может быть интегрирован независимо от ЦП. При покупке отдельных микросхем TPM обычно рекомендуется использовать микросхемы одного и того же производителя материнской платы или основной платы и одного года выпуска.

Требуется ли TPM 2.0 для Windows 11?

С выпуском Windows 11 TPM 2.0 стал обязательным требованием к оборудованию операционной системы Windows 11. Некоторые пользователи Windows, возможно, даже не заметили, что TPM 2.0 существует, пока не обновились до Windows 11. Если на компьютере нет доверенного платформенного модуля или функция доверенного платформенного модуля отключена, вы получите сообщение о том, что доверенный платформенный модуль не найден или несовместим. Кроме того, требуется UEFI (унифицированный расширяемый интерфейс прошивки) с функцией безопасной загрузки.

TPM 2.0 используется в Windows, например. используется для следующих функций:

• Windows Hello: биометрический контроль доступа и идентификация по отпечатку пальца и/или сканированию радужной оболочки глаза, распознавание лиц с использованием ключа подтверждения (EK) и ключа удостоверения личности (AIK).
• Шифрование диска BitLocker: для шифрования логических томов и, следовательно, целых дисков.
• Виртуальные смарт-карты. Подобно физическим смарт-картам, VS используется для управления доступом к внешним системам и ресурсам.
• Измерение загрузки TPM. Метрики состояния загрузки TPM Windows можно использовать для проверки целостности системных компонентов и конфигураций Windows путем измерения последовательности загрузки.
• Сертификаты AIK. Сертификаты AIK, хранящиеся в доверенном платформенном модуле, сравнивают измеренные данные загрузки с предполагаемыми показателями работоспособности устройства.
• Предотвращение атак по словарю: защищает от атак методом перебора, которые пытаются обойти защиту паролем путем автоматического запроса списков словарей.
• Credential Guard: изолирует учетные данные и пользовательские данные и защищает сохраненные ключи с помощью проверки безопасности на основе виртуализации.

Каковы преимущества Trusted Platform Module 2.0?

Функции TPM 2.0 предоставляют следующие преимущества:

• Генерация и хранение криптографических ключей, паролей и сертификатов для процессов мультизащищенного шифрования.
• Обнаружение манипуляций с кодом BIOS через проверочное значение в регистре конфигурации платформы (PCR) 17
• TPM 2.0 предлагает новую функцию обмена алгоритмами для параллельного использования различных алгоритмов.
• Проверочные подписи поддерживают персональные идентификационные номера и данные о местоположении на основе биометрических или глобальных средств контроля доступа.
• Управление ключами в TPM 2.0 позволяет ограниченно или условно использовать криптографические ключи.
• TPM 2.0 более гибок и может использоваться на устройствах с меньшим количеством ресурсов.
• Проверка лицензий на программное обеспечение с помощью Digital Rights Management (DRM)
• Обеспечение целостности платформы с помощью показателей конфигурации, которые проверяют последовательность загрузки на безопасность и изменения.
• Аутентификация оборудования операционной системы криптосистемами RSA
• Ключи подтверждения (EK) и ключи аттестации (AIK) используют хеширование для проверки целостности и безопасности системы.
• В сочетании с безопасными межсетевыми экранами, смарт-картами, биометрической защитой доступа и антивирусными программами можно оптимизировать защиту от вредоносных программ, программ-вымогателей, атак методом перебора и фишинга.

Как я могу проверить TPM 2.0 на своем устройстве?

Хотите узнать, есть ли на вашем устройстве Windows TPM 2.0? Затем используйте следующие методы, чтобы проверить его существование и статус. Однако учтите, что даже встроенные на заводе чипы TPM 2.0 не всегда активируются автоматически.

Войдите в инструмент управления TPM 2.0

Шаг 1. Введите «tpm.msc» в строку поиска Windows. Эта команда открывает встроенный инструмент управления TPM.

Шаг 2. Если на вашем ПК или ноутбуке имеется выделенный чип TPM 2.0, вы получите информацию о версии TPM в отображаемом окне меню. Если TPM 2.0 отсутствует, Windows сообщит, что совместимых компонентов TPM нет.

Зайдите в диспетчер устройств

Шаг 1: Используйте ярлык Windows [Windows] + [X], чтобы открыть «Административное меню». Зайдите в «Диспетчер устройств».

Шаг 2. Перейдите к «Устройствам безопасности» в левом меню и нажмите на него. Если он доступен, вы увидите там «Trusted Platform Module 2.0».

Вызовите командную строку

Шаг 1: Используйте сочетание клавиш [Windows] + [R], чтобы открыть диалоговое окно «Выполнить». Введите «cmd» и нажмите сочетание клавиш [Windows] + [Shift] + [Enter]. Таким образом вы запускаете командную строку с правами администратора.

Шаг 2: Теперь используйте следующую команду и нажмите [Enter]:

wmic /namespace:\\root\cimv2\security\microsoftTPM 2.0 path win32_TPM 2.0 get /value.

Если TPM — 2.0, последняя строка «SpecVersion=» предоставляет информацию о версии TPM.

Как вручную включить и отключить TPM 2.0?

Статус TPM 2.0 зависит от того, сколько лет вашему ноутбуку или компьютеру. Новые компьютеры, как правило, имеют предварительно интегрированные TPM, которые могут быть включены по умолчанию. Однако в целом нельзя сказать, действительно ли эта функциональность активирована по умолчанию. В некоторых случаях может потребоваться обновление вашего BIOS или UEFI.

При необходимости вы можете включить и отключить TPM 2.0 следующими способами:

Включите или отключите TPM 2.0 в BIOS.

Шаг 1: Перезагрузитесь и войдите в BIOS. В зависимости от операционной системы или устройства используйте клавишу [F2], [F12] или [Del] во время загрузки системы. Обратите внимание, что вам всегда следует создавать резервную копию системы и важных ключей, паролей и сертификатов, прежде чем вносить какие-либо изменения в BIOS.

Шаг 2. В BIOS перейдите в раздел «Безопасность» и выберите «Доверенные вычисления».

Шаг 3: Теперь активируйте пункт «Поддержка устройств безопасности».

Шаг 4. Перейдите к «PTT » в разделе «Устройство TPM 2.0» и активируйте этот элемент.

Шаг 5: После сохранения изменений необходимо перезагрузиться. Чтобы отключить, просто отмените изменения.

Включите или отключите TPM с помощью инструмента управления TPM 2.0.

Шаг 1: В строке поиска Windows введите команду «tpm.msc» и нажмите [Enter].

Шаг 2. Перейдите к «Панель действий****Включить TPM 2.0» в инструменте управления TPM. Теперь перейдите на страницу «Активация оборудования безопасности TPM 2.0», чтобы получить подробную информацию о следующих шагах.

Шаг 3: Нажмите «Завершить работу» или «Перезагрузить». Далее следуйте приведенной последовательности шагов UEFI.

Шаг 4. В процессе запуска вы соглашаетесь на реконфигурацию TPM 2.0. Таким образом, ваша система гарантирует, что изменения вносят только прошедшие проверку подлинности пользователи. Теперь вы активировали TPM 2.0 в Windows.

Шаг 6. Чтобы отключить TPM, перейдите на панель «Действия»****Отключить TPM 2.0 в инструменте управления TPM. В появившемся диалоговом окне выберите «Отключить аппаратное обеспечение безопасности TPM 2.0» и укажите, хотите ли вы вставить пароль владельца с помощью съемного носителя, хотите ли вы ввести его вручную или хотите отключить без ввода пароля.

Каковы последствия отключения TPM 2.0?

Будь то устранение неполадок, новая установка или обновление — удаление или отключение TPM 2.0 иногда может привести к нежелательной потере данных. К данным, подвергающимся риску, относятся криптографические ключи, сертификаты и пароли, хранящиеся в TPM 2.0. В качестве профилактической меры соблюдайте следующие меры безопасности :

• Укажите метод резервного копирования или восстановления данных, хранящихся через TPM 2.0.
• TPM 2.0 следует удалять или деактивировать только на ваших устройствах или с разрешения ответственных ИТ-администраторов.
• Соблюдайте информацию в руководстве производителя или на веб-сайте производителя TPM.
• Если возможно, отключите TPM 2.0 с помощью инструмента управления TPM или иным образом создайте резервную копию системы, прежде чем вносить какие-либо изменения в BIOS.

Какие типы TPM 2.0 существуют?

В зависимости от реализации можно различать следующие типы TPM 2.0:

• Дискретный TPM 2.0. В качестве специального чипа безопасности дискретный TPM 2.0 обеспечивает поддержку различных алгоритмов шифрования, защиту от несанкционированного доступа и низкую восприимчивость к ошибкам.
• Физический TPM 2.0: TPM, встроенные в процессоры, обеспечивают функции физической безопасности для защиты от несанкционированного доступа и вредоносного ПО.
• TPM 2.0 на основе встроенного ПО. Подобно физическому TPM 2.0, TPM 2.0 на основе встроенного ПО использует безопасную среду ЦП для предотвращения несанкционированного доступа и изменений без проверки подлинности.
• Виртуальный TPM 2.0. Гипервизоры могут создать для вас виртуальный TPM 2.0, который используется для создания ключей безопасности независимо от виртуальных машин.
• Программный TPM 2.0. Программные TPM 2.0 не рекомендуются из-за небольшого количества преимуществ в безопасности и повышенной восприимчивости к ошибкам и вредоносным программам.