1、什么是TPM?
从 Windows 10 和 Windows 11 开始,操作系统会自动初始化并获取 TPM 的所有权。可信平台模块 Trusted Platform Module(TPM) 技术旨在提供基于硬件的安全相关功能。TPM 芯片是一种安全的加密处理器,可帮助您执行生成、存储和限制使用加密密钥等操作。
它其实早就是主流主板上的必备模块,比较新的主板基本都默认安装,支持Intel或AMD的相应技术。
很多尝鲜Win11的电脑常常会被提示没有TPM2.0,主要是之前主板考虑到用户需求,这个功能默认是关闭状态。打开方式则很简单,进入主板BIOS(UEFI)设置界面后,一般在“高级”、“设置”等页面下能找到安全选项,其中带有TMP的就是相关项目,设置为打开即可,有的BIOS可能是Trusted Platform Module相关字样,有的可能是相关security字样。
2、TPM功能描述
该芯片包含多种物理安全机制,使其具有防篡改功能,恶意软件无法篡改TPM的安全功能。使用 TPM 技术的一些主要优势是您可以:
1、生成、存储和限制加密密钥的使用。
2、使用 TPM 技术进行平台设备身份验证,方法是使用 TPM 的唯一 RSA 密钥,该密钥已烧入其中。
3、通过采取和存储安全措施来帮助确保平台完整性。
最常见的 TPM 功能用于系统完整性测量以及密钥创建和使用。在系统启动过程中,加载的启动代码(包括固件和操作系统组件)可以被测量并记录在 TPM 中。完整性测量可用作系统如何启动的证据,并确保仅在使用正确的软件启动系统时才使用基于 TPM 的密钥。
可以通过多种方式配置基于 TPM 的密钥。一种选择是使基于 TPM 的密钥在 TPM 之外不可用。这有助于缓解网络钓鱼攻击,因为它可以防止在没有 TPM 的情况下复制和使用密钥。基于 TPM 的密钥也可以配置为需要授权值才能使用它们。如果出现过多的错误授权猜测,TPM 将激活其字典攻击逻辑并防止进一步的授权值猜测。
3、TPM 基础知识
可信平台模块 (TPM) 是一种微芯片,旨在提供基本的安全相关功能,主要涉及加密密钥。TPM 安装在计算机的主板上,它通过硬件总线与系统的其余部分进行通信。
包含 TPM 的计算机可以创建加密密钥并对其进行加密,以便它们只能由 TPM 解密。这个过程,通常称为包装或绑定密钥,可以帮助保护密钥不被泄露。每个 TPM 都有一个主包装密钥,称为存储根密钥,存储在 TPM 本身中。在 TPM 中创建的存储根密钥或背书密钥的私有部分永远不会暴露给任何其他组件、软件、进程或用户。
您可以指定是否可以迁移由 TPM 创建的加密密钥。如果您指定它们可以迁移,则密钥的公共和私有部分可以暴露给其他组件、软件、进程或用户。如果您指定不能迁移加密密钥,则密钥的私有部分永远不会暴露在 TPM 之外。
包含 TPM 的计算机还可以创建封装并绑定到某些平台测量的密钥。仅当这些平台测量值具有与创建密钥时相同的值时,才能解开此类密钥。此过程称为“将密钥密封到 TPM”。解密密钥称为解封。TPM 还可以密封和解封在 TPM 之外生成的数据。使用这种密封的密钥和软件(例如 BitLocker 驱动器加密),您可以锁定数据,直到满足特定的硬件或软件条件。
使用 TPM,密钥对的私有部分与操作系统控制的内存分开。密钥可以密封到 TPM,并且可以在密钥被解封和释放以供使用之前对系统状态(定义系统可信度的保证)做出某些保证。TPM 使用自己的内部固件和逻辑电路来处理指令。因此,它不依赖于操作系统,也不会暴露于操作系统或应用软件中可能存在的漏洞。