TPM-Empfehlungen

Dieser Artikel enthält Empfehlungen für tpm-Technologie (Trusted Platform Module) für Windows.

Eine allgemeine Featurebeschreibung von TPM finden Sie unter Trusted Platform Module – Technologieübersicht.

TPM-Entwurf und -Implementierung

In der Regel handelt es sich bei TPMs um diskrete Chips, die auf die Hauptplatine eines Computers gelöt werden. Solche Implementierungen ermöglichen es dem Originalgerätehersteller (OEM) des Computers, das TPM getrennt vom Rest des Systems zu bewerten und zu zertifizieren. Diskrete TPM-Implementierungen sind üblich. Sie können jedoch bei integrierten Geräten, die klein sind oder einen geringen Stromverbrauch haben, problematisch sein. Einige neuere TPM-Implementierungen integrieren die TPM-Funktionalität in denselben Chipsatz wie andere Plattformkomponenten, behalten aber eine logische Trennung bei wie diskrete TPM-Chips.

TPMs sind passiv: Sie empfangen Befehle und geben Antworten zurück. Um alle Vorteile von TPM nutzen zu können, muss der OEM-Hersteller die Systemhardware und die Firmware sorgfältig integrieren in TPM integrieren, damit diese geeignete Befehle senden und auf die Antworten reagieren kann. TPMs wurden ursprünglich entwickelt, um den Besitzern und Benutzern einer Plattform Sicherheits- und Datenschutzvorteile zu bieten, aber neuere Versionen können Sicherheits- und Datenschutzvorteile für die Systemhardware selbst bieten. Bevor TPMs für erweiterte Szenarios verwendet werden können, müssen sie jedoch bereitgestellt werden. Windows stellt automatisch ein TPM bereit, aber wenn der Benutzer plant, das Betriebssystem neu zu installieren, muss er das TPM möglicherweise vor der Neuinstallation löschen, damit Windows das TPM in vollem Umfang nutzen kann.

Die Trusted Computing Group (TCG) ist eine gemeinnützige Organisation, die die TPM-Spezifikation veröffentlicht und verwaltet. Die TCG dient zur Entwicklung, Definition und Förderung anbieterneutraler, globaler Branchenstandards. Diese Standards unterstützen einen hardwarebasierten Vertrauensstamm für interoperable vertrauenswürdige Computingplattformen. Die TCG veröffentlicht auch die TPM-Spezifikation als Internationaler Standard ISO/IEC 11889, wobei der öffentlich zugängliche Prozess zur Einreichung der Spezifikation zugrunde gelegt wird, die das Joint Technical Committee 1 zwischen der International Organization for Standardization (ISO) und der International Electrotechnical Commission (IEC) definiert.

OEM-Hersteller implementieren das TPM als Komponente in eine vertrauenswürdige Computerplattform wie einem PC, einem Tablet oder einem Telefon. Vertrauenswürdige Computingplattformen verwenden das TPM, um Datenschutz- und Sicherheitsszenarien zu unterstützen, die mit Software allein nicht erreicht werden können. Software allein kann beispielsweise nicht zuverlässig melden, ob während des Systemstartprozesses Schadsoftware vorhanden ist. Die enge Integration zwischen TPM und Plattform erhöht die Transparenz des Startvorgangs und unterstützt eine Auswertung des Gerätezustands, weil die Integration eine zuverlässige Messung und Berichte zu der Software, unter der das Gerät gestartet wurde, ermöglichen. Die Implementierung eines TPM als Teil einer vertrauenswürdigen Computingplattform bietet einen Hardwarevertrauensstamm, d. h. es verhält sich vertrauenswürdig. Wenn z. B. ein in einem TPM gespeicherter Schlüssel Über Eigenschaften verfügt, die den Export des Schlüssels nicht zulassen, kann dieser Schlüssel das TPM wirklich nicht verlassen.

Die TCG hat das TPM als kostengünstige Lösung für den Massenmarkt entwickelt, die die Anforderungen von unterschiedlichen Kundensegmente bedient. Es gibt in den verschiedenen TPM-Implementationen Unterschiede bei den Sicherheitseigenschaften und ebenfalls bei den kundenseitigen und behördlichen Anforderungen für die verschiedenen Sektoren. Im öffentlichen Beschaffungswesen definieren beispielsweise einige Regierungen klare Sicherheitsanforderungen für TPMs, andere hingegen nicht.

Vergleich zwischen TPM 1.2 und 2.0

Von einem Branchenstandard aus war Microsoft branchenweit führend bei der Umstellung und Standardisierung von TPM 2.0, was viele wichtige Vorteile für Algorithmen, Kryptografie, Hierarchie, Stammschlüssel, Autorisierung und NV-RAM bietet.

Gründe für TPM 2.0

TPM 2.0-Produkte und -Systeme bieten wesentliche Sicherheitsvorteile gegenüber TPM 1.2. Einige Beispiele:

  • Die TPM 1.2-Spezifikation lässt nur die Verwendung des RSA- und SHA-1-Hashalgorithmus zu.
  • Aus Sicherheitsgründen rücken einige Entitäten inzwischen von SHA-1 ab. Insbesondere erfordert NIST, dass viele Bundesbehörden ab 2014 auf SHA-256 umsteigen, und Technologieführer, einschließlich Microsoft und Google, haben die Unterstützung für SHA-1-basierte Signaturen oder Zertifikate im Jahr 2017 entfernt.
  • TPM 2.0 ermöglicht eine höhere kryptografische Agilität durch die flexiblere Unterstützung kryptografischer Algorithmen.
    • TPM 2.0 unterstützt neuere Algorithmen, wodurch die Leistung bei der Signierung und Schlüsselgenerierung verbessert werden kann. Eine vollständige Liste der unterstützten Algorithmen finden Sie unter TCG-Algorithmusregistrierung. Einige TPMs unterstützen nicht alle Algorithmen.
    • Eine Liste der Algorithmen, die von Windows für den Plattform-Kryptografiespeicheranbieter unterstützt werden, finden Sie unter CNG-Kryptografiealgorithmusanbieter.
    • TPM 2.0 wurde nach ISO standardisiert (ISO/IEC 11889:2015).
    • TPM 2.0 kann Vorteile für OEMs bringen, das diese für bestimmte Länder und Regionen keine Ausnahmen von Standardkonfigurationen mehr bereitstellen müssen.
  • TPM 2.0 bietet eine einheitliche Benutzererfahrung über verschiedene Implementierungen hinweg.
    • TPM 1.2-Implementierungen weisen abweichende Richtlinieneinstellungen auf. Abweichende Sperrrichtlinien können die Unterstützung erschweren.
    • Die TPM 2.0-Sperrrichtlinie wird von Windows konfiguriert. Auf diese Weise wird ein konsistenter Schutz vor Wörterbuchangriffen gewährleistet.
  • Während TPM 1.2-Teile diskrete Siliziumkomponenten sind, die in der Regel auf der Hauptplatine gelöt werden, ist TPM 2.0 als diskrete (dTPM) -Siliziumkomponente in einem einzigen Halbleiterpaket, eine integrierte Komponente, die in einem oder mehreren Halbleiterpaketen integriert ist – zusammen mit anderen Logikeinheiten in demselben Paket(n) und als Firmwarekomponente (fTPM) verfügbar, die in einer Trusted Execution Environment (TEE) auf einem universellen SoC ausgeführt wird.

Hinweis

TPM 2.0 wird im Legacy- und CSM-Modus des BIOS nicht unterstützt. Bei Geräten mit TPM 2.0 darf der BIOS-Modus nur als native UEFI konfiguriert sein. Die Optionen des Legacy and Compatibility Support Module (CSM) müssen deaktiviert sein. Für zusätzliche Sicherheit Aktivieren Sie die Secure Boot-Funktion.

Das auf der Hardware im Legacy-Modus installierte Betriebssystem verhindert das Booten des Betriebssystems, wenn der BIOS-Modus auf UEFI geändert wird. Verwenden Sie das Tool MBR2GPT, bevor Sie den BIOS-Modus ändern, der das Betriebssystem und die Festplatte auf die Unterstützung von UEFI vorbereitet.

Diskretes, integriertes oder Firmware-TPM?

Es gibt drei Implementierungsoptionen für TPMs:

  • Diskreter TPM-Chip als separate Komponente in einem eigenen Halbleiterpaket.
  • Integrierte TPM-Lösung mit dedizierter Hardware, die in einem oder mehreren Halbleiterpaketen zusammen mit anderen Komponenten integriert ist, aber logisch getrennt von anderen Komponenten.
  • Firmware-TPM-Lösung, die das TPM in der Firmware in einem vertrauenswürdigen Ausführungsmodus einer allgemeinen Berechnungseinheit ausführt.

Windows verwendet jedes kompatible TPM auf die gleiche Weise. Microsoft nimmt keine Position ein, auf welche Weise ein TPM implementiert werden sollte, und es gibt ein breites Ökosystem an verfügbaren TPM-Lösungen, die allen Anforderungen entsprechen sollten.

Ist TPM für Verbraucher relevant?

Für Endbenutzer ist TPM im Hintergrund, aber dennoch relevant. Das TPM wird für Windows Hello und Windows Hello for Business verwendet und wird in Zukunft eine Komponente zahlreicher anderer Sicherheitsfeatures in Windows darstellen. TPM schützt die PIN, hilft bei der Verschlüsselung von Kennwörtern und baut auf unserem allgemeinen Windows-Erfahrungsverlauf auf, um die Sicherheit als kritische Säule zu gewährleisten. Verwenden von Windows auf einem System mit TPM kann eine tiefgreifendere und umfassendere Abdeckung der Sicherheit.

TPM 2.0-Kompatibilität für Windows

Windows für Desktopeditionen (Home, Pro, Enterprise und Education)

  • Seit dem 28. Juli 2016 müssen alle neuen Gerätemodelle, -linien oder -serien (oder wenn Sie die Hardwarekonfiguration eines vorhandenen Modells, einer vorhandenen Linie oder serie mit einem größeren Update aktualisieren, z. B. CPU, Grafikkarten) standardmäßig TPM 2.0 implementieren und aktivieren (Details finden Sie in Abschnitt 3.7 der Seite Mindesthardwareanforderungen ). Die Anforderung zum Aktivieren von TPM 2.0 gilt nur für die Herstellung neuer Geräte. TPM-Empfehlungen für bestimmte Windows-Features finden Sie unter TPM und Windows-Features.

IoT Core

  • TPM ist optional für IoT Core erhältlich.

Windows Server 2016

  • TPM ist für Windows Server-SKUs optional, es sei denn, die SKU erfüllt die anderen Qualifikationskriterien (AQ) für das Host Guardian Services-Szenario. In diesem Fall ist TPM 2.0 erforderlich.

TPM und Windows-Features

In der folgenden Tabelle sind die Windows-Features aufgeführt, die TPM-Unterstützung erfordern.

Windows-Features TPM erforderlich Unterstützt TPM 1.2 Unterstützt TPM 2.0 Details
Kontrollierter Start Ja Ja Ja Der gemessene Start erfordert TPM 1.2 oder 2.0 und den sicheren UEFI-Start. TPM 2.0 wird empfohlen, da es neuere kryptografische Algorithmen unterstützt. TPM 1.2 unterstützt nur den SHA-1-Algorithmus, der veraltet ist.
BitLocker Nein Ja Ja TPM 1.2 oder 2.0 werden unterstützt, tpm 2.0 wird jedoch empfohlen. Die Geräteverschlüsselung erfordert modernen Standbymodus einschließlich TPM 2.0-Unterstützung
Geräteverschlüsselung Ja n. a. Ja Die Geräteverschlüsselung erfordert eine Modern Standby/Connected-Standbyzertifizierung, wozu TPM 2.0 erforderlich ist.
App Control for Business Nein Ja Ja
Systemüberwachung (DRTM) Ja Nein Ja TPM 2.0- und UEFI-Firmware ist erforderlich.
Credential Guard Nein Ja Ja Windows 10, Version 1507 (Einstellung im Mai 2017), unterstützte nur TPM 2.0 für Credential Guard. Ab Windows 10, Version 1511, werden TPM 1.2 und 2.0 unterstützt. In Kombination mit Systemüberwachung bietet TPM 2.0 erhöhte Sicherheit für Credential Guard. Windows 11 erfordert standardmäßig TPM 2.0, um die Aktivierung dieser verbesserten Sicherheit für Kunden zu erleichtern.
Integritätsnachweis für Geräte Ja Ja Ja TPM 2.0 wird empfohlen, da es neuere kryptografische Algorithmen unterstützt. TPM 1.2 unterstützt nur den SHA-1-Algorithmus, der veraltet ist.
Windows Hello/Windows Hello for Business Nein Ja Ja Microsoft Entra Join unterstützt beide Versionen von TPM, erfordert jedoch EIN TPM mit Authentifizierungscode für Schlüsselhashnachrichten (Keyed-Hash Message Authentication Code, HMAC) und Endorsement Key (EK) für die Unterstützung des Schlüsselnachweiss. TPM 2.0 wird für bessere Leistung und Sicherheit gegenüber TPM 1.2 empfohlen. Windows Hello als FIDO-Plattformauthentifikator nutzt TPM 2.0 für die Schlüsselspeicherung.
Sicherer UEFI-Start Nein Ja Ja
TPM-Plattformkryptografieanbieter/Schlüsselspeicheranbieter Ja Ja Ja
Virtuelle Smartcards Ja Ja Ja
Zertifikatspeicher Nein Ja Ja TPM ist nur erforderlich, wenn das Zertifikat im TPM gespeichert ist.
Autopilot Nein n. a. Ja Wenn Sie beabsichtigen, ein Szenario bereitzustellen, für das TPM (z. B. weißer Handschuh und Selbstbereitstellungsmodus) erforderlich ist, sind TPM 2.0 und UEFI-Firmware erforderlich.
SecureBIO Ja Nein Ja TPM 2.0- und UEFI-Firmware ist erforderlich.

OEM-Status zu TPM 2.0-Systemverfügbarkeit und zertifizierten Komponenten

Regierungsbehörden und Unternehmenskunden in regulierten Branchen unterliegen möglicherweise Erwerbsstandards, die die Nutzung gängiger zertifizierter TPM-Komponenten voraussetzen. Die OEM-Lieferanten von Geräten können deshalb verpflichtet werden, kommerziell nutzbare Systeme nur mit zertifizierten TPM-Komponenten auszuliefern. Weitere Informationen erhalten Sie vom OEM oder Hardwarehersteller.