Recomendações do TPM
Este artigo fornece recomendações para a tecnologia Trusted Platform Module (TPM) para Windows.
Para obter uma descrição do recurso básico do TPM, consulte a Visão geral da tecnologia Trusted Platform Module.
Design e implementação do TPM
Tradicionalmente, os TPMs são chips discretos vendidos na placa principal de um computador. Estas implementações permitem que o fabricante de equipamento original (OEM) do computador avalie e certifique o TPM separado do resto do sistema. As implementações discretas do TPM são comuns. No entanto, podem ser problemáticos para dispositivos integrados que são pequenos ou têm baixo consumo de energia. Algumas implementações de TPM mais recentes integram a funcionalidade TPM no mesmo chipset que outros componentes da plataforma, embora ainda forneçam separação lógica semelhante a chips TPM discretos.
Os TPMs são passivos: eles recebem comandos e retornam respostas. Para obter todos os benefícios de um TPM, o OEM deve integrar cuidadosamente o hardware e o firmware do sistema ao TPM para enviar comandos a ele e reagir às suas respostas. Os TPMs foram originalmente concebidos para proporcionar benefícios de segurança e privacidade aos proprietários e utilizadores de uma plataforma, mas as versões mais recentes podem proporcionar benefícios de segurança e privacidade ao próprio hardware do sistema. Antes de ser usado para cenários avançados, entretanto, um TPM deve ser provisionado. O Windows aprovisiona automaticamente um TPM, mas se o utilizador estiver a planear reinstalar o sistema operativo, poderá ter de limpar o TPM antes de reinstalar para que o Windows possa tirar o máximo partido do TPM.
O TCG (Trusted Computing Group) é uma organização sem fins lucrativos que publica e mantém a especificação TPM. O TCG existe para desenvolver, definir e promover normas da indústria globais neutras em termos de fornecedores. Estas normas suportam uma raiz de confiança baseada em hardware para plataformas de computação fidedignas interoperáveis. O TCG também publica a especificação TPM, como o padrão internacional ISO/IEC 11889, usando o processo de envio de especificação publicamente disponível que o Joint Technical Committee 1 define entre a ISO (Organização Internacional de Normalização) e o IEC (International Electrotechnical Commission).
Os OEMs implementam o TPM como um componente em uma plataforma de computação confiável, como um computador, tablet ou telefone. As plataformas de computação fidedignas utilizam o TPM para suportar cenários de privacidade e segurança que o software por si só não consegue alcançar. Por exemplo, o software por si só não pode comunicar de forma fiável se o software maligno está presente durante o processo de arranque do sistema. A integração próxima entre o TPM e a plataforma aumenta a transparência do processo de inicialização e dá suporte à avaliação da integridade do dispositivo habilitando a medição e o relatório do software que inicia o dispositivo confiável. A implementação de um TPM como parte de uma plataforma de computação fidedigna fornece uma raiz de hardware de confiança, ou seja, comporta-se de forma fidedigna. Por exemplo, se uma chave armazenada num TPM tiver propriedades que não permitem exportar a chave, essa chave não pode realmente sair do TPM.
O TCG projetou o TPM como uma solução de segurança de mercado de massa de baixo custo que atende aos requisitos de diferentes segmentos de clientes. Existem variações nas propriedades de segurança de diferentes implementações de TPM, assim como existem variações em requisitos regulatórios e de clientes e para diferentes setores. Nos contratos públicos, por exemplo, alguns governos definem claramente os requisitos de segurança para os TPMs, enquanto outros não.
Comparação do TPM 1.2 x 2.0
A partir de um padrão do setor, a Microsoft tem sido líder do setor na mudança e uniformização no TPM 2.0, que tem muitos benefícios importantes realizados em algoritmos, criptografia, hierarquia, chaves de raiz, autorização e RAM NV.
Por que o TPM 2.0?
Produtos e sistemas TPM 2.0 têm vantagens de segurança importantes em relação ao TPM 1.2, inclusive:
- A especificação do TPM 1.2 só possibilita o uso de RSA e do algoritmo de hash SHA-1.
- Por motivos de segurança, algumas entidades estão se afastando de SHA-1. Nomeadamente, o NIST exige que muitas agências federais mudem para SHA-256 a partir de 2014, e os líderes tecnológicos, incluindo a Microsoft e a Google, removeram o suporte para assinaturas ou certificados baseados em SHA-1 em 2017.
- O TPM 2.0 permite mais agilidade criptográfica por ser mais flexível em relação a algoritmos criptográficos.
- O TPM 2.0 dá suporte a algoritmos mais novos, que podem melhorar o desempenho de assinatura e a geração de chave. Para obter a lista completa de algoritmos compatíveis, consulte o Registro de algoritmo TCG. Alguns TPMs não suportam todos os algoritmos.
- Para obter a lista de algoritmos compatíveis com o Windows no provedor de armazenamento criptográfico da plataforma, consulte Provedores de algoritmos de criptografia CNG.
- O TPM 2.0 obteve a padronização ISO (11889:2015 ISO/IEC).
- O uso do TPM 2.0 pode ajudar a eliminar a necessidade de OEMs abrir uma exceção a configurações padrão para determinados países e regiões.
- O TPM 2.0 oferece uma experiência mais consistente em implementações diferentes.
- As implementações do TPM 1.2 têm configurações de política variadas. Isso pode resultar em problemas de suporte porque as políticas de bloqueio variam.
- A política de bloqueio do TPM 2.0 é configurada pelo Windows, garantindo uma proteção contra ataques de dicionário consistente.
- Enquanto as partes do TPM 1.2 são componentes de silício discretos, normalmente vendido na placa principal, o TPM 2.0 está disponível como um componente de silício discreto (dTPM) num único pacote de semicondutores, um componente integrado incorporado num ou mais pacotes de semicondutores , juntamente com outras unidades lógicas nos mesmos pacotes e como um componente baseado em firmware (fTPM) em execução num ambiente de execução fidedigno (TEE) num SoC para fins gerais.
Observação
Não há suporte para o TPM 2.0 nos modos Herdado e CSM do BIOS. Os dispositivos com TPM 2.0 devem ter seu modo BIOS configurado apenas como UEFI nativo. As opções do Módulo de Suporte herdado e de compatibilidade (CSM) devem ser desabilitadas. Para maior segurança, habilite o recurso Inicialização Segura.
O sistema operacional instalado no hardware no modo herdado impedirá que o sistema operacional seja inicializado quando o modo BIOS for alterado para a UEFI. Use a ferramenta MBR2GPT antes de alterar o modo BIOS que preparará o sistema operacional e o disco para dar suporte à UEFI.
TPM Discreto, Integrado ou De Firmware?
Há três opções de implementação para TPMs:
- Chip TPM discreto como um componente separado no seu próprio pacote de semicondutores.
- Solução TPM integrada, com hardware dedicado integrado num ou mais pacotes de semicondutores juntamente, mas logicamente separados de outros componentes.
- Solução TPM de firmware, a executar o TPM em firmware num modo de Execução Fidedigna de uma unidade de computação para fins gerais.
O Windows usa qualquer TPM compatível da mesma forma. A Microsoft não toma uma posição sobre a forma como um TPM deve ser implementado e existe um vasto ecossistema de soluções TPM disponíveis, que devem corresponder a todas as necessidades.
Existe alguma importância do TPM para os consumidores?
Para os consumidores finais, o TPM está em segundo plano, mas continua a ser relevante. O TPM é usado para o Windows Hello, o Windows Hello para Empresas e, no futuro, será um componente de vários outros recursos de segurança importantes no Windows. O TPM protege o PIN, ajuda a encriptar palavras-passe e baseia-se na nossa história geral da experiência do Windows para a segurança como um pilar crítico. O uso do Windows em um sistema com um TPM permite um nível mais amplo e profundo de cobertura de segurança.
Conformidade do TPM 2.0 para Windows
Windows para edições de ambiente de trabalho (Home, Pro, Enterprise e Education)
- Desde 28 de julho de 2016, todos os novos modelos, linhas ou séries de dispositivos (ou se estiver a atualizar a configuração de hardware de um modelo, linha ou série existente com uma atualização principal, como CPU, placas gráficas) têm de implementar e ativar por predefinição o TPM 2.0 (detalhes na secção 3.7 da página Requisitos mínimos de hardware ). O requisito para habilitar o TPM 2.0 aplica-se somente à fabricação de novos dispositivos. Para obter recomendações do TPM sobre recursos específicos do Windows, consulte TPM e recursos do Windows.
IoT Core
- O TPM é opcional no IoT Core.
Windows Server 2016
- O TPM é opcional para SKUs do Windows Server, a menos que o SKU cumpra os outros critérios de qualificação (AQ) para o cenário dos Serviços Guardião de Anfitrião, caso em que é necessário o TPM 2.0.
TPM e recursos do Windows
A tabela a seguir define quais recursos do Windows exigem suporte a TPM.
Recursos do Windows | TPM necessário | Suporte a TPM 1.2 | Suporte a TPM 2.0 | Detalhes |
---|---|---|---|---|
Inicialização Medida | Sim | Sim | Sim | O Arranque Medido requer O TPM 1.2 ou 2.0 e o Arranque Seguro UEFI. O TPM 2.0 é recomendado, uma vez que suporta algoritmos criptográficos mais recentes. O TPM 1.2 só suporta o algoritmo SHA-1, que está a ser preterido. |
BitLocker | Não | Sim | Sim | O TPM 1.2 ou 2.0 é suportado, mas recomenda-se o TPM 2.0. A Encriptação de Dispositivos necessita do Modo de Espera Moderno , incluindo suporte para o TPM 2.0 |
Criptografia do dispositivo | Sim | N/D | Sim | A Criptografia de Dispositivo requer a certificação Modern Standby/Connected Standby, que exige TPM 2.0. |
Controlo de Aplicações para Empresas | Não | Sim | Sim | |
System Guard (DRTM) | Sim | Não | Sim | É necessário firmware TPM 2.0 e UEFI. |
Credential Guard | Não | Sim | Sim | O Windows 10, versão 1507 (fim da vida útil a partir de maio de 2017) oferece suporte somente a TPM 2.0 para o Credential Guard. A partir do Windows 10, versão 1511, há suporte para TPM 1.2 e 2.0. Emparelhado com System Guard, o TPM 2.0 fornece segurança melhorada para o Credential Guard. Windows 11 requer o TPM 2.0 por predefinição para facilitar a ativação desta segurança melhorada para os clientes. |
Atestado de Integridade do Dispositivo | Sim | Sim | Sim | O TPM 2.0 é recomendado, uma vez que suporta algoritmos criptográficos mais recentes. O TPM 1.2 só suporta o algoritmo SHA-1, que está a ser preterido. |
Windows Hello/Windows Hello para Empresas | Não | Sim | Sim | Microsoft Entra associação suporta ambas as versões do TPM, mas requer o TPM com o código de autenticação de mensagens com chave hash (HMAC) e o certificado de Chave de Endossamento (EK) para o suporte de atestado de chaves. O TPM 2.0 é recomendado através do TPM 1.2 para um melhor desempenho e segurança. Windows Hello como um autenticador de plataforma FIDO tira partido do TPM 2.0 para o armazenamento de chaves. |
Inicialização segura da UEFI | Não | Sim | Sim | |
Provedor de armazenamento de chaves do provedor de criptografia da plataforma TPM | Sim | Sim | Sim | |
Cartão inteligente virtual | Sim | Sim | Sim | |
Armazenamento de certificados | Não | Sim | Sim | TPM é necessário somente quando o certificado é armazenado no TPM. |
Autopilot | Não | N/D | Sim | Se pretender implementar um cenário, que requer TPM (como o modo de implementação automática e luva branca), é necessário firmware TPM 2.0 e UEFI. |
SecureBIO | Sim | Não | Sim | É necessário firmware TPM 2.0 e UEFI. |
Status de OEM em disponibilidade do sistema TPM 2.0 e peças certificadas
Os clientes públicos e corporativos em setores regulamentados podem ter padrões de aquisição que exijam o uso de peças TPM certificadas em comum. Com isso, os OEMs, que fornecem os dispositivos, talvez precisem usar apenas componentes TPM certificados nos sistemas de classe comercial. Para obter mais informações, entre em contato com o OEM ou o fornecedor de hardware.