Рекомендации по доверенному платформенному модулю
В этой статье приведены рекомендации по технологии доверенного платформенного модуля (TPM) для Windows.
Описание основных функций доверенного платформенного модуля см. в разделе Обзор технологии доверенного платформенного модуля.
Проектирование и реализация доверенного платформенного модуля
Традиционно TPM — это дискретные чипы, припаяемые к системной плате компьютера. Такие реализации позволяют изготовителю оборудования (OEM) компьютера оценивать и сертифицировать TPM отдельно от остальной части системы. Дискретные реализации доверенного платформенного модуля являются общими. Однако они могут быть проблематичными для интегрированных устройств, которые являются небольшими или имеют низкое энергопотребление. В некоторых более новых реализациях TPM функциональные возможности TPM интегрируются в тот же набор микросхем, который используют другие платформенные компоненты, обеспечивая при этом логическое разделение, аналогичное изолированным микросхемам TPM.
Модули TPM являются пассивными: они получают команды и возвращают ответы. Чтобы предоставить доступ ко всем преимуществам TPM, поставщик оборудования должен аккуратно интегрировать модуль TPM в системное оборудование и встроенное ПО. Это позволит модулю отправлять команды и получать ответы. Изначально TPM были разработаны для обеспечения преимуществ безопасности и конфиденциальности для владельца и пользователей платформы, но более новые версии могут обеспечить преимущества безопасности и конфиденциальности для самого оборудования системы. Однако перед использованием в расширенных сценариях модуль TPM необходимо подготовить к работе. Windows автоматически подготавливает TPM, но если пользователь планирует переустановить операционную систему, ей может потребоваться очистить TPM перед переустановкой, чтобы Windows могла в полной мере воспользоваться преимуществами доверенного платформенного модуля.
Trusted Computing Group (TCG) — некоммерческая организация, которая публикует и поддерживает спецификации доверенного платформенного модуля. TCG существует для разработки, определения и продвижения нейтральных от поставщиков глобальных отраслевых стандартов. Эти стандарты поддерживают аппаратный корень доверия для совместимых доверенных вычислительных платформ. TCG также публикует спецификации TPM в виде международного стандарта ISO/IEC 11889 с использованием процесса предоставления общедоступной спецификации, которую определяет Совместный технический комитет 1, куда входят представители Международной организации стандартизации (ISO) и Международной электротехнической комиссии (IEC).
Поставщики оборудования внедряют модуль TPM в качестве компонента в доверенную вычислительную платформу например компьютер, планшет или телефон. Доверенные вычислительные платформы используют TPM для поддержки сценариев конфиденциальности и безопасности, которые не могут быть реализованы только программным обеспечением. Например, только программное обеспечение не может надежно сообщать о наличии вредоносных программ во время запуска системы. Тесная интеграция между TPM и платформой повышает прозрачность процесса загрузки и поддерживает оценку работоспособности устройства, позволяя надежно измерять и регистрировать программное обеспечение, которое запускает устройство. Реализация доверенного платформенного модуля в составе доверенной вычислительной платформы предоставляет аппаратный корень доверия, то есть он ведет себя доверенным образом. Например, если ключ, хранящийся в TPM, имеет свойства, которые запрещают экспорт ключа, этот ключ действительно не может покинуть TPM.
Организация TCG разработала TPM в качестве недорогого массового решения безопасности, которое соответствует требованиям различных клиентских сегментов. Свойства безопасности различаются в зависимости от реализации TPM так же, как в зависимости от сектора различаются требования клиентов и регулирующих органов. Например, при закупках в государственном секторе некоторые правительства четко определяют требования к безопасности для TPM, а другие — нет.
Сравнение TPM версии 1.2 и 2.0
Начиная с отраслевого стандарта, корпорация Майкрософт является лидером в отрасли по перемещению и стандартизации TPM 2.0, который имеет множество ключевых преимуществ в алгоритмах, шифровании, иерархии, корневых ключах, авторизации и ОЗУ NV.
Преимущества TPM 2.0
Продукты и системы на основе TPM 2.0 имеют важные преимущества безопасности по сравнению TPM 1.2, в том числе:
- Спецификации TPM 1.2 позволяют использовать только RSA и алгоритм хэширования SHA-1.
- В целях безопасности некоторые организации перестают использовать SHA-1. Примечательно, что по состоянию на 2014 год NIST требует от многих федеральных агентств перейти на SHA-256, а технологические лидеры, включая Microsoft и Google, удалили поддержку подписывания или сертификатов на основе SHA-1 в 2017 году.
- TPM 2.0 обеспечивает большую криптографическую гибкость, так как позволяет более гибко работать с криптографическими алгоритмами.
- TPM 2.0 поддерживает новые алгоритмы, что может повысить производительность подписи дисков и создания ключей. Полный список поддерживаемых алгоритмов см. в разделе Реестр алгоритмов TCG. Некоторые TTPM поддерживают не все алгоритмы.
- Список доступных алгоритмов, которые Windows поддерживает в поставщике хранилища платформы шифрования, см. в разделе Поставщики алгоритмов шифрования CNG.
- TPM 2.0 получил стандартизацию ISO (ISO/IEC 11889:2015).
- Использование TPM 2.0 поможет исключить необходимость внесения изготовителями оборудования исключений в стандартные конфигурации для продажи устройств в некоторых странах и регионах.
- TPM 2.0 предоставляет более согласованное взаимодействие при всем разнообразии внедрения.
- Реализации TPM 1.2 различаются параметрами политики. Это может привести к проблемам с технической поддержкой в связи с различиями политик блокировки.
- Политика блокировки TPM 2.0 настраивается Windows для гарантированной защиты от согласованных атак перебором по словарю.
- В то время как части TPM 1.2 являются дискретными кремниевыми компонентами, которые обычно пайкуются на системной плате, TPM 2.0 доступен как дискретный (dTPM) силиконовый компонент в одном полупроводниковом пакете, интегрированный компонент, включенный в один или несколько полупроводниковых пакетов, наряду с другими логическими единицами в том же пакете, и как компонент на основе встроенного ПО (fTPM), работающий в доверенной среде выполнения (TEE) в soC общего назначения.
Примечание.
TPM 2.0 не поддерживается в устаревших режимах и режимах CSM BIOS. Устройства с TPM 2.0 должны иметь режим BIOS, настроенный только как "Встроенный UEFI". Параметры модуля поддержки устаревших версий и совместимости (CSM) должны быть отключены. Для обеспечения безопасности включите функцию безопасной загрузки.
Установленная операционная система на оборудовании в устаревшем режиме остановит загрузку ОС при смене режима BIOS на UEFI. Используйте средство MBR2GPT перед изменением режима BIOS, который подготовит ОС и диск к поддержке UEFI.
Дискретный, интегрированный или встроенный доверенный платформенный модуль?
Существует три варианта реализации TPM:
- Дискретная микросхема доверенного платформенного модуля как отдельный компонент в собственном полупроводниковом пакете.
- Интегрированное решение доверенного платформенного модуля с использованием выделенного оборудования, интегрированного в один или несколько полупроводниковых пакетов вместе с другими компонентами, но логически отделенным от других компонентов.
- Решение доверенного платформенного модуля встроенного ПО, запустив TPM в встроенном ПО в режиме доверенного выполнения вычислительной единицы общего назначения.
Windows использует любой совместимый модуль TPM одинаково. Корпорация Майкрософт не занимает позицию о том, каким образом следует реализовать доверенный платформенный модуль, и существует широкая экосистема доступных решений доверенного платформенного модуля, которая должна соответствовать всем потребностям.
Имеет ли модуль TPM какое-либо значение для потребителей?
Для конечных потребителей TPM находится в фоновом режиме, но по-прежнему актуально. TPM используется для Windows Hello, Windows Hello для бизнеса и, в будущем, станет компонентом многих других ключевых функций обеспечения безопасности в Windows. TPM защищает ПИН-код, помогает шифровать пароли и основывается на нашей общей истории взаимодействия с Windows для обеспечения безопасности в качестве важного элемента. Использование Windows на системе с доверенным платформенным модулем TPM обеспечивает более глубокий и широкий уровень обеспечения безопасности.
Соответствие TPM 2.0 для Windows
Выпуски Windows для настольных компьютеров (домашняя, pro, корпоративная и для образовательных учреждений)
- Начиная с 28 июля 2016 г. все новые модели устройств, линии или серии (или при обновлении конфигурации оборудования существующей модели, линии или серии с крупным обновлением, например ЦП, графические карты) должны реализовать и включить по умолчанию TPM 2.0 (сведения см. в разделе 3.7 страницы Минимальные требования к оборудованию ). Требование в отношении включения TPM 2.0 распространяется только на новые устройства, которые производятся. Рекомендации TPM в отношении конкретных компонентов Windows см. в разделе TPM и компоненты Windows.
IoT Базовая
- TPM не является обязательным компонентом IoT Базовая.
Windows Server 2016
- TPM является необязательным для SKU Windows Server, если номер SKU не соответствует другим критериям квалификации (AQ) для сценария Служб защиты узла, в этом случае требуется TPM 2.0.
TPM и компоненты Windows
В следующей таблице указано, какие компоненты Windows нуждаются в поддержке доверенного платформенного модуля.
| Компоненты Windows | Требуется протокол TPM | Поддерживает TPM 1.2 | Поддерживает TPM 2.0 | Сведения |
|---|---|---|---|---|
| Измеряемая загрузка | Да | Да | Да | Для измеряемой загрузки требуется TPM 1.2 или 2.0 и безопасная загрузка UEFI. Рекомендуется использовать TPM 2.0, так как он поддерживает более новые алгоритмы шифрования. TPM 1.2 поддерживает только алгоритм SHA-1, который является устаревшим. |
| BitLocker | Нет | Да | Да | TPM 1.2 или 2.0 поддерживается, но рекомендуется TPM 2.0. Для шифрования устройств требуется современный резервный модуль , включая поддержку TPM 2.0 |
| Шифрование устройства | Да | Н/Д | Да | Для шифрования устройства требуется сертификация текущего режима ожидания/режима ожидания с подключением, для которой необходим модуль TPM 2.0. |
| Управление приложениями для бизнеса | Нет | Да | Да | |
| System Guard (DRTM) | Да | Нет | Да | Требуется встроенное ПО TPM 2.0 и UEFI. |
| Credential Guard | Нет | Да | Да | Windows 10 версии 1507 (срок службы завершился в мае 2017 года) поддерживала только TPM 2.0 для Credential Guard. Начиная с Windows 10 версии 1511, поддерживаются TPM 1.2 и 2.0. В сочетании с System Guard TPM 2.0 обеспечивает повышенную безопасность Credential Guard. Windows 11 по умолчанию требуется TPM 2.0, чтобы упростить включение этой расширенной безопасности для клиентов. |
| Аттестация работоспособности устройства | Да | Да | Да | Рекомендуется использовать TPM 2.0, так как он поддерживает более новые алгоритмы шифрования. TPM 1.2 поддерживает только алгоритм SHA-1, который является устаревшим. |
| Windows Hello/Windows Hello для бизнеса | Нет | Да | Да | Microsoft Entra присоединение поддерживает обе версии TPM, но для поддержки аттестации ключей требуется TPM с кодом проверки подлинности сообщений с хэш-ключом (HMAC) и сертификатом ключа подтверждения (EK). TPM 2.0 рекомендуется использовать для TPM 1.2 для повышения производительности и безопасности. Windows Hello как средство проверки подлинности платформы FIDO использует преимущества TPM 2.0 для хранилища ключей. |
| Безопасная загрузка UEFI | Нет | Да | Да | |
| Поставщик хранилища ключей поставщика шифрования платформы TPM | Да | Да | Да | |
| Виртуальная смарт-карта | Да | Да | Да | |
| Хранилище сертификатов | Нет | Да | Да | Модуль TPM требуется только в случае хранения в нем сертификата. |
| Автопилот | Нет | Н/Д | Да | Если вы планируете развернуть сценарий, для которого требуется TPM (например, белая перчатка и режим саморазвертывания), то требуется встроенное ПО TPM 2.0 и UEFI. |
| SecureBIO | Да | Нет | Да | Требуется встроенное ПО TPM 2.0 и UEFI. |
Состояние OEM касательно доступности систем TPM 2.0 и сертифицированных компонентов
Пользователи государственных учреждений и корпоративные клиенты в регулируемых отраслях могут руководствоваться стандартами покупки, которые требуют использования общих сертифицированных компонентов TPM. В результате изготовители оборудования, которые предоставляют устройства, могут столкнуться с необходимостью использования только сертифицированных компонентов TPM в системах коммерческого уровня. За дополнительными сведениями обратитесь к OEM или поставщику данного оборудования.