Рекомендации по доверенному платформенному модулю

В этой статье приведены рекомендации по технологии доверенного платформенного модуля (TPM) для Windows.

Описание основных функций доверенного платформенного модуля см. в разделе Обзор технологии доверенного платформенного модуля.

Проектирование и реализация доверенного платформенного модуля

Традиционно TPM — это дискретные чипы, припаяемые к системной плате компьютера. Такие реализации позволяют изготовителю оборудования (OEM) компьютера оценивать и сертифицировать TPM отдельно от остальной части системы. Дискретные реализации доверенного платформенного модуля являются общими. Однако они могут быть проблематичными для интегрированных устройств, которые являются небольшими или имеют низкое энергопотребление. В некоторых более новых реализациях TPM функциональные возможности TPM интегрируются в тот же набор микросхем, который используют другие платформенные компоненты, обеспечивая при этом логическое разделение, аналогичное изолированным микросхемам TPM.

Модули TPM являются пассивными: они получают команды и возвращают ответы. Чтобы предоставить доступ ко всем преимуществам TPM, поставщик оборудования должен аккуратно интегрировать модуль TPM в системное оборудование и встроенное ПО. Это позволит модулю отправлять команды и получать ответы. Изначально TPM были разработаны для обеспечения преимуществ безопасности и конфиденциальности для владельца и пользователей платформы, но более новые версии могут обеспечить преимущества безопасности и конфиденциальности для самого оборудования системы. Однако перед использованием в расширенных сценариях модуль TPM необходимо подготовить к работе. Windows автоматически подготавливает TPM, но если пользователь планирует переустановить операционную систему, ей может потребоваться очистить TPM перед переустановкой, чтобы Windows могла в полной мере воспользоваться преимуществами доверенного платформенного модуля.

Trusted Computing Group (TCG) — некоммерческая организация, которая публикует и поддерживает спецификации доверенного платформенного модуля. TCG существует для разработки, определения и продвижения нейтральных от поставщиков глобальных отраслевых стандартов. Эти стандарты поддерживают аппаратный корень доверия для совместимых доверенных вычислительных платформ. TCG также публикует спецификации TPM в виде международного стандарта ISO/IEC 11889 с использованием процесса предоставления общедоступной спецификации, которую определяет Совместный технический комитет 1, куда входят представители Международной организации стандартизации (ISO) и Международной электротехнической комиссии (IEC).

Поставщики оборудования внедряют модуль TPM в качестве компонента в доверенную вычислительную платформу например компьютер, планшет или телефон. Доверенные вычислительные платформы используют TPM для поддержки сценариев конфиденциальности и безопасности, которые не могут быть реализованы только программным обеспечением. Например, только программное обеспечение не может надежно сообщать о наличии вредоносных программ во время запуска системы. Тесная интеграция между TPM и платформой повышает прозрачность процесса загрузки и поддерживает оценку работоспособности устройства, позволяя надежно измерять и регистрировать программное обеспечение, которое запускает устройство. Реализация доверенного платформенного модуля в составе доверенной вычислительной платформы предоставляет аппаратный корень доверия, то есть он ведет себя доверенным образом. Например, если ключ, хранящийся в TPM, имеет свойства, которые запрещают экспорт ключа, этот ключ действительно не может покинуть TPM.

Организация TCG разработала TPM в качестве недорогого массового решения безопасности, которое соответствует требованиям различных клиентских сегментов. Свойства безопасности различаются в зависимости от реализации TPM так же, как в зависимости от сектора различаются требования клиентов и регулирующих органов. Например, при закупках в государственном секторе некоторые правительства четко определяют требования к безопасности для TPM, а другие — нет.

Сравнение TPM версии 1.2 и 2.0

Начиная с отраслевого стандарта, корпорация Майкрософт является лидером в отрасли по перемещению и стандартизации TPM 2.0, который имеет множество ключевых преимуществ в алгоритмах, шифровании, иерархии, корневых ключах, авторизации и ОЗУ NV.

Преимущества TPM 2.0

Продукты и системы на основе TPM 2.0 имеют важные преимущества безопасности по сравнению TPM 1.2, в том числе:

  • Спецификации TPM 1.2 позволяют использовать только RSA и алгоритм хэширования SHA-1.
  • В целях безопасности некоторые организации перестают использовать SHA-1. Примечательно, что по состоянию на 2014 год NIST требует от многих федеральных агентств перейти на SHA-256, а технологические лидеры, включая Microsoft и Google, удалили поддержку подписывания или сертификатов на основе SHA-1 в 2017 году.
  • TPM 2.0 обеспечивает большую криптографическую гибкость, так как позволяет более гибко работать с криптографическими алгоритмами.
    • TPM 2.0 поддерживает новые алгоритмы, что может повысить производительность подписи дисков и создания ключей. Полный список поддерживаемых алгоритмов см. в разделе Реестр алгоритмов TCG. Некоторые TTPM поддерживают не все алгоритмы.
    • Список доступных алгоритмов, которые Windows поддерживает в поставщике хранилища платформы шифрования, см. в разделе Поставщики алгоритмов шифрования CNG.
    • TPM 2.0 получил стандартизацию ISO (ISO/IEC 11889:2015).
    • Использование TPM 2.0 поможет исключить необходимость внесения изготовителями оборудования исключений в стандартные конфигурации для продажи устройств в некоторых странах и регионах.
  • TPM 2.0 предоставляет более согласованное взаимодействие при всем разнообразии внедрения.
    • Реализации TPM 1.2 различаются параметрами политики. Это может привести к проблемам с технической поддержкой в связи с различиями политик блокировки.
    • Политика блокировки TPM 2.0 настраивается Windows для гарантированной защиты от согласованных атак перебором по словарю.
  • В то время как части TPM 1.2 являются дискретными кремниевыми компонентами, которые обычно пайкуются на системной плате, TPM 2.0 доступен как дискретный (dTPM) силиконовый компонент в одном полупроводниковом пакете, интегрированный компонент, включенный в один или несколько полупроводниковых пакетов, наряду с другими логическими единицами в том же пакете, и как компонент на основе встроенного ПО (fTPM), работающий в доверенной среде выполнения (TEE) в soC общего назначения.

Примечание.

TPM 2.0 не поддерживается в устаревших режимах и режимах CSM BIOS. Устройства с TPM 2.0 должны иметь режим BIOS, настроенный только как "Встроенный UEFI". Параметры модуля поддержки устаревших версий и совместимости (CSM) должны быть отключены. Для обеспечения безопасности включите функцию безопасной загрузки.

Установленная операционная система на оборудовании в устаревшем режиме остановит загрузку ОС при смене режима BIOS на UEFI. Используйте средство MBR2GPT перед изменением режима BIOS, который подготовит ОС и диск к поддержке UEFI.

Дискретный, интегрированный или встроенный доверенный платформенный модуль?

Существует три варианта реализации TPM:

  • Дискретная микросхема доверенного платформенного модуля как отдельный компонент в собственном полупроводниковом пакете.
  • Интегрированное решение доверенного платформенного модуля с использованием выделенного оборудования, интегрированного в один или несколько полупроводниковых пакетов вместе с другими компонентами, но логически отделенным от других компонентов.
  • Решение доверенного платформенного модуля встроенного ПО, запустив TPM в встроенном ПО в режиме доверенного выполнения вычислительной единицы общего назначения.

Windows использует любой совместимый модуль TPM одинаково. Корпорация Майкрософт не занимает позицию о том, каким образом следует реализовать доверенный платформенный модуль, и существует широкая экосистема доступных решений доверенного платформенного модуля, которая должна соответствовать всем потребностям.

Имеет ли модуль TPM какое-либо значение для потребителей?

Для конечных потребителей TPM находится в фоновом режиме, но по-прежнему актуально. TPM используется для Windows Hello, Windows Hello для бизнеса и, в будущем, станет компонентом многих других ключевых функций обеспечения безопасности в Windows. TPM защищает ПИН-код, помогает шифровать пароли и основывается на нашей общей истории взаимодействия с Windows для обеспечения безопасности в качестве важного элемента. Использование Windows на системе с доверенным платформенным модулем TPM обеспечивает более глубокий и широкий уровень обеспечения безопасности.

Соответствие TPM 2.0 для Windows

Выпуски Windows для настольных компьютеров (домашняя, pro, корпоративная и для образовательных учреждений)

  • Начиная с 28 июля 2016 г. все новые модели устройств, линии или серии (или при обновлении конфигурации оборудования существующей модели, линии или серии с крупным обновлением, например ЦП, графические карты) должны реализовать и включить по умолчанию TPM 2.0 (сведения см. в разделе 3.7 страницы Минимальные требования к оборудованию ). Требование в отношении включения TPM 2.0 распространяется только на новые устройства, которые производятся. Рекомендации TPM в отношении конкретных компонентов Windows см. в разделе TPM и компоненты Windows.

IoT Базовая

  • TPM не является обязательным компонентом IoT Базовая.

Windows Server 2016

  • TPM является необязательным для SKU Windows Server, если номер SKU не соответствует другим критериям квалификации (AQ) для сценария Служб защиты узла, в этом случае требуется TPM 2.0.

TPM и компоненты Windows

В следующей таблице указано, какие компоненты Windows нуждаются в поддержке доверенного платформенного модуля.

Компоненты Windows Требуется протокол TPM Поддерживает TPM 1.2 Поддерживает TPM 2.0 Сведения
Измеряемая загрузка Да Да Да Для измеряемой загрузки требуется TPM 1.2 или 2.0 и безопасная загрузка UEFI. Рекомендуется использовать TPM 2.0, так как он поддерживает более новые алгоритмы шифрования. TPM 1.2 поддерживает только алгоритм SHA-1, который является устаревшим.
BitLocker Нет Да Да TPM 1.2 или 2.0 поддерживается, но рекомендуется TPM 2.0. Для шифрования устройств требуется современный резервный модуль , включая поддержку TPM 2.0
Шифрование устройства Да Н/Д Да Для шифрования устройства требуется сертификация текущего режима ожидания/режима ожидания с подключением, для которой необходим модуль TPM 2.0.
Управление приложениями для бизнеса Нет Да Да
System Guard (DRTM) Да Нет Да Требуется встроенное ПО TPM 2.0 и UEFI.
Credential Guard Нет Да Да Windows 10 версии 1507 (срок службы завершился в мае 2017 года) поддерживала только TPM 2.0 для Credential Guard. Начиная с Windows 10 версии 1511, поддерживаются TPM 1.2 и 2.0. В сочетании с System Guard TPM 2.0 обеспечивает повышенную безопасность Credential Guard. Windows 11 по умолчанию требуется TPM 2.0, чтобы упростить включение этой расширенной безопасности для клиентов.
Аттестация работоспособности устройства Да Да Да Рекомендуется использовать TPM 2.0, так как он поддерживает более новые алгоритмы шифрования. TPM 1.2 поддерживает только алгоритм SHA-1, который является устаревшим.
Windows Hello/Windows Hello для бизнеса Нет Да Да Microsoft Entra присоединение поддерживает обе версии TPM, но для поддержки аттестации ключей требуется TPM с кодом проверки подлинности сообщений с хэш-ключом (HMAC) и сертификатом ключа подтверждения (EK). TPM 2.0 рекомендуется использовать для TPM 1.2 для повышения производительности и безопасности. Windows Hello как средство проверки подлинности платформы FIDO использует преимущества TPM 2.0 для хранилища ключей.
Безопасная загрузка UEFI Нет Да Да
Поставщик хранилища ключей поставщика шифрования платформы TPM Да Да Да
Виртуальная смарт-карта Да Да Да
Хранилище сертификатов Нет Да Да Модуль TPM требуется только в случае хранения в нем сертификата.
Автопилот Нет Н/Д Да Если вы планируете развернуть сценарий, для которого требуется TPM (например, белая перчатка и режим саморазвертывания), то требуется встроенное ПО TPM 2.0 и UEFI.
SecureBIO Да Нет Да Требуется встроенное ПО TPM 2.0 и UEFI.

Состояние OEM касательно доступности систем TPM 2.0 и сертифицированных компонентов

Пользователи государственных учреждений и корпоративные клиенты в регулируемых отраслях могут руководствоваться стандартами покупки, которые требуют использования общих сертифицированных компонентов TPM. В результате изготовители оборудования, которые предоставляют устройства, могут столкнуться с необходимостью использования только сертифицированных компонентов TPM в системах коммерческого уровня. За дополнительными сведениями обратитесь к OEM или поставщику данного оборудования.