Die nachfolgende Tabelle mit Verschlüsselungsalgorithmen enthält eine Zusammenfassung. Eine umfassendere Liste der TPM-Algorithmen finden Sie in der TCG Algorithmusregistrierung. Die Liste der obligatorischen Algorithmen für TPM 2.0 auf einem PC ist im aktuellen TPM-Profil der PC-Client-Plattform definiert.
Algorithmustyp |
Algorithmusname |
TPM 1.2 |
TPM 2,0 |
---|---|---|---|
Asymmetrisch |
RSA 1024 |
Ja |
Optional |
|
RSA 2048 |
Ja |
Ja |
|
ECC P256 |
Nein |
Ja |
|
ECC BN256 |
Nein |
Ja |
Symmetrisch |
AES 128 |
Optional |
Ja |
|
AES 256 |
Optional |
Optional |
Hash |
SHA-1 |
Ja |
Ja |
|
SHA-2 256 |
Nein |
Ja |
HMAC |
SHA-1 |
Ja |
Ja |
|
SHA-2 256 |
Nein |
Ja |
Tabelle 1: TPM 1.2 im Vergleich zu 2.0
TPM 1.2 unterstützt eine einzelne Besitzerberechtigung mit einem RSA 2048b Pattaya (EK) für Signierung/Bestätigung und einem einzigen RSA 2048b Storage Root Key (SRK) für Verschlüsselung. Das bedeutet, dass ein einzelner Benutzer oder eine Entität ("Besitzer") die Kontrolle über die Signatur-/Nachweis- und Verschlüsselungsfunktionen des TPM hat. Im Allgemeinen dient der SRK als übergeordneter Schlüssel für alle in TPM 1.2 erstellten Schlüssel. TPM 1.2 wurde als Opt-in-Gerät angegeben (weitere Informationen zur Bedeutung von "Opt-in" im Zusammenhang mit TPM finden Sie im Artikel der Trusted Computing Group: Argumente für das Einschalten von Trusted Platform Modules).
TPM 2.0 verfügt über die gleiche Funktionalität, die vom EK für Signatur/Nachweis und SRK für Verschlüsselung wie in 1.2 dargestellt wird, aber die Kontrolle ist in 2.0 in zwei verschiedene Hierarchien aufgeteilt, die Endorsement-Hierarchie (EH) und die Storage-Hierarchie (SH). Zusätzlich zu EH und SH enthält TPM 2.0 eine Plattformhierarchie (PH) für Wartungsfunktionen und eine Nullhierarchie. Jede Hierarchie hat ihren eigenen eindeutigen "Besitzer" für die Autorisierung. Aus diesem Grund unterstützt TPM 2.0 vier Autorisierungen, die dem einzelnen TPM 1.2-„Besitzer“ entsprechen.
In TPM 2.0 soll die neue Plattformhierarchie von Plattformherstellern verwendet werden. Die Storage- und Endorsement-Hierarchien sowie die Null-Hierarchie werden vom Betriebssystem und den im Betriebssystem vorhandenen Anwendungen verwendet. TPM 2.0 wurde so spezifiziert, dass die Erkennung und Verwaltung weniger aufwändig ist als unter 1.2. TPM 2.0 kann RSA- und ECC-Algorithmen für Endorsement Keys und SRKs unterstützen.
Funktion oder Anwendung |
TPM 1.2 |
TPM 2,0 |
---|---|---|
DDP|ST – OTP-Client |
Ja |
Nein* |
DDP|Verschlüsselung |
Ja |
Ja |
Intel Trusted-Execution-Technik® |
Ja |
Ja |
Microsoft Bitlocker™ |
Ja |
Ja |
Microsoft Virtual Smart Card |
Ja |
Ja |
Microsoft Credential Guard™ |
Ja |
Ja |
Microsoft Passport™ |
Ja |
Ja |
TCG Measured Boot |
Ja |
Ja |
UEFI Secure Boot |
Ja |
Ja |
Microsoft Device Guard |
Ja |
Ja |
Tabelle 2: TPM 1.2 im Vergleich zu 2.0 – Unterstützte Anwendungen und Funktionen
Weitere Informationen finden Sie im Dell Wissensdatenbank-Artikel Dell Computer, die von TPM-Version 1.2 auf 2.0 aktualisiert werden können.
Ein Firmware-basiertes TPM (fTPM) ist ein TPM, das mit den Ressourcen und dem Kontext eines Multifunktions-/Merkmalsrechengeräts (z. B. eines SoC, einer CPU oder einer ähnlichen Computerumgebung) arbeitet.
Ein separates TPM wird als ein isolierter, separater Funktions-/Merkmalchip implementiert, wobei alle notwendigen Rechenressourcen in dem separaten physischen Chippaket enthalten sind. Ein separates TPM hat die volle Kontrolle über dedizierte interne Ressourcen (z. B. flüchtigen Speicher, nichtflüchtigen Speicher und kryptografische Logik), und es ist die einzige Funktion, die auf diese Ressourcen zugreift und sie nutzt.
Ein Firmware-basiertes TPM verfügt über keinen eigenen, speziellen Storage. Es stützt sich auf Betriebssystem- und Plattformdienste für den Zugriff auf Storage innerhalb der Plattform. Eine der Auswirkungen, wenn kein spezieller Massenspeicher vorhanden ist, beinhaltet die Anwesenheit eines Endorsement Key (EK) Zertifikats. Separate TPM-Geräte können vom TPM-Hersteller an den Plattformhersteller so geliefert werden, dass ein EK-Zertifikat im TPM-Speicher für den TPM Endorsement Key installiert ist. Dies ist bei einem Firmware-TPM nicht möglich. Firmware-TPM-Anbieter stellen Zertifikate für EndnutzerInnen über einen herstellerspezifischen Prozess zur Verfügung. Um das EK-Zertifikat für einen Computer zu erhalten, müssen sich Plattformeigentümer an den Chipsatz-/CPU-Anbieter für diese Plattform wenden.
Darüber hinaus ist ein TCG-zertifiziertes separates TPM erforderlich, um die Compliance- und Sicherheitsanforderungen zu erfüllen, einschließlich des Schutzes des Chips und seiner internen Ressourcen, ähnlich wie Smartcards. Die TCG-Konformität überprüft, ob das TPM die TCG-Spezifikationen korrekt implementiert. Der durch die TCG-Zertifizierung erforderliche Schutz ermöglicht es einem zertifizierten separaten TPM, sich vor komplexeren physischen Angriffen zu schützen.
Weitere Informationen finden Sie in folgenden Dell Wissensdatenbank-Artikeln:
Betriebssystem |
TPM 1.2 |
TPM 2,0 |
---|---|---|
Windows 7 |
Ja |
Nein (1) |
Windows 8 |
Ja |
Ja (2) |
Windows 8.1 |
Ja |
Ja (2) |
Windows 10 |
Ja |
Ja |
RHEL |
Ja |
Ja (3) (4) |
Ubuntu |
Ja |
Ja (3) (5) |
Tabelle 3: Anbietersupport für unterstützte Betriebssysteme
Betriebssystem |
TPM 1.2 |
TPM 2,0 |
---|---|---|
Windows 7 |
Ja |
Nein |
Windows 8 |
Ja |
Nein (5) |
Windows 8.1 |
Ja |
Nein (5) |
Windows 10 |
Ja |
Ja (6) |
RHEL |
Nein (7) |
Ja (8) |
Ubuntu 14.04 |
Nein (7) |
Nein |
Ubuntu 16.04 |
Nein (7) |
Ja (9) |
Tabelle 4: Unterstützung für das Betriebssystem der Dell Commercial Platform
Hier sind einige empfohlene Artikel zu diesem Thema, die für Sie von Interesse sein könnten.