以下の暗号化アルゴリズムの表は、概要を示しています。TPMアルゴリズムのより包括的なリストについては、「TCG Algorithm Registry」を参照してください。PCにおけるTPM 2.0の必須アルゴリズムのリストは、最新の「TCG PC Client Platform TPM Profile (PTP) Specification」で定義されています。
アルゴリズムのタイプ |
アルゴリズム名 |
TPM 1.2 |
TPM 2.0 |
---|---|---|---|
非対称 |
RSA 1024 |
はい |
オプション |
|
RSA 2048 |
はい |
はい |
|
ECC P256 |
No |
はい |
|
ECC BN256 |
No |
はい |
対称 |
AES 128 |
オプション |
はい |
|
AES 256 |
オプション |
オプション |
ハッシュ |
SHA-1 |
はい |
はい |
|
SHA-2 256 |
No |
はい |
HMAC |
SHA-1 |
はい |
はい |
|
SHA-2 256 |
No |
はい |
表1:TPM 1.2とTPM 2.0の比較
TPM 1.2は、署名/アテステーション用のRSA 2048b承認キー(EK)1つと、暗号化用のRSA 2048bストレージ ルート キー(SRK)1つを使用して、1つの「所有者」認証をサポートします。これは、1人のユーザーまたはエンティティー(「所有者」)が、TPMの署名/アテステーションと暗号化機能の両方を制御していることを意味します。通常、SRKはTPM 1.2で作成された任意のキーに対して親として機能します。TPM 1.2はオプトイン デバイスとして指定されました(TPMに適用される「オプトイン」の意味の詳細については、Trusted Computing Groupの記事「トラステッド プラットフォーム モジュールを有効にする場合」を参照してください)。
TPM 2.0は、1.2の署名/アテステーション用EKや暗号化用SRKにより代表されるような同様の機能を備えていますが、2.0では制御が2つの異なる階層に分離されています。すなわち、承認階層(EH)とストレージ階層(SH)です。さらに、EHとSHに加えて、TPM 2.0にはメンテナンス機能のためのプラットフォーム階層(PH)と、Null階層があります。各階層には、認証のためそれぞれ独自の「所有者」が存在します。このため、TPM 2.0では、単一のTPM 1.2の「所有者」に類似する4つの認証をサポートしています。
TPM 2.0では、新しいプラットフォーム階層は、プラットフォームの製造元が使用することを目的としたものです。ストレージ階層と承認階層、およびNull階層は、オペレーティング システムとOSの存在アプリケーションによって使用されます。TPM 2.0は、検出や管理面で1.2よりも手間のかからない方法で指定されています。TPM 2.0は、承認キーとSRKのRSAおよびECCアルゴリズムをサポートできます。
機能またはアプリケーション |
TPM 1.2 |
TPM 2.0 |
---|---|---|
DDP|ST - OTP Client |
はい |
なし* |
DDP|Encryption |
はい |
はい |
インテル® トラステッド・エグゼキューション・テクノロジー |
はい |
はい |
Microsoft Bitlocker™ |
はい |
はい |
Microsoft Virtual Smart Card |
はい |
はい |
Microsoft Credential Guard™ |
はい |
はい |
Microsoft Passport™ |
はい |
はい |
TCG Measured Boot |
はい |
はい |
UEFI Secure Boot |
はい |
はい |
Microsoft Device Guard |
はい |
はい |
表2: TPM 1.2と2.0の比較 - サポートされているアプリケーションと機能
また、Dellナレッジベース記事「 TPMバージョン1.2から2.0へのアップグレードが可能なDellコンピューター」も参照してください。
ファームウェアベースのTPM (fTPM)は、多機能なコンピューティング デバイス(SoC、CPU、その他の類似したコンピューティング環境など)のリソースやコンテキストを使用して動作するTPMです。
専用の物理チップ パッケージ内に必要なコンピューティング リソースがすべて含まれた、分離された別々の機能チップとしてDiscrete TPMは実装されます。Discrete TPMは、専用の内部リソース(揮発性メモリーや不揮発性メモリー、暗号化ロジックなど)に対して完全な制御権を持ち、またそれは、これらのリソースにアクセスしたり利用したりするための唯一の機能です。
ファームウェア ベースのTPMには独自の専用ストレージがありません。TPMがプラットフォーム内のストレージにアクセスできるかどうかは、オペレーティング システムおよびプラットフォーム サービスに依存しています。専用ストレージを持っていないことによる影響の1つに、承認キー(EK)証明書が存在することが含まれます。専用TPMデバイスは、TPMの製造元から提供可能であり、TPMストレージにインストールされているEK証明書をTPM承認キーとして使用して、プラットフォームの製造元に提供することができます。これは、ファームウェアTPMでは実現できません。ファームウェアTPMベンダーは、製造元固有のプロセスによって、エンド ユーザーが証明書を使用できるようにします。コンピューターのEK証明書を取得するには、プラットフォームの所有者がそのプラットフォームのチップセット/CPUベンダーに問い合わせる必要があります。
さらに、コンプライアンスや、スマート カードと同様のチップとその内部リソースの強化などのセキュリティ要件を満たすために、TCG Certified discrete TPM is required to meetが必要です。TCGコンプライアンスは、TPMが正しくTCGの仕様を実装していることを検証します。TCG認定で要求される強化により、認定されたDiscrete TPMは、より複雑な物理攻撃から自らを保護することができます。
また、Dellナレッジベース記事も参照してください。
オペレーティングシステム |
TPM 1.2 |
TPM 2.0 |
---|---|---|
Windows 7 |
はい |
いいえ(1) |
Windows 8 |
はい |
はい(2) |
Windows 8.1 |
はい |
はい(2) |
Windows 10 |
はい |
はい |
RHEL |
はい |
はい(3)(4) |
Ubuntu |
はい |
はい(3)(5) |
表3:オペレーティング システム ベンダーのサポート
オペレーティングシステム |
TPM 1.2 |
TPM 2.0 |
---|---|---|
Windows 7 |
はい |
No |
Windows 8 |
はい |
いいえ(5) |
Windows 8.1 |
はい |
いいえ(5) |
Windows 10 |
はい |
はい(6) |
RHEL |
いいえ(7) |
はい(8) |
Ubuntu 14.04 |
いいえ(7) |
No |
Ubuntu 16.04 |
いいえ(7) |
はい(9) |
表4:Dellビジネス向けプラットフォーム オペレーティング システムのサポート
ここでは、このトピックに関連した役立つ可能性のある推奨記事をいくつか紹介します。