TPM 1.2 vs 2.0 – kluczowe różnice i funkcje
Summary: Poznaj najważniejsze różnice między modułami TPM 1.2 i TPM 2.0, w tym obsługę kryptograficzną, różnice w zachowaniu i obsługiwane aplikacje. Dowiedz się, czym różni się oddzielny moduł TPM od modułu TPM oprogramowania wewnętrznego i poznaj zgodność modułu TPM z różnymi systemami operacyjnymi. ...
Instructions
Układ TPM 1.2 w porównaniu z:TPM 2.0 — obsługa kryptograficzna
Poniższa tabela algorytmów szyfrowania zawiera podsumowanie; Aby uzyskać bardziej wyczerpującą listę algorytmów TPM, zapoznaj się z rejestrem algorytmów TCG. 
| Typ algorytmu |
Nazwa algorytmu |
TPM 1.2 |
TPM 2.0 |
|---|---|---|---|
| Asymetryczne |
RSA 1024 |
Tak |
Opcjonalnie |
|
|
RSA 2048 |
Tak |
Tak |
|
|
ECC P256 |
Nie |
Tak |
|
|
ECC BN256 |
Nie |
Tak |
| Symetryczne |
AES 128 |
Opcjonalnie |
Tak |
|
|
AES 256 |
Opcjonalnie |
Opcjonalnie |
| Hash |
SHA-1 |
Tak |
Tak |
|
|
SHA-2 256 |
Nie |
Tak |
| HMAC |
SHA-1 |
Tak |
Tak |
|
|
SHA-2 256 |
Nie |
Tak |
Tabela 1: TPM 1.2 w porównaniu z 2.0
Układ TPM 1.2 w porównaniu z modułem TPM 2.0 — różnice w zachowaniu
Układ TPM 1.2 obsługuje pojedyncze upoważnienie „właściciela” z kluczem poręczenia (EK) RSA 2048b do podpisywania/atestacji i pojedynczym kluczem głównym pamięci (RSK) RSA 2048b (SRK) do szyfrowania. Oznacza to, że jeden użytkownik lub podmiot („właściciel”) ma kontrolę nad funkcjami podpisywania/poświadczania i szyfrowania modułu TPM. Mówiąc ogólnie, SRK pełni funkcję nadrzędną wobec wszelkich kluczy utworzonych w TPM 1.2. Moduł TPM 1.2 został określony jako urządzenie opcjonalne (więcej informacji na temat znaczenia słowa "opt-in" w odniesieniu do modułu TPM można znaleźć w artykule Trusted Computing Group The Case for Turning On Trusted Platform Modules
Moduł TPM 2.0 ma te same funkcje, które są reprezentowane przez klucz EK do podpisywania/zaświadczania i SRK do szyfrowania, jak w wersji 1.2, ale kontrolka jest podzielona na dwie różne hierarchie w wersji 2.0: hierarchię poręczeń (EH) i hierarchię pamięci masowej (SH). Oprócz EH i SH, TPM 2.0 zawiera również hierarchię platformy (PH) dla funkcji konserwacji, a także hierarchię zerową. Każda hierarchia ma unikalnego „właściciela” do autoryzacji. Z tego powodu moduł TPM 2.0 obsługuje cztery autoryzacje, które są analogiczne do pojedynczego modułu TPM 1.2 "owner".
W TPM 2.0 nowa hierarchia platformy jest przeznaczona do stosowania przez producentów platform. Hierarchie pamięci masowej i poręczenia oraz hierarchia Null są używane przez aplikacje systemu operacyjnego i systemu operacyjnego. Moduł TPM 2.0 został zdefiniowany tak, aby uczynić wykrywanie i zarządzanie mniej uciążliwymi niż w wersji 1.2. Moduł TPM 2.0 może obsługiwać algorytmy RSA i ECC dla kluczy poręczenia i SRK.
TPM 1.2 i 2.0 — obsługiwane aplikacje i funkcje:
| Funkcja lub aplikacja |
TPM 1.2 |
TPM 2.0 |
|---|---|---|
| DDP|ST — klient OTP |
Tak |
Nie* |
| DDP|Encryption |
Tak |
Tak |
| Technologia Intel® Trusted Execution |
Tak |
Tak |
| Funkcja Microsoft BitLocker™ |
Tak |
Tak |
| Microsoft Virtual Smart Card |
Tak |
Tak |
| Funkcja Microsoft Credential Guard™ |
Tak |
Tak |
| Usługa Microsoft Passport™ |
Tak |
Tak |
| TCG Measured Boot |
Tak |
Tak |
| UEFI Secure Boot |
Tak |
Tak |
| Microsoft Device Guard |
Tak |
Tak |
Tabela 2: TPM 1.2 i 2.0 — obsługiwane aplikacje i funkcje
Zapoznaj się również z artykułem z bazy wiedzy firmy Dell Komputery firmy Dell, które można uaktualnić z modułu TPM w wersji 1.2 do 2.0.
W jaki sposób dyskretny moduł TPM 2.0 różni się od modułu TPM opartego na oprogramowaniu wewnętrznym (fTPM)?
Moduł TPM oparty na oprogramowaniu wewnętrznym (fTPM) to moduł TPM, który działa przy użyciu zasobów i kontekstu wielofunkcyjnego/funkcyjnego urządzenia obliczeniowego (takiego jak SoC, procesor lub inne podobne środowisko obliczeniowe).
Autonomiczny moduł TPM jest zaimplementowany jako odizolowany, oddzielny układ funkcji lub cechy ze wszystkimi niezbędnymi zasobami obliczeniowymi, które są zawarte w pakiecie dyskretnego chipa fizycznego. Autonomiczny moduł TPM ma pełną kontrolę nad dedykowanymi zasobami wewnętrznymi (takimi jak pamięć ulotna, pamięć nieulotna i logika kryptograficzna) i jest jedyną funkcją uzyskującą dostęp do tych zasobów i korzystającą z nich.
Moduł TPM oparty na oprogramowaniu wewnętrznym nie ma własnej, dedykowanej pamięci masowej. Opiera się na systemie operacyjnym i usługach platformy, aby zapewnić mu dostęp do pamięci masowej na platformie. Jedną z konsekwencji nieposiadania dedykowanej pamięci masowej jest obecność certyfikatu klucza poręczenia (EK). Dyskretne urządzenia TPM mogą być dostarczane przez producenta układów TPM producentowi platformy z certyfikatem EK zainstalowanym w pamięci masowej modułu TPM dla klucza poręczenia modułu TPM. Nie jest to możliwe w przypadku modułu TPM opartego na oprogramowaniu wewnętrznym. Dostawcy układów TPM oprogramowania wewnętrznego udostępniają certyfikaty użytkownikom końcowym za pomocą procesów specyficznych dla producenta. Aby uzyskać certyfikat EK dla komputera, właściciele platform muszą skontaktować się z dostawcą chipsetu/procesora dla tej platformy.
Ponadto dyskretny moduł TPM z certyfikatem TCG jest wymagany do spełnienia wymagań dotyczących zgodności i bezpieczeństwa, w tym wzmocnienia chipa i jego zasobów wewnętrznych, podobnie jak w przypadku kart inteligentnych.
Matryca zgodności systemów operacyjnych:
Zapoznaj się również z artykułami z bazy wiedzy firmy Dell:
- Proces aktualizacji lub przywracania wersji modułu Trusted Platform Module (TPM) systemu operacyjnego Windows 10
- Moduł TPM (Trusted Platform Module) — często zadawane pytania dotyczące systemu Windows 11
Pomoc techniczna dla dostawców systemów operacyjnych
| System operacyjny |
TPM 1.2 |
TPM 2.0 |
|---|---|---|
| Windows 7 |
Tak |
Nie (1) |
| Windows 8 |
Tak |
Tak (2) |
| Windows 8.1 |
Tak |
Tak (2) |
| Windows 10 |
Tak |
Tak |
| RHEL |
Tak |
Tak (3)(4) |
| System operacyjny Ubuntu |
Tak |
Tak (3)(5) |
Tabela 3: Pomoc techniczna dla dostawców systemów operacyjnych
- 64-bitowy system Windows 7 z SP skonfigurowany w trybie rozruchu UEFI + CSM może obsługiwać moduł TPM 2.0, obsługiwany na niektórych platformach.
- System Windows 8 został uruchomiony z obsługą modułu TPM 2.0, ale obsługuje tylko algorytm SHA-1.
- Wymaga jądra systemu Linux w wersji 4.4 lub nowszej. Dostawcy dystrybucji systemu Linux mogą wybrać opcję wstecznej obsługi starszych jąder.
- System Red Hat® Enterprise Linux® 7.3 i nowsze wersje obsługują podstawowe jądro. System RHEL 7.4 zawiera wersję zapoznawczą narzędzi przestrzeni użytkownika.
- Obsługa w systemie Ubuntu 16.04 i nowszych wersjach.
Obsługa systemów operacyjnych platform komercyjnych firmy Dell
| System operacyjny |
TPM 1.2 |
TPM 2.0 |
|---|---|---|
| Windows 7 |
Tak |
Nie |
| Windows 8 |
Tak |
Nie (5) |
| Windows 8.1 |
Tak |
Nie (5) |
| Windows 10 |
Tak |
Tak (6) |
| RHEL |
Nie (7) |
Tak (8) |
| Ubuntu 14.04 |
Nie (7) |
Nie |
| Ubuntu 16.04 |
Nie (7) |
Tak (9) |
Tabela 4: Obsługa systemów operacyjnych Dell dla platform komercyjnych
- Firma Dell obsługuje moduł TPM 2.0 w systemach Windows 8 i 8.1 na ograniczonej liczbie tabletów i komputerów osobistych z odłączanym ekranem, które obsługują technologię Connected Standby firmy Microsoft.
- Obsługa układu TPM 2.0 będzie dostępna na wszystkich platformach komercyjnych wiosną 2016 r., a domyślny tryb fabryczny TPM w systemie Windows 10 to TPM 2.0.
- Moduł TPM 1.2 nie jest oficjalnie obsługiwany przez urządzenia Dell z systemem Linux, z wyjątkiem wybranych platform IoT.
- Wymaga systemu Red Hat® Enterprise Linux® 7.3 lub nowszego. Użytkownik może być zmuszony do ręcznej zmiany trybu modułu TPM z 1.2 na 2.0.
- Firma Dell współpracowała z firmą Canonical w zakresie obsługi modułu TPM 2.0 na komputerach klienckich dostarczanych z modułem TPM 2.0. Wymaga to dostarczenia wraz z komputerem systemu Ubuntu 16.04.
Additional Information
Polecane artykuły
Poniżej przedstawiono niektóre polecane artykuły dotyczące tego tematu, które mogą Cię zainteresować.