A tabela de algoritmos de criptografia abaixo apresenta um resumo. Para obter uma lista mais abrangente de algoritmos TPM, consulte o Registro de algoritmo TCG. A lista de algoritmos obrigatórios para o TPM 2.0 em um computador pessoal é definida no Perfil de TPM da plataforma do client PC mais recente.
Tipo de algoritmo |
Nome do algoritmo |
TPM 1.2 |
TPM 2.0 |
---|---|---|---|
Assimétrico |
RSA 1024 |
Sim |
Opcional |
|
RSA 2048 |
Sim |
Sim |
|
ECC P256 |
Não |
Sim |
|
ECC BN256 |
Não |
Sim |
Simétrico |
AES 128 |
Opcional |
Sim |
|
AES 256 |
Opcional |
Opcional |
Hash |
SHA-1 |
Sim |
Sim |
|
SHA-2 256 |
Não |
Sim |
HMAC |
SHA-1 |
Sim |
Sim |
|
SHA-2 256 |
Não |
Sim |
Tabela 1: TPM 1.2 vs. 2.0
O TPM 1.2 oferece suporte a uma única autorização de "proprietário", com uma Chave de endosso (EK) RSA 2048b para autenticação/atestado e uma única Chave raiz de armazenamento (SRK) RSA 2048b para criptografia. Isso significa que um único usuário ou entidade ("proprietário") tem controle sobre as funções de autenticação/atestado e criptografia do TPM. Em geral, a SRK serve como pai para quaisquer chaves criadas no TPM 1.2. O TPM 1.2 foi especificado como um dispositivo opcional (consulte o artigo do Trusted Computing Group The Case for Turn on Trusted Platform Modulespara obter mais informações sobre o significado de "opt-in", pois ele se aplica ao TPM).
O TPM 2.0 tem as mesmas funcionalidades representadas pela EK para autenticação/atestado e SRK para criptografia como no 1.2, mas o controle é dividido em duas hierarquias diferentes no 2.0: a Hierarquia de endosso (EH) e a Hierarquia de armazenamento (SH). Além da EH e da SH, o TPM 2.0 também contém uma Hierarquia de Plataforma (PH) para as funções de manutenção, e uma Hierarquia Nula. Cada hierarquia tem seu próprio "proprietário" exclusivo para autorização. Por esse motivo, o TPM 2.0 oferece suporte a quatro autorizações, o que seria análogo ao "proprietário" único do TPM 1.2.
No TPM 2.0, a nova Hierarquia De Plataforma deve ser usada pelos fabricantes de plataforma. As hierarquias de armazenamento e endosso e a hierarquia Nula são usadas pelos aplicativos presentes no sistema operacional e no sistema operacional. O TPM 2.0 foi especificado de uma maneira que torna a descoberta e o gerenciamento menos complicados do que no 1.2. O TPM 2.0 pode dar suporte a algoritmos RSA e ECC para chaves de endosso e SRKs.
Recurso ou aplicativo |
TPM 1.2 |
TPM 2.0 |
---|---|---|
DDP|ST - Cliente OTP |
Sim |
Não* |
DDP|Criptografia |
Sim |
Sim |
Tecnologia Intel® Trusted Execution |
Sim |
Sim |
Microsoft BitLocker™ |
Sim |
Sim |
Smart Card Virtual da Microsoft |
Sim |
Sim |
Microsoft Credential Guard™ |
Sim |
Sim |
Microsoft Passport™ |
Sim |
Sim |
Inicialização medida TCG |
Sim |
Sim |
Inicialização segura UEFI |
Sim |
Sim |
Microsoft Device Guard |
Sim |
Sim |
Tabela 2: TPM 1.2 vs. 2.0 - Aplicativos e recursos suportados
Além disso, consulte o artigo Computadores Dell que podem fazer upgrade do TPM versão 1.2 para 2.0 da base de conhecimento Dell.
Um TPM baseado em firmware (fTPM) é um TPM que opera usando os recursos e o contexto de um dispositivo de computação multifuncional/de recurso (como um SoC, CPU ou outro ambiente de computação semelhante).
Um TPM discreto é implementado como um chip de função/recurso isolado e separado, com todos os recursos de computação necessários contidos no discreto pacote do chip físico. Um TPM discreto tem controle total sobre os recursos internos dedicados (como memória volátil, memória não volátil e lógica criptográfica), e é a única função que acessa e utiliza esses recursos.
Um TPM baseado em firmware não tem seu próprio armazenamento dedicado. Ele conta com os serviços do sistema operacional e da plataforma para obter acesso ao armazenamento dentro da plataforma. Uma das implicações de não ter um armazenamento dedicado envolve a presença de um certificado de Chave de endosso (EK). Dispositivos de TPM discretos podem ser entregues pelo fabricante do TPM ao fabricante da plataforma com um certificado de EK instalado no armazenamento do TPM para a Chave de endosso do TPM. Isso não é possível com um TPM de firmware. Os fornecedores de TPM de firmware disponibilizam os certificados para os usuários finais por meio de processos específicos do fabricante. Para adquirir o certificado EK de um computador, os proprietários da plataforma devem entrar em contato com o fornecedor do chipset/CPU dessa plataforma.
Além disso, exige-se um TPM discreto com certificado TCG para atender aos requisitos de conformidade e segurança, incluindo a proteção do chip e dos seus recursos internos semelhantes aos Smart Cards. A conformidade com o TCG verifica se o TPM implementa corretamente as especificações do TCG. A proteção exigida pela certificação TCG permite que um TPM discreto certificado se proteja contra ataques físicos mais complicados.
Consulte também os artigos da base de conhecimento Dell:
Sistema operacional |
TPM 1.2 |
TPM 2.0 |
---|---|---|
Windows 7 |
Sim |
Não (1) |
Windows 8 |
Sim |
Sim (2) |
Windows 8.1 |
Sim |
Sim (2) |
Windows 10 |
Sim |
Sim |
RHEL |
Sim |
Sim (3)(4) |
Ubuntu |
Sim |
Sim (3)(5) |
Tabela 3: Suporte ao fornecedor do sistema operacional
Sistema operacional |
TPM 1.2 |
TPM 2.0 |
---|---|---|
Windows 7 |
Sim |
Não |
Windows 8 |
Sim |
Não (5) |
Windows 8.1 |
Sim |
Não (5) |
Windows 10 |
Sim |
Sim (6) |
RHEL |
Não (7) |
Sim (8) |
Ubuntu 14.04 |
Não (7) |
Não |
Ubuntu 16.04 |
Não (7) |
Sim (9) |
Tabela 4: Suporte do sistema operacional da plataforma comercial da Dell
Aqui estão alguns artigos recomendados relacionados a este tópico que podem ser de seu interesse.