В таблице алгоритмов шифрования ниже приведена сводка; Более полный список алгоритмов TPM см. в реестре алгоритмов TCG. Список обязательных алгоритмов для использования модуля TPM 2.0 на персональном компьютере определен в последней версии профиля TPM клиентской платформы ПК.
Тип алгоритма |
Имя алгоритма |
TPM 1.2 |
TPM 2.0 |
---|---|---|---|
Асимметричный |
RSA 1024 |
Yes |
Необязательные |
|
RSA 2048 |
Yes |
Yes |
|
ECC P256 |
No |
Yes |
|
ECC BN256 |
No |
Yes |
Симметричный |
AES 128 |
Необязательные |
Yes |
|
AES 256 |
Необязательные |
Необязательные |
Хэш |
SHA-1 |
Yes |
Yes |
|
SHA-2 256 |
No |
Yes |
HMAC |
SHA-1 |
Yes |
Yes |
|
SHA-2 256 |
No |
Yes |
Таблица 1. Сравнение TPM 1.2 и 2.0
TPM 1.2 поддерживает авторизацию одного «владельца» с помощью ключа подтверждения RSA 2048b (EK) для подписи/аттестации и одного корневого ключа хранилища RSA 2048b (SRK) для шифрования. Это означает, что один пользователь или юридическое лицо («владелец») контролирует функции подписания/аттестации и шифрования TPM. В целом, SRK выступает в качестве родительского элемента для всех ключей, созданных в TPM 1.2. Модуль TPM 1.2 был указан в качестве устройства для согласия (см. статью Trusted Computing Group Доводы в пользу включения модулей TPM для получения дополнительной информации о значении термина «согласие» применительно к TPM).
TPM 2.0 имеет те же функциональные возможности, что и в версии 1.2 в EK для подписания и аттестации и SRK для шифрования, но элемент управления разделен на две разные иерархии в версии 2.0: иерархию подтверждения (EH) и иерархию хранения (SH). Помимо EH и SH, TPM 2.0 также содержит иерархию платформы (PH) для функций обслуживания и нулевую иерархию. Каждая иерархия имеет собственного уникального владельца для авторизации. Поэтому TPM 2.0 поддерживает четыре авторизации, которые были бы аналогичны авторизации одного «владельца» TPM 1.2.
В TPM 2.0 новая иерархия платформы предназначена для использования производителями платформ. Иерархии хранения и подтверждения, а также иерархия Null используются приложениями операционной системы и операционной системы. Модуль TPM 2.0 был указан так, что значительно упрощает обнаружение и управление по сравнению с версией 1.2. TPM 2.0 поддерживает алгоритмы RSA и ECC для ключей подтверждения и SRK.
Функция или приложение |
TPM 1.2 |
TPM 2.0 |
---|---|---|
DDP|ST — клиент OTP |
Yes |
Нет* |
DDP|Шифрование |
Yes |
Yes |
® Технология Intel Trusted Execution Technology |
Yes |
Yes |
Microsoft BitLocker™ |
Yes |
Yes |
Виртуальная смарт-карта Microsoft |
Yes |
Yes |
Microsoft Credential Guard™ |
Yes |
Yes |
Паспорт™ Microsoft |
Yes |
Yes |
Измеряемая загрузка TCG |
Yes |
Yes |
Безопасная загрузка UEFI |
Yes |
Yes |
Служба Microsoft Device Guard |
Yes |
Yes |
Таблица 2. TPM 1.2 и 2.0 — поддерживаемые приложения и функции
Также см. статью базы знаний Dell Компьютеры Dell, на которых можно модернизировать TPM с версии 1.2 до 2.0.
TPM на основе микропрограммы (fTPM) — это модуль TPM, который работает с использованием ресурсов и контекста многофункционального/функционального вычислительного устройства (например, однокристальной системы, центрального процессора или другой аналогичной вычислительной среды).
Выделенный модуль TPM реализован как изолированная отдельная функциональная микросхема со всеми необходимыми вычислительными ресурсами, содержащимися в корпусе дискретной физической микросхемы. Выделенный модуль TPM имеет полный контроль над выделенными внутренними ресурсами (например, энергозависимой памятью, энергонезависимой памятью и криптографической логикой) и является единственной функцией, которая получает доступ к этим ресурсам и использует их.
Модуль TPM на базе микропрограммы не имеет собственного выделенного хранилища. Он полагается на операционную систему и службы платформы, чтобы предоставить ему доступ к хранилищу внутри платформы. Одним из последствий отсутствия выделенного хранилище является наличие сертификата ключа подтверждения (EK). Дискретные устройства TPM могут поставляться производителем TPM производителю платформы с сертификатом EK, установленным в хранилище TPM для ключа подтверждения TPM. Это невозможно при использовании микропрограммного TPM. Поставщики микропрограмм TPM предоставляют конечным пользователям доступ к сертификатам с помощью процессов, специфичных для конкретного производителя. Чтобы получить сертификат EK для компьютера, владельцы платформы должны обратиться к поставщику набора микросхем/ЦП этой платформы.
Кроме того, выделенный модуль TPM, сертифицированный TCG, должен соответствовать нормативным требованиям и требованиям безопасности, включая усиление защиты чипа и его внутренних ресурсов, аналогично смарт-картам. Соответствие требованиям TCG подтверждает, что TPM правильно применяет спецификации TCG. Усиление защиты, требуемое сертификацией TCG, позволяет сертифицированному выделенному модулю TPM защищать себя от более сложных физических атак.
См. также статьи базы знаний Dell:
Операционная система |
TPM 1.2 |
TPM 2.0 |
---|---|---|
Windows 7 |
Yes |
Нет (1) |
Windows 8 |
Yes |
Да (2) |
Windows 8.1 |
Yes |
Да (2) |
Windows 10 |
Yes |
Yes |
RHEL |
Yes |
Да (3)(4) |
Ubuntu |
Yes |
Да (3)(5) |
Таблица 3. Поддержка поставщиков операционных систем
Операционная система |
TPM 1.2 |
TPM 2.0 |
---|---|---|
Windows 7 |
Yes |
No |
Windows 8 |
Yes |
Нет (5) |
Windows 8.1 |
Yes |
Нет (5) |
Windows 10 |
Yes |
Да (6) |
RHEL |
Нет (7) |
Да (8) |
Ubuntu 14.04 |
Нет (7) |
No |
Ubuntu 16.04 |
Нет (7) |
Да (9) |
Таблица 4. Поддержка операционных систем коммерческих платформ Dell
Ниже приведены некоторые рекомендованные статьи по этой теме, которые могут вас заинтересовать.