아래 암호화 알고리듬 표는 요약 정보를 제공합니다. TPM 알고리듬의 보다 포괄적인 목록은 TCG 알고리듬 레지스트리를 참조하십시오. 개인 컴퓨터의 TPM 2.0에 대한 필수 알고리듬 목록은 최신 PC 클라이언트 플랫폼 TPM 프로필에 정의되어 있습니다.
알고리즘 유형 |
알고리즘 이름 |
TPM 1.2 |
TPM 2.0 |
---|---|---|---|
비대칭 |
RSA 1024 |
예 |
선택 사항 |
|
RSA 2048 |
예 |
예 |
|
ECC P256 |
아니요 |
예 |
|
ECC BN256 |
아니요 |
예 |
대칭 |
AES 128 |
선택 사항 |
예 |
|
AES 256 |
선택 사항 |
선택 사항 |
해시 |
SHA-1 |
예 |
예 |
|
SHA-2 256 |
아니요 |
예 |
HMAC |
SHA-1 |
예 |
예 |
|
SHA-2 256 |
아니요 |
예 |
표 1: TPM 1.2와 2.0 비교
TPM 1.2는 서명/인증에 대한 RSA 2048b 보증 키(EK)와 암호화를 위한 단일 RSA 2048b 스토리지 루트 키(SRK)를 갖춘 단일 "소유자" 인증을 지원합니다. 즉, 단일 사용자 또는 개체("소유자")가 TPM의 서명/인증 및 암호화 기능을 모두 제어합니다. 일반적으로 SRK는 TPM 1.2에서 생성되는 모든 키에 대한 상위 역할을 합니다. TPM 1.2는 옵트인 디바이스로 지정되었습니다(TPM에 적용되는 "옵트인"의 의미에 대한 자세한 내용은 신뢰할 수 있는 컴퓨팅 그룹 문서 The Case for On Trusted Platform Modules참조).
TPM 2.0에는 1.2와 마찬가지로 서명/증명용 EK와 암호화용 SRK에서 제공하는 것과 동일한 기능이 있지만, 2.0에서는 제어 권한이 두 계층, 즉 EH(Endorsement Hierarchy) 및 SH(Storage Hierarchy)로 분할됩니다. EH 및 SH 이외에 TPM 2.0에는 유지 보수 기능을 위한 플랫폼 계층(PH)과 Null 계층도 포함되어 있습니다. 각 계층에는 승인에 대한 고유한 "소유자"가 있습니다. 따라서 TPM 2.0은 단일 TPM 1.2 "소유자"와 유사한 네 가지 승인을 지원합니다.
TPM 2.0에서 새 플랫폼 계층은 플랫폼 제조업체에서 사용하기 위한 것입니다. 스토리지 및 보증 계층과 Null 계층은 운영 체제 및 OS 제공 애플리케이션에서 사용됩니다. TPM 2.0은 1.2보다 검색 및 관리 방법이 더 간단합니다. TPM 2.0은 보증 키와 SRK를 위한 RSA 및 ECC 알고리즘을 지원할 수 있습니다.
기능 또는 애플리케이션 |
TPM 1.2 |
TPM 2.0 |
---|---|---|
DDP | ST - OTP 클라이언트 |
예 |
아니요* |
DDP|암호화 |
예 |
예 |
인텔® Trusted Execution Technology™ |
예 |
예 |
Microsoft Bitlocker™ |
예 |
예 |
Microsoft 가상 스마트 카드 |
예 |
예 |
Microsoft Credential Guard™ |
예 |
예 |
Microsoft Passport™ |
예 |
예 |
TCG 측정 부팅 |
예 |
예 |
UEFI 보안 부팅 |
예 |
예 |
Microsoft Device Guard™ |
예 |
예 |
표 2: TPM 1.2 및 2.0 비교 - 지원되는 애플리케이션 및 기능
펌웨어 기반 TPM(fTPM)은 다기능/기능 컴퓨팅 디바이스(예: SoC, CPU 또는 기타 유사한 컴퓨팅 환경)의 리소스와 컨텍스트를 사용하여 작동하는 TPM입니다.
이 독립형 TPM은 분리형 개별 기능 칩으로 구현되며 모든 필요한 컴퓨팅 리소스가 독립형 물리 칩 패키지 내에 포함되어 있습니다. 독립형 TPM은 전용 내부 리소스(예: 휘발성 메모리, 비휘발성 메모리, 암호화 로직)를 완벽하게 제어하며, 이러한 리소스에 액세스하여 사용할 수 있는 유일한 기능입니다.
펌웨어 기반 TPM에는 자체 전용 스토리지가 없습니다. 운영 체제 및 플랫폼 서비스에 기반하여 플랫폼 내의 스토리지에 대한 IT 액세스를 제공합니다. 전용 스토리지가 없다는 것이 의미하는 것 중 하나는 보증 키(EK) 인증서가 있다는 것입니다. 독립형 TPM 장치는 TPM 보증 키에 대해 TPM 스토리지에 설치된 EK 인증서를 사용하여 TPM 제조업체가 플랫폼 제조업체에 제공할 수 있습니다. 펌웨어 TPM에서는 이 작업을 수행할 수 없습니다. 펌웨어 TPM 공급업체는 제조업체별 프로세스를 통해 최종 사용자에게 인증서를 제공합니다. 컴퓨터에 대한 EK 인증서를 얻으려면 플랫폼 소유자가 해당 플랫폼에 대해 칩셋/CPU 공급업체에 문의해야 합니다.
또한 TCG 인증 독립형 TPM 은 스마트 카드와 유사한 칩 경화와 내부 리소스를 포함한 규정 준수 및 보안 요구 사항을 충족해야 합니다. TCG 규정 준수는 TPM이 TCG 사양을 올바르게 구현함을 확인합니다. TCG 인증에 필요한 강화 기능을 활용하면 인증 독립형 TPM이 복잡한 물리적 공격으로부터 보호될 수 있습니다.
운영 체제 |
TPM 1.2 |
TPM 2.0 |
---|---|---|
Windows 7 |
예 |
아니요(1) |
Windows 8 |
예 |
예(2) |
Windows 8.1 |
예 |
예(2) |
Windows 10 |
예 |
예 |
RHEL |
예 |
예 (3)(4) |
Ubuntu |
예 |
예 (3)(5) |
표 3: 운영 체제 공급업체 지원
운영 체제 |
TPM 1.2 |
TPM 2.0 |
---|---|---|
Windows 7 |
예 |
아니요 |
Windows 8 |
예 |
아니요(5) |
Windows 8.1 |
예 |
아니요(5) |
Windows 10 |
예 |
예(6) |
RHEL |
아니요(7) |
예(8) |
Ubuntu 14.04 |
아니요(7) |
아니요 |
Ubuntu 16.04 |
아니요(7) |
예(9) |
표 4: Dell 상업용 플랫폼 운영 체제 지원
다음은 사용자가 관심 있을 만한, 이 주제와 관련된 몇 가지 권장 문서입니다.