TPM 1.2 与 2.0 的特点
Summary: TPM 1.2 与 2.0 的对比, TPM 1.2 与 TPM 2.0 的对比, TPM 1.2 与 2.0 对比- 支持的应用程序和特点, TPM 2.0 与固件 TPM 不同
Instructions
TPM 1.2 与 TPM 2.0 的对比 — 加密支持
下面的加密算法表提供了汇总;有关 TPM 算法的更全面的列表,请参考 TCG 算法注册表。
| 算法类型 |
算法名称 |
TPM 1.2 |
TPM 2.0 |
|---|---|---|---|
| 非对称 |
RSA 1024 |
是 |
可选 |
|
|
RSA 2048 |
是 |
是 |
|
|
ECC P256 |
否 |
是 |
|
|
ECC BN256 |
否 |
是 |
| 对称 |
AES 128 |
可选 |
是 |
|
|
AES 256 |
可选 |
可选 |
| 哈希 |
SHA-1 |
是 |
是 |
|
|
SHA-2 256 |
否 |
是 |
| HMAC |
SHA-1 |
是 |
是 |
|
|
SHA-2 256 |
否 |
是 |
表 1:TPM 1.2 与 2.0 的对比
TPM 1.2 与 TPM 2.0 的对比 - 行为差异
TPM 1.2 支持单个“所有者”授权,RSA 2048b 签注密钥 (EK) 用于签名/认证,单个 RSA 2048b 存储根密钥 (SRK) 用于加密。这意味着,单个用户或实体(“所有者”)控制 TPM 的签名/认证及加密功能。一般而言,SRK用作在TPM 1.2中创建的任何密钥的父项。TPM 1.2 被指定为选择加入设备(有关适用于 TPM 的“选择加入”含义的详细信息,请参阅可信计算组文章 The Case for Turning on Trusted Platform Modules
TPM 2.0 的功能与 1.2 中 EK(用于签名/认证)和 SRK(用于加密)代表的功能相同,但控制在 2.0 中拆分为两个不同的层次:签注层次 (EH) 和存储层次 (SH)。除了EH和SH,TPM 2.0还包含用于维护功能的平台层次(PH)和空层次。每个层次都有其自己唯一的用于授权的“所有者”。正因为如此,TPM 2.0 支持 4 个授权,这与单个 TPM1.2“所有者”相似。
在TPM 2.0中,新平台层次用于由平台制造商使用。存储和签注层次及空层次将由操作系统和操作系统的应用程序使用。TPM 2.0的发现与管理不如1.2繁琐。TPM 2.0 可支持 RSA 和 ECC 算法,以用于签注密钥和 SRK。
TPM 1.2 与 2.0 — 支持的应用程序和特点:
| 功能或应用程序 |
TPM 1.2 |
TPM 2.0 |
|---|---|---|
| DDP|ST - OTP client |
是 |
否* |
| DDP|Encryption |
是 |
是 |
| Intel® Trusted Execution Technology ™ |
是 |
是 |
| Microsoft Bitlocker™ |
是 |
是 |
| Microsoft Virtual Smart Card |
是 |
是 |
| Microsoft Credential Guard™ |
是 |
是 |
| Microsoft Passport™ |
是 |
是 |
| TCG测量启动 |
是 |
是 |
| UEFI安全启动 |
是 |
是 |
| Microsoft Device Guard ™ |
是 |
是 |
表 2:TPM 1.2与2.0—支持的应用程序和特点
独立 TPM 2.0 与固件 TPM (fTPM) 有何不同?
基于固件的 TPM (fTPM) 使用多功能计算设备的资源和环境(如 SoC、CPU 或其它类似计算环境)工作。
独立 TPM 作为隔离的、单独的功能芯片实施,并且所有必需的计算资源都包含在独立物理芯片包中。独立 TPM 完全控制专用内部资源(例如易失性存储器、非易失性存储器和加密逻辑),它是访问和利用这些资源的唯一功能。
基于固件的 TPM 没有自己的专用存储。它依赖于操作系统和平台服务,以访问平台内的存储。没有专用存储的一种含义是存在签注密钥 (EK) 证书。TPM 制造商可将 TPM 存储中装有 EK 证书以用于 TPM 签注密钥的独立 TPM 设备交付给平台制造商。这对于固件 TPM 无法实现。固件 TPM 供应商通过制造商的特定流程为最终用户提供证书。要获得计算机的 EK 证书,平台所有者需要联系该平台的芯片组/CPU 供应商
此外,还需要 TCG 认证的独立 TPM
操作系统支持值表:
操作系统供应商支持
| 操作系统 |
TPM 1.2 |
TPM 2.0 |
|---|---|---|
| Windows 7 |
是 |
否(1) |
| Windows 8 |
是 |
是(2) |
| Windows 8.1 |
是 |
是(2) |
| Windows 10 |
是 |
是 |
| RHEL |
是 |
是 (3) (4) |
| Ubuntu |
是 |
是 (3) (5) |
表 3:操作系统供应商支持
- 在 UEFI + CSM 启动模式下配置 SP 的 Windows 7(64 位)可以支持 TPM 2.0(在某些平台上受支持)。
- 通过对 TPM 2.0 的支持启动的 Windows 8 仅支持 SHA-1。
- 要求使用 Linux 上行内核版本 4.4 或更高版本。Linux 分发供应商可以选择对旧内核的反向移植支持。
- Red Hat® Enterprise Linux® 7.3 及更高版本具有基本内核支持。RHEL 7.4 具有用户空间工具的技术预览。
- 在 Ubuntu 16.04 和更高版本上受支持。
戴尔商用平台操作系统支持
| 操作系统 |
TPM 1.2 |
TPM 2.0 |
|---|---|---|
| Windows 7 |
是 |
否 |
| Windows 8 |
是 |
否 (5) |
| Windows 8.1 |
是 |
否 (5) |
| Windows 10 |
是 |
是 (6) |
| RHEL |
否 (7) |
是 (8) |
| Ubuntu 14.04 |
否 (7) |
否 |
| Ubuntu 16.04 |
否 (7) |
是 (9) |
(表 4):戴尔商用平台操作系统支持
- 对于支持 Microsoft Connected Standby 的装有 Windows 8 和 8.1 的限量平板电脑和可拆卸个人计算机,戴尔支持 TPM 2.0。
- 2016 年春季发货的所有商用平台均支持 TPM 2.0,而 Windows 10 上的出厂默认 TPM 模式为 TPM 2.0。
- 除了特定 IoT 平台以外,TPM 1.2 还不受戴尔与 Linux 官方支持。
- 需要 Red Hat® Enterprise Linux® 7.3 或更高版本。用户可能需要将 TPM 模式从 1.2 手动更改为 2.0。
- 戴尔与 Canonical 合作,以在随 TPM 2.0 提供的客户端计算机上提供 TPM 2.0 支持。这就要求 Ubuntu 16.04 随计算机一同提供。
Additional Information
推荐的文章
以下是您可能会感兴趣的与此主题相关的一些推荐文章。