Сравнение функций TPM 1.2 и 2.0
Summary: Характеристики TPM 1.2 и 2.0, TPM 1.2 по сравнению с TPM 2.0, TPM 1.2 и 2.0 — поддерживаемые приложения и функции, TPM 2.0 отличается от TPM микропрограммы
Instructions
TPM 1.2 по сравнению с TPM 2.0 — криптографическая поддержка
Ниже приведена таблица алгоритмов шифрования. Более полный список алгоритмов TPM см. в реестре алгоритмов TCG. 
| Тип алгоритма |
Имя алгоритма |
TPM 1.2 |
TPM 2.0 |
|---|---|---|---|
| Асимметричный |
RSA 1024 |
Да |
Необязательные |
|
|
RSA 2048 |
Да |
Да |
|
|
ECC P256 |
Нет |
Да |
|
|
ECC BN256 |
Нет |
Да |
| Симметричный |
AES 128 |
Необязательные |
Да |
|
|
AES 256 |
Необязательные |
Необязательные |
| Хэш |
SHA-1 |
Да |
Да |
|
|
SHA-2 256 |
Нет |
Да |
| HMAC |
SHA-1 |
Да |
Да |
|
|
SHA-2 256 |
Нет |
Да |
Таблица 1. Сравнение TPM 1.2 и 2.0
TPM 1.2 по сравнению с TPM 2.0 — различия в поведении
TPM 1.2 поддерживает авторизацию одного «владельца» с помощью ключа подтверждения RSA 2048b (EK) для подписи/аттестации и одного корневого ключа хранилища RSA 2048b (SRK) для шифрования. Это означает, что один пользователь или юридическое лицо («владелец») контролирует функции подписания/аттестации и шифрования TPM. В целом, SRK выступает в качестве родительского элемента для всех ключей, созданных в TPM 1.2. TPM 1.2 был указан в качестве устройства для регистрации (см. статью Группа trusted Computing Group
TPM 2.0 имеет ту же функциональность, которая представлена EK для входа/аттестации и SRK для шифрования, как и в версии 1.2, но управление разделено на две разные иерархии в версии 2.0, иерархию подтверждения (EH) и иерархию хранения (SH). Помимо EH и SH, TPM 2.0 также содержит иерархию платформы (PH) для функций обслуживания и нулевую иерархию. Каждая иерархия имеет собственного уникального владельца для авторизации. Поэтому TPM 2.0 поддерживает четыре авторизации, что аналогично одному «владельцу» TPM 1.2.
В TPM 2.0 новая иерархия платформы предназначена для использования производителями платформ. Иерархии хранения и подтверждения, а также нуль-иерархия будут использоваться операционной системой и приложениями, на которые присутствуют ОС. Модуль TPM 2.0 был указан так, что значительно упрощает обнаружение и управление по сравнению с версией 1.2. Модуль TPM 2.0 поддерживает алгоритмы RSA и ECC для ключей подтверждения и SRK.
TPM 1.2 и 2.0 — поддерживаемые приложения и функции
| Функция или приложение |
TPM 1.2 |
TPM 2.0 |
|---|---|---|
| DDP|ST — клиент OTP |
Да |
Нет* |
| DDP|Шифрование |
Да |
Да |
| Технология Intel® Trusted Execution ™ |
Да |
Да |
| Microsoft BitLocker™ |
Да |
Да |
| Виртуальная смарт-карта Microsoft |
Да |
Да |
| Служба Microsoft Credential Guard™ |
Да |
Да |
| Microsoft Passport™ |
Да |
Да |
| Измеряемая загрузка TCG |
Да |
Да |
| Безопасная загрузка UEFI |
Да |
Да |
| Служба Microsoft Device Guard ™ |
Да |
Да |
Таблица 2. TPM 1.2 и 2.0 — поддерживаемые приложения и функции
Отличие дискретного модуля TPM 2.0 от микропрограммного модуля TPM (fTPM)
Модуль TPM (fTPM) на базе микропрограммы — это модуль TPM, который работает с использованием ресурсов и контекста многофункциональных/многофункциональных вычислительных устройств (например, SoC, ЦП или другой аналогичной вычислительной среды).
Дискретный модуль TPM реализуется в виде изолированной, отдельной функции или микросхемы функции со всеми необходимыми вычислительными ресурсами, которые содержатся в пакете дискретной физической микросхемы. Дискретный модуль TPM полностью контролируют выделенные внутренние ресурсы (например, энергозависимую память, энергонезависимую память и криптографическую логику). Это единственная функция доступа и использования этих ресурсов.
Модуль TPM на базе микропрограммы не имеет собственного выделенного хранилища. Она использует сервисы операционной системы и платформы для предоставления доступа к хранилищу на платформе. Одним из последствий отсутствия выделенного хранилище является наличие сертификата ключа подтверждения (EK). Дискретные устройства TPM могут поставляться производителем TPM производителю платформы с сертификатом EK, установленным в хранилище TPM для ключа подтверждения TPM. Это невозможно при использовании микропрограммного TPM. Поставщики микропрограммного модуля TPM делают сертификаты доступными для конечных пользователей с помощью процессов, связанных с конкретными производителями. Чтобы получить сертификат EK для компьютера, владельцам платформ необходимо обратиться к поставщику набора микросхем/ЦП для этой платформы.
Кроме того, выделенный модуль TCG с сертификацией TCG
Таблица поддержки операционных систем:
Поддержка поставщиков операционных систем
| Операционная система |
TPM 1.2 |
TPM 2.0 |
|---|---|---|
| Windows 7 |
Да |
Нет (1) |
| Windows 8 |
Да |
Да (2) |
| Windows 8.1 |
Да |
Да (2) |
| Windows 10 |
Да |
Да |
| RHEL |
Да |
Да (3)(4) |
| Ubuntu |
Да |
Да (3)(5) |
Таблица 3. Поддержка поставщиков операционных систем
- 64-разрядная Windows 7 с процессором СХД, настроенным в режиме загрузки UEFI + CSM, может поддерживать TPM 2.0, поддерживаемый на некоторых платформах.
- Windows 8 была запущена с поддержкой TPM 2.0, но поддерживает только SHA-1.
- Требуется ядро Linux версии 4.4 или более поздней. Поставщики дистрибутивов Linux могут выбрать поддержку более старых версий для более старых ядер.
- Red Hat® Enterprise Linux® 7.3 и более поздние версии имеют базовую поддержку ядра. В RHEL 7.4 имеется технический предварительный просмотр инструментов пользовательского пространства.
- Поддерживается в Ubuntu 16.04 и более поздних версиях.
Поддержка операционных систем коммерческой платформы Dell
| Операционная система |
TPM 1.2 |
TPM 2.0 |
|---|---|---|
| Windows 7 |
Да |
Нет |
| Windows 8 |
Да |
Нет (5) |
| Windows 8.1 |
Да |
Нет (5) |
| Windows 10 |
Да |
Да (6) |
| RHEL |
Нет (7) |
Да (8) |
| Ubuntu 14.04 |
Нет (7) |
Нет |
| Ubuntu 16.04 |
Нет (7) |
Да (9) |
Таблица 4. Поддержка операционных систем коммерческой платформы Dell
- Dell поддерживает TPM 2.0 с Windows 8 и 8.1 на ограниченном количестве планшетов и съемных персональных компьютеров, которые поддерживают режим ожидания с подключением Microsoft.
- Поддержка TPM 2.0 доступна на всех коммерческих платформах весной 2016 года, а заводской режим TPM по умолчанию в Windows 10 — TPM 2.0.
- TPM 1.2 официально не поддерживается Dell с Linux, за исключением некоторых платформ Интернета вещей.
- Требуется Red Hat® Enterprise Linux® 7.3 или более поздней версии. Пользователю может потребоваться вручную изменить режим TPM с 1.2 на 2.0.
- Компания Dell совместно с компанией Canonical работала над поддержкой TPM 2.0 на клиентских компьютерах, которые поставляются с TPM 2.0. Для этого необходимо, чтобы Ubuntu 16.04 поставлялись вместе с компьютером.
Additional Information
Рекомендованные статьи
Ниже приведены некоторые рекомендованные статьи по этой теме, которые могут вас заинтересовать.