Comparaison des fonctionnalités de TPM 1.2 et TPM 2.0
Summary: Fonctionnalités TPM 1.2 et TPM 2.0, TPM 1.2 et TPM 2.0, TPM 1.2 comparées aux fonctionnalités de TPM 2.0 - Applications et fonctionnalités prises en charge, différences entre TPM 2.0 et le module TPM du firmware ...
Instructions
Comparaison de TPM 1.2 et TPM 2.0 - Prise en charge de la cryptographie
Le tableau des algorithmes de chiffrement ci-dessous fournit un résumé. Pour obtenir une liste plus complète des algorithmes TPM, veuillez vous reporter au registre d’algorithme TCG. 
| Type d’algorithmes |
Nom de l’algorithme |
TPM 1.2 |
TPM 2.0 |
|---|---|---|---|
| Asymétrique |
RSA 1024 |
Oui |
optionnel |
|
|
RSA 2048 |
Oui |
Oui |
|
|
ECC P256 |
Aucune |
Oui |
|
|
ECC BN256 |
Aucune |
Oui |
| Symétrique |
AES 128 |
optionnel |
Oui |
|
|
AES 256 |
optionnel |
optionnel |
| Hachage |
SHA-1 |
Oui |
Oui |
|
|
SHA-2 256 |
Aucune |
Oui |
| HMAC |
SHA-1 |
Oui |
Oui |
|
|
SHA-2 256 |
Aucune |
Oui |
Tableau 1 : Comparaison des fonctionnalités de TPM 1.2 et TPM 2.0
Comparaison de TPM 1.2 et TPM 2.0 - Différences de comportement
Le module TPM 1.2 prend en charge une seule autorisation « propriétaire », avec une clé EK (Endorsement Key) RSA 2048b pour la signature/l’attestation et une unique clé SRK (Storage Root Key) RSA 2048b pour le chiffrement. Cela signifie qu’un utilisateur ou une entité unique (le « propriétaire ») contrôle les fonctions de signature/attestation et de chiffrement du TPM. En général, la SRK sert de parent pour toutes les clés créées dans le TPM 1.2. Le module TPM 1.2 a été spécifié en tant que périphérique de protection individuelle (reportez-vous à l’article Trusted Computing Group « The Case for Turning on Trusted Platform Modules
Le module TPM 2.0 propose les mêmes fonctions que le module TPM 1.2, représentées par l’EK pour la signature/attestation et la SRK pour le chiffrement, mais le contrôle est divisé en deux hiérarchies différentes dans la version 2.0 : la hiérarchie d’autorisation (Endorsement - EH) et la hiérarchie de stockage (SH). En plus de l’EH et de la SH, le TPM 2.0 inclut également une hiérarchie de plateforme (PH) pour les fonctions de maintenance et une hiérarchie nulle. Chaque hiérarchie a son propre « propriétaire » pour l’autorisation. C’est la raison pour laquelle le module TPM 2.0 prend en charge quatre autorisations similaires au « propriétaire » unique du TPM 1.2.
Dans le TPM 2.0, la nouvelle hiérarchie de plateforme est destinée à être utilisée par les fabricants de plateformes. Les hiérarchies de stockage et d’autorisation ainsi que la hiérarchie nulle sont utilisées pour les applications disponibles dans le système d’exploitation. Le TPM 2.0 a été conçu de façon que la découverte et la gestion soient plus faciles que dans le TPM 1.2. Le module TPM 2.0 peut prendre en charge les algorithmes RSA et ECC des clés EK et SRK.
TPM 1.2 et 2.0 - Applications prises en charge et fonctionnalités :
| Fonctionnalité ou application |
TPM 1.2 |
TPM 2.0 |
|---|---|---|
| DDP|ST - client OTP |
Oui |
Non* |
| DDP|Chiffrement |
Oui |
Oui |
| Intel® Trusted Execution Technology ™ |
Oui |
Oui |
| Microsoft Bitlocker™ |
Oui |
Oui |
| Carte à puce virtuelle Microsoft |
Oui |
Oui |
| Microsoft Credential Guard™ |
Oui |
Oui |
| Microsoft Passport™ |
Oui |
Oui |
| Démarrage mesuré TCG |
Oui |
Oui |
| Démarrage sécurisé UEFI |
Oui |
Oui |
| Microsoft Device Guard ™ |
Oui |
Oui |
Tableau 2 : TPM 1.2 et 2.0 - Applications prises en charge et fonctionnalités
Différences entre le TPM 2.0 séparé et le TPM firmware (fTPM) :
Un TPM basé sur un firmware est un TPM qui fonctionne en utilisant les ressources et le contexte d’un appareil de calcul multifonction (tel qu’un SoC, un processeur ou d’autres types d’environnement de calcul similaires).
Un TPM séparé est implémenté comme une puce de fonctions, séparée ou isolée. Toutes les ressources de calcul sont contenues dans le package de la puce physique séparée. Un TPM séparé a un contrôle total sur les ressources internes dédiées (telles que la mémoire volatile, la mémoire non volatile et la logique cryptographique) et c’est la seule fonction qui accède à ces ressources et les utilise.
Un TPM basé sur un firmware ne dispose pas de son système de stockage dédié. Il s’appuie sur un système d’exploitation et sur des services de plate-forme pour fournir l’accès au stockage au sein de la plate-forme. L’absence de stockage dédié implique l’utilisation d’un certificat EK (Endorsement Key). Les appareils TPM séparés peuvent être fournis par le fabricant du module TPM au fabricant de la plate-forme, avec un certificat EK installé dans le stockage TPM pour l’EK TPM. Cela n’est pas possible avec un module TPM firmware. Les fournisseurs de module TPM firmware rendent les certificats accessibles aux utilisateurs finaux via des processus spécifiques de fabricant. Pour acquérir le certificat EK pour un ordinateur, les propriétaires de plates-formes doivent contacter le fournisseur du chipset/processeur pour cette plate-forme.
En outre, un module TPM séparé certifié TCG
Operating System Support Matrix :
Prise en charge des fournisseurs du système d’exploitation
| Système d’exploitation |
TPM 1.2 |
TPM 2.0 |
|---|---|---|
| Windows 7 |
Oui |
Non (1) |
| Windows 8 |
Oui |
Oui (2) |
| Windows 8.1 |
Oui |
Oui (2) |
| Windows 10 |
Oui |
Oui |
| RHEL |
Oui |
Oui (3)(4) |
| Ubuntu |
Oui |
Oui (3)(5) |
Tableau 3 : Prise en charge des fournisseurs du système d’exploitation
- Windows 7 64 bits avec SP configuré en mode de démarrage UEFI + CSM peut prendre en charge le module TPM 2.0, sur certaines plates-formes
- Windows 8 avec prise en charge du TPM 2.0, mais ne prend pas en charge SHA-1.
- Nécessite une version de noyau Linux 4.4 en amont ou une version plus récente. Les fournisseurs de distributions Linux peuvent choisir de prendre en charge d’anciens noyaux.
- Red Hat® Enterprise Linux® 7.3 et versions ultérieures disposent d’un support de base du noyau. RHEL 7.4 offre un aperçu technique des outils de l’espace utilisateur.
- Pris en charge sur Ubuntu 16.04 et versions supérieures.
Prise en charge des systèmes d’exploitation de la plate-forme Dell Commercial
| Système d’exploitation |
TPM 1.2 |
TPM 2.0 |
|---|---|---|
| Windows 7 |
Oui |
Aucune |
| Windows 8 |
Oui |
Non (5) |
| Windows 8.1 |
Oui |
Non (5) |
| Windows 10 |
Oui |
Oui (6) |
| RHEL |
Non (7) |
Oui (8) |
| Ubuntu 14.04 |
Non (7) |
Aucune |
| Ubuntu 16.04 |
Non (7) |
Oui (9) |
Tableau 4 : Prise en charge du système d’exploitation de la plate-forme commerciale Dell
- Dell prend en charge le module TPM 2.0 avec Windows 8 et 8.1 sur un nombre limité de tablettes et d’ordinateurs personnels amovibles qui prennent en charge la veille connectée Microsoft.
- La prise en charge du TPM 2.0 est disponible sur toutes les plates-formes Dell Commercial depuis le printemps 2016, et le mode TPM par défaut sur Windows 10 est TPM 2.0.
- Le TPM 1.2 n’est pas officiellement pris en charge par Dell avec Linux, sauf sur certaines plates-formes IoT.
- Nécessite Red Hat® Enterprise Linux® 7.3 ou version supérieure. L’utilisateur peut avoir besoin de passer manuellement du mode TPM 1.2 au mode TPM 2.0.
- Dell collabore avec Canonical sur la prise en charge du module TPM 2.0 sur les ordinateurs clients livrés avec le module TPM 2.0. Pour cela, Ubuntu 16.04 doit être livré avec l’ordinateur.
Additional Information
Articles recommandés
Voici quelques articles recommandés sur ce sujet qui peuvent vous intéresser.
- Ordinateurs Dell pouvant être mis à niveau de la version TPM 1.2 vers la version 2.0
- Processus de mise à niveau ou de rétrogradation du module TPM (Trusted Platform Module) pour le système d’exploitation Windows 10
- Questions fréquentes sur le module de plate-forme sécurisée TPM (Trusted Platform Module) pour Windows 11