Функції модуля TPM 1.2 і 2.0

Порівняння модуля TPM 1.2 зTPM 2.0 - Криптографічна підтримка

Наведена нижче таблиця алгоритмів шифрування містить короткий виклад; Щоб отримати докладніший список алгоритмів TPM, зверніться до реєстру алгоритмів TCG. Перелік обов'язкових алгоритмів для TPM 2.0 в персональному комп'ютері визначено в останньому профілі TPM клієнтської платформи ПК.

Таблиця 1: Модуль TPM 1.2 і 2.0

TPM 1.2 порівняно з TPM 2.0 – відмінності в поведінці

Модуль TPM 1.2 підтримує єдину авторизацію власника з ключем схвалення RSA 2048b (EK) для підписання та атестації та одним кореневим ключем сховища RSA 2048b (SRK) для шифрування. Це означає, що один користувач або організація («власник») має контроль над функціями підписання, атестації та шифрування модуля TPM. Загалом, SRK служить батьківським для будь-яких ключів, створених у TPM 1.2. Модуль TPM 1.2 було вказано як пристрій із підтримкою згоди (див. статтю Trusted Computing Group Випадок увімкнення модулів довірчої платформи , щоб дізнатися більше про значення терміна "opt-in" стосовно модуля TPM).

Модуль TPM 2.0 має ті самі функціональні можливості, що й EK для підпису/атестації та SRK для шифрування, як і у версії 1.2, але у версії 2.0 елемент керування розділено на дві різні ієрархії: ієрархію схвалення (EH) та ієрархію зберігання (SH). На додаток до EH і SH, модуль TPM 2.0 також містить ієрархію платформ (PH) для функцій обслуговування та нульову ієрархію. Кожна ієрархія має свого унікального «власника» для авторизації. У зв'язку з цим модуль TPM 2.0 підтримує чотири авторизації, які були б аналогічними одному «власнику» модуля TPM 1.2.

У модулі TPM 2.0 нова ієрархія платформ призначена для використання виробниками платформ. Ієрархії зберігання та схвалення, а також ієрархія Null будуть використовуватися програмами операційної системи та ОС. Модуль TPM 2.0 було визначено таким чином, що виявлення та керування ними менш громіздкі, ніж у версії 1.2. Модуль TPM 2.0 підтримує алгоритми RSA та ECC для підтверджувальних ключів і SRK.

TPM 1.2 і 2.0 – підтримувані програми та функції:

Таблиця 2: TPM 1.2 і 2.0 – підтримувані програми та функції

Чим дискретний модуль TPM 2.0 відрізняється від мікропрограми TPM (fTPM)?

TPM на основі мікропрограми (fTPM) – це модуль TPM, який працює з використанням ресурсів і контексту багатофункціонального або функціонального обчислювального пристрою (наприклад, SoC, ЦП або іншого подібного обчислювального середовища).

Дискретний модуль TPM реалізується у вигляді ізольованої, окремої функціональної або функціональної мікросхеми з усіма необхідними обчислювальними ресурсами, які містяться в пакеті дискретних фізичних мікросхем. Дискретний модуль TPM має повний контроль над виділеними внутрішніми ресурсами (такими як енергонезалежна пам'ять, енергонезалежна пам'ять і криптографічна логіка), і це єдина функція, яка отримує доступ до цих ресурсів і використовує їх.

Модуль TPM на основі мікропрограми не має власного спеціального сховища. Він покладається на служби операційної системи та платформи, щоб забезпечити доступ до сховища на платформі. Одним із наслідків відсутності виділеного сховища є наявність сертифіката Endorsement Key (EK). Виробник модуля TPM може постачати дискретні пристрої модуля виробнику платформи з сертифікатом EK, інстальованим у сховищі модуля TPM для ключа підтвердження модуля TPM. Це неможливо з прошивкою TPM. Постачальники мікропрограмного забезпечення TPM надають сертифікати кінцевим користувачам за допомогою спеціальних процесів виробника. Щоб отримати сертифікат EK для комп'ютера, власникам платформи потрібно зв'язатися з постачальником чіпсета/процесора для цієї платформи

Крім того, дискретний модуль TCG, сертифікований TCG , повинен відповідати вимогам відповідності та безпеки, включаючи зміцнення чіпа та його внутрішніх ресурсів, подібних до смарт-карт. Відповідність вимогам TCG гарантує, що модуль TPM правильно реалізує специфікації TCG. Загартування, яке вимагається сертифікацією TCG, дозволяє сертифікованому дискретному модулю TPM захистити себе від більш складних фізичних атак.

Матриця підтримки операційної системи:

Підтримка постачальників операційних систем

Таблиця 3: Підтримка постачальників операційних систем

• Windows 7 64-bit з SP, налаштованим в режимі завантаження UEFI + CSM, може підтримувати модуль TPM 2.0, що підтримується на деяких платформах.
• Windows 8 запущено з підтримкою модуля TPM 2.0, але підтримує лише SHA-1.
• Потрібне основне ядро Linux версії 4.4 або новішої. Постачальники дистрибутивів Linux можуть вибрати підтримку бекпортів для старих ядер.
• Red Hat® Enterprise Linux® 7.3 і пізніші версії мають базову підтримку ядра. RHEL 7.4 має технічну попередню версію інструментів простору користувача.
• Підтримується в Ubuntu 16.04 і пізніших версіях.

Підтримка операційної системи комерційної платформи Dell

Таблиця 4: Підтримка операційної системи Dell Commercial Platform

• Dell підтримує модуль TPM 2.0 з Windows 8 і 8.1 на обмеженій кількості планшетів і знімних персональних комп'ютерів, які підтримують Microsoft Connected Standby.
• Навесні 2016 року підтримка модуля TPM 2.0 доступна на всіх комерційних платформах, а заводським режимом TPM за замовчуванням у Windows 10 є TPM 2.0.
• TPM 1.2 офіційно не підтримується Dell з Linux, за винятком деяких платформ IoT.
• Потрібен Red Hat® Enterprise Linux® 7.3 або новішої версії. Користувачеві може знадобитися вручну змінити режим TPM з 1.2 на 2.0.
• Dell співпрацює з Canonical над підтримкою модуля TPM 2.0 на клієнтських комп'ютерах, які постачаються з модулем TPM 2.0. Для цього потрібно, щоб Ubuntu 16.04 постачалася разом із комп'ютером.

Рекомендовані статті

Ось кілька рекомендованих статей, пов'язаних з цією темою, які можуть вас зацікавити.

• Комп'ютери Dell, які можна оновити з TPM версії 1.2 до 2.0
• Процес оновлення або пониження версії модуля довірчої платформи (TPM) для операційної системи Windows 10
• Модуль довірчої платформи (TPM) Поширені запитання для Windows 11