En la siguiente tabla de algoritmos de cifrado, se presenta un resumen; para ver una lista más completa de algoritmos del TPM, consulte el registro de algoritmos de TCG. La lista de algoritmos obligatorios de TPM 2.0 en una computadora personal se define en el perfil del TPM más reciente de la plataforma del cliente de la PC.
Tipo de algoritmo |
Nombre del algoritmo |
TPM 1.2 |
TPM 2.0 |
---|---|---|---|
Asimétrico |
RSA 1024 |
Sí |
Opcional |
|
RSA 2048 |
Sí |
Sí |
|
ECC P256 |
No |
Sí |
|
ECC BN256 |
No |
Sí |
Simétrico |
AES 128 |
Opcional |
Sí |
|
AES 256 |
Opcional |
Opcional |
Hash |
SHA-1 |
Sí |
Sí |
|
SHA-2 256 |
No |
Sí |
HMAC |
SHA-1 |
Sí |
Sí |
|
SHA-2 256 |
No |
Sí |
Tabla 1: TPM 1.2 en comparación con TPM 2.0
TPM 1.2 admite una única autorización de "propietario", con una clave de aprobación (EK) RSA 2048b para fines de firma/atestación y una única clave raíz de almacenamiento (SRK) RSA 2048b para el cifrado. Esto significa que un único usuario o entidad ("propietario") tiene control sobre las funciones de firma/atestación y cifrado del TPM. En general, la SRK sirve como clave principal para otras claves creadas en TPM 1.2. TPM 1.2 se especificó como un dispositivo de participación (consulte el artículo de Trusted Computing Group El caso para activar los módulos de plataforma segura para obtener más información sobre el significado de "participación" en lo que respecta a TPM).
TPM 2.0 tiene la misma funcionalidad representada por la EK para firma/atestación y la SRK en materia de cifrado que en 1.2; sin embargo, el control se divide en dos jerarquías diferentes en 2.0, la jerarquía de aprobación (EH) y la jerarquía de almacenamiento (SH). Además de EH y SH, TPM 2.0 también contiene una jerarquía de plataforma (PH) para funciones de mantenimiento, además de una jerarquía nula. Cada jerarquía tiene su propio "propietario" único para las autorizaciones. Debido a esto, TPM 2.0 soporta cuatro autorizaciones que serían análogas al “propietario” único de TPM 1.2.
En TPM 2.0, la nueva jerarquía de plataforma está destinada para los fabricantes de plataformas. Las jerarquías de almacenamiento y aprobación, y la jerarquía nula son utilizadas por el sistema operativo y las aplicaciones presentes en el SO. TPM 2.0 se especificó de una manera que hace que el descubrimiento y la administración sean menos complicados que en la versión 1.2. TPM 2.0 puede admitir algoritmos RSA y ECC para claves de aprobación y SRK.
Característica o aplicación |
TPM 1.2 |
TPM 2.0 |
---|---|---|
DDP | ST - OTP Client |
Sí |
No* |
DDP|Cifrado |
Sí |
Sí |
Tecnología de ejecución de confianza de Intel® |
Sí |
Sí |
Microsoft Bitlocker™ |
Sí |
Sí |
Tarjeta inteligente virtual de Microsoft |
Sí |
Sí |
Microsoft Credential Guard™ |
Sí |
Sí |
Microsoft Passport™ |
Sí |
Sí |
Arranque medido TCG |
Sí |
Sí |
Arranque seguro UEFI |
Sí |
Sí |
Protección de dispositivos de Microsoft |
Sí |
Sí |
Tabla 2: TPM 1.2 en comparación con. 2.0: aplicaciones compatibles y características
Además, consulte el artículo de la base de conocimientos de Dell Computadoras Dell que pueden actualizarse de TPM versión 1.2 a 2.0.
Un TPM basado en firmware (fTPM) es un TPM que funciona con los recursos y el contexto de un dispositivo informático con varias características/funciones (como un SoC, una CPU u otro entorno informático similar).
Un TPM discreto se implementa como un chip aislado e independiente de características o funciones, con todos los recursos informáticos necesarios contenidos en el paquete de chip físico discreto. Un TPM discreto tiene el control total de los recursos internos dedicados (como la memoria volátil, la memoria no volátil y la lógica criptográfica) y es la única función que accede a esos recursos y los utiliza.
Un TPM basado en firmware no tiene su propio almacenamiento dedicado. Depende de los servicios del sistema operativo y la plataforma para proporcionar acceso al almacenamiento dentro de la plataforma. Una de las consecuencias de no tener almacenamiento dedicado implica la presencia de un certificado de clave de aprobación (EK). El fabricante de TPM puede entregar dispositivos TPM discretos al fabricante de la plataforma con un certificado EK instalado en el almacenamiento TPM para la clave de aprobación de TPM. Esto no se puede realizar con un TPM de firmware. Los proveedores de TPM de firmware dejan los certificados a disposición de los usuarios finales mediante procesos específicos del fabricante. Para adquirir el certificado EK para una computadora, los propietarios de la plataforma deben ponerse en contacto con el proveedor de chipset/CPU de esa plataforma.
Además, se requiere un TPM discreto con certificación de TCG para cumplir con los requisitos de seguridad y cumplimiento de normas, incluido el fortalecimiento del chip y sus recursos internos de forma similar a las tarjetas inteligentes. El cumplimiento de TCG confirma que el TPM implementa correctamente las especificaciones de TCG. El fortalecimiento que se requiere en la certificación de TCG permite que un TPM discreto certificado se proteja ante ataques físicos más complejos.
Además, consulte los artículos de la base de conocimientos de Dell:
Sistema operativo |
TPM 1.2 |
TPM 2.0 |
---|---|---|
Windows 7 |
Sí |
No (1) |
Windows 8 |
Sí |
Sí (2) |
Windows 8.1 |
Sí |
Sí (2) |
Windows 10 |
Sí |
Sí |
RHEL |
Sí |
Sí (3) (4) |
Ubuntu |
Sí |
Sí (3) (5) |
Tabla 3: Soporte de proveedor de sistema operativo
Sistema operativo |
TPM 1.2 |
TPM 2.0 |
---|---|---|
Windows 7 |
Sí |
No |
Windows 8 |
Sí |
No (5) |
Windows 8.1 |
Sí |
No (5) |
Windows 10 |
Sí |
Sí (6) |
RHEL |
No (7) |
Sí (8) |
Ubuntu 14.04 |
No (7) |
No |
Ubuntu 16.04 |
No (7) |
Sí (9) |
Tabla 4: Soporte del sistema operativo de la plataforma comercial de Dell
Estos son algunos artículos recomendados relacionados con este tema que podrían ser de su interés.