Viktige forskjeller og funksjoner for TPM 1.2 kontra 2.0

TPM 1.2 sammenlignet med TPM 2.0 – kryptografisk støtte

Tabellen over krypteringsalgoritmer nedenfor gir et sammendrag; Hvis du vil ha en mer omfattende liste over TPM-algoritmer, kan du se TCG-algoritmeregisteret. Listen over obligatoriske algoritmer for TPM 2.0 i en personlig datamaskin er definert i den nyeste TPM-profilen for PC-klientplattformen.

Tabell 1: TPM 1.2 kontra 2.0

TPM 1.2 sammenlignet med TPM 2.0 – atferdsforskjeller

TPM 1.2 støtter én enkelt «eier»-autorisasjon og bruker en RSA 2048b-godkjenningsnøkkel (EK) for signering/attestering og én RSA 2048b Storage Root Key (SRK) for kryptering. Det betyr at kun én bruker eller enhet («eier») har kontroll over både signeringen/attesteringen og krypteringsfunksjonene til TPM. Generelt fungerer SRK som den overordnede nøkkelen for nøkler opprettet i TPM 1.2. TPM 1.2 ble angitt som en valgfri enhet (se artikkelen The Case for Turn on Trusted Platform Modules i Trusted Computing Group for mer informasjon om betydningen av "opt-in" slik det gjelder for TPM).

TPM 2.0 har samme funksjonalitet som representeres av EK for signering/attestering og SRK for kryptering som i 1.2, men kontrollen er delt inn i to forskjellige hierarkier i 2.0, godkjenningshierarkiet (EH) og lagringshierarkiet (SH). I tillegg til EH og SH inneholder TPM 2.0 også et plattformhierarki (PH) for vedlikeholdsfunksjoner, og et nullhierarki. Hvert hierarki har sitt eget unike “eier” for autorisasjon. På grunn av dette støtter TPM 2.0 fire autorisasjoner som vil være analoge med den ene TPM 1.2-eieren.

I TPM 2.0 er det nye plattformhierarkiet ment å brukes av plattformprodusenter. Hierarkiene Lagring og Godkjenning og Null-hierarkiet brukes av operativsystemer og operativsystem-nåværende programmer. TPM 2.0 har blitt spesifisert på en måte som gjør registrering og administrasjon mindre tungvint enn med 1.2. TPM 2.0 kan støtte RSA- og ECC-algoritmer for godkjenningsnøkler og SRK-er.

TPM 1.2 sammenlignet med 2.0 – Støttede applikasjoner og funksjoner:

Tabell 2: TPM 1.2 kontra 2.0 – Støttede applikasjoner og funksjoner

Se også følgende artikkel i Dells kunnskapsbase Dell-datamaskiner som kan oppgradere fra TPM versjon 1.2 til versjon 2.0.

Hvordan er diskré TPM 2.0 forskjellig fra fastvare-TPM (fTPM)?

En fastvarebasert TPM (fTPM) er en TPM som opererer ved hjelp av ressursene og konteksten til en multifunksjons-/funksjonsdatabehandlingsenhet (for eksempel en SoC, CPU eller et annet lignende databehandlingsmiljø).

En separat TPM implementeres som en isolert, separat funksjon eller funksjonsbrikke, med alle nødvendige databehandlingsressurser som finnes i den separate fysiske brikkepakken. En separat TPM har full kontroll over dedikerte interne ressurser (for eksempel flyktig minne, ikke-flyktig minne og kryptografisk logikk), og det er den eneste funksjonen som har tilgang til og bruker disse ressursene.

En fastvarebasert TPM har ikke sin egen dedikerte lagringsplass. Den er avhengig av operativsystem- og plattformtjenester for å gi den tilgang til lagring i plattformen. En av konsekvensene ved ikke å ha egen lagringsplass innebærer at det finnes et godkjenningsnøkkelsertifikat (EK). De diskrete TPM-enhetene kan leveres av TPM-produsenten til plattformprodusenten med EK-sertifikat som er installert i TPM-lagringen for TPM-godkjenningsnøkkelen. Dette er ikke mulig med fastvare-TPM. TPM-leverandører for fastvare gjør sertifikater tilgjengelige for sluttbrukere gjennom produsentspesifikke prosesser. For å skaffe EK-sertifikatet for en datamaskin, må plattformeiere kontakte brikkesettet/CPU-leverandøren for den plattformen.

Det kreves også en TCG-sertifisert separat TPM for å oppfylle samsvars- og sikkerhetskrav, inkludert forsterkning av brikken og dens interne ressurser, på samme måte som smartkort. TCG-samsvar bekrefter at TPM implementerer TCG-spesifikasjonene på riktig måte. Herdingen som kreves av TCG-sertifiseringen, gjør det mulig for en sertifisert separat TPM å beskytte seg mot mer kompliserte fysiske angrep.

Støttematrise for operativsystem:

Se også artikler i Dells kunnskapsbase:

• Oppgraderings- eller nedgraderingsprosess for Trusted Platform Module (TPM) for Windows 10-operativsystemet
• Vanlige spørsmål om Trusted Platform Module (TPM) for Windows 11

Støtte for operativsystemleverandør

Tabell 3: Støtte for operativsystemleverandør

• Windows 7 64-biters med SP konfigurert i UEFI + CSM-oppstartsmodus kan støtte TPM 2.0, støttet på enkelte plattformer.
• Windows 8 ble lansert med støtte for TPM 2.0, men støtter bare SHA-1.
• Krever Linux-oppstrømskjerneversjon 4.4 eller nyere. Distribusjonsleverandører av Linux kan velge å levere backport-støtte for eldre kjerneversjoner.
• Red Hat® Enterprise Linux® 7.3 og nyere har grunnleggende kjernestøtte. RHEL 7.4 har en teknisk forhåndsvisning av verktøyene i brukerområdet.
• Støttes på Ubuntu 16.04 og nyere.

Støtte for Dell Commercial Platform-operativsystem

Tabell 4: Støtte for Dell Commercial Platform-operativsystem

• Dell støtter TPM 2.0 med Windows 8 og 8.1 på et begrenset antall nettbrett og avtakbare personlige datamaskiner som støtter Microsoft Connected Standby.
• TPM 2.0-støtte er tilgjengelig på alle kommersielle plattformer våren 2016, og standard TPM-modus på Windows 10 er TPM 2.0.
• TPM 1.2 er ikke offisielt støttet av Dell med Linux, bortsett fra på utvalgte IoT-plattformer.
• Krever Red Hat® Enterprise Linux® 7.3 eller nyere. Brukeren kan være nødt til å endre TPM-modusen manuelt fra 1.2 til 2.0.
• Dell har samarbeidet med Canonical om TPM 2.0-støtte på klientdatamaskiner som leveres med TPM 2.0. Dette krever at Ubuntu 16.04 leveres med datamaskinen.

Anbefalte artikler

Her er noen anbefalte artikler relatert til dette emnet som kan være av interesse for deg.

• Dell-datamaskiner som kan oppgradere fra TPM versjon 1.2 til 2.0
• Oppgraderings- eller nedgraderingsprosess for TPM (Trusted Platform Module) for operativsystemet Windows 10
• Vanlige spørsmål om Trusted Platform Module (TPM) for Windows 11