TPM 1.2 vs TPM 2.0: erinevused, eelised ja kõik, mida peate oma arvuti jaoks teadma

Kaasaegne andmetöötlus on seotud turvalisuse ja andmekaitsega, ja selles kontekstis mängivad TPM-kiibid võtmerolli. Tõenäoliselt olete kuulnud TPM-moodulitest, eriti kuna Microsoft muutis TPM 2.0 Windows 11 installimiseks kohustuslikuks.. Kuid mis eristab TPM 1.2 tegelikult TPM 2.0-st? Milliseid eeliseid on igaühel neist? See artikkel jagab selle üksikasjalikult ja arusaadavas keeles, mis on mõeldud neile, kes soovivad enne arvuti uuendamist või konfigureerimist kõike teada.

Esitame teile lõpliku juhendi TPM 1.2 ja TPM 2.0 erinevuste, eeliste ja puuduste kohta, kuidas need mõjutavad teie süsteemi turvalisust ja nende ühilduvust, eriti Windows 11-ga, ning sisaldavad nõuandeid aktiveerimiseks ja värskendamiseks. Leiate kogu tehnilise teabe selgesse keelde tõlgituna koos reaalsete kogemuste ja praktiliste lahendustega.

Mis on TPM-moodul ja milleks seda kasutatakse?

TPM (usaldusväärse platvormi moodul) See on füüsiline või loogiline kiip, mis paigaldatakse arvuti emaplaadile või integreeritakse otse protsessorisse. Selle põhiülesanne on ohutu ladustamine, krüptograafilised võtmed vajalik krüptimiseks, autentimiseks ja saabas operatsioonisüsteemi kindlustus. TPM on loodud tundliku teabe, näiteks administraatoriparoolide, digitaalsete sertifikaatide, biomeetriliste andmete või juurdepääsumandaatide kaitsmiseks, genereerimiseks ja haldamiseks.

Selle kõige levinumate kasutusviiside hulgas on järgmised:

• Ketta krüptimine BitLockeri või sarnasega.
• ladustamine ja võtme genereerimine turvaliseks sisselogimiseks (nt Windows Hello).
• Kaitse vastu malware alglaadimise tasemel ja süsteemi terviklikkuse kontrollimisel.
• Sertifikaatide ja biomeetriliste andmete haldamine.
• Tugi täiustatud autentimisele ettevõtte võrkudes ja virtuaalsete kiipkaartide kasutamisele.

See töötab nagu digitaalne seif, nii et privaatvõti ei lahku kunagi TPM-ist. Nii ei pääse kaitstud teabele kergesti ligi pahavara ega otsesed füüsilised rünnakud.

TPM-i tüübid: diskreetne, püsivara ja virtuaalne

Kõik TPM-id ei ole ühesugused, ning olenevalt arhitektuurist ja tootjast leiame mitu vormingut:

• Diskreetne TPM: See on füüsiline kiip, mis on joodetud või emaplaadiga ühendatud, ülejäänud komponentidest täiesti sõltumatu ja oma spetsiaalse riistvaraga.
• Integreeritud TPM: See asub protsessori või SoC sees, kuid on ülejäänud funktsioonidest loogiliselt isoleeritud.
• Püsivarapõhine TPM (fTPM): See töötab UEFI püsivara sees BIOS ja kasutab süsteemi omaressursse, kuigi turvalisel ja operatsioonisüsteemist eraldiseisval viisil.
• Virtuaalne TPM (vTPM): Kasutatakse peamiselt täiustatud virtualiseerimiskeskkondades või serverites, simuleerib see tarkvara TPM-i funktsiooni virtuaalmasinas.
• Tarkvara TPM: Lihtne emuleerimine, vähem turvaline ja arendus- ja testimiskeskkondadele orienteeritud.

Kaasaegsetes arvutites on kõige tavalisem TPM püsivarapõhine (fTPM), eriti emaplaatidel alates 2016. aastast, võimalusega see aktiveerida otse BIOS-ist/UEFI-st. Tarkvaralahendusi, välja arvatud väga spetsiifilised kasutusalad, ei soovitata ilmselgetel turvakaalutlustel.

Tehnilised erinevused TPM 1.2 ja TPM 2.0 vahel

TPM-i areng versioonilt 1.2 versioonile 2.0 tähistab olulist hüpet funktsionaalsuses, turvalisuses ja paindlikkuses. Vaatame selgelt põhifunktsioone, mis neid eristavad:

Toetatud krüptoalgoritmid

Kõige olulisem erinevus mõlema versiooni vahel on toetus krüpteerimis- ja räsialgoritmide tüübid:

• TPM 1.2 toetab ainult RSA-d (kuni 2048 bitti) ja SHA-1, räsialgoritm, mis on praegu aegunud, kuna seda peetakse haavatavaks. See piirab rahvusvahelist krüptotöökindlust ja kohanemisvõimet uute ohtudega.
• TPM 2.0 lisab toe SHA-2-le (eriti SHA-256), avaliku võtme algoritmidele, nagu ECC (elliptilised kõverad nagu P256 ja BN256), ja võimaldab tootjatel lisada uusi TCG identifikaatoritega algoritme. See tähendab suuremat krüptograafilist paindlikkust ja kindlat tulevikku uutele turvastandarditele.
• Samuti on täiustatud sümmeetrilise algoritmi haldust: AES 128 muutub TPM 2.0 puhul kohustuslikuks, samas kui versioonis 1.2 oli see valikuline; AES 256 jääb täiustatud valikuks.

Hierarhia ja volituste struktuur

"Omaniku" süsteem paraneb TPM 1.2-lt 2.0-le:

• TPM 1.2-l on üks volitus ("omanik") ja kaks juurvõtit (EK allkirja/tõendi jaoks ja SRK krüpteerimiseks), millel põhinevad ülejäänud toimingud.
• TPM 2.0 jagab juhtimise mitmeks hierarhiaks: heakskiit (EH), salvestusruum (SH), platvorm (PH) ja nullhierarhia. Igal neist võivad olla erinevad omanikud ja autoriseerimisreeglid, mis parandavad üksikasjalikku haldust ja võimaldavad süsteemitootjatele, OS-i ja rakenduste kasutajatele funktsioone.

See võimaldab hooldus-, ladustamis- ja turvafunktsioonid eraldada, muutes kõik paindlikumaks ja turvalisemaks.

Rakenduste tugi ja ühilduvus

Mõlemat toetavad peamised rakendused, nagu BitLocker, UEFI Secure Boot, virtuaalsed kiipkaardid, Credential Guard ja Microsoft Passport, töötavad mõlema versiooniga. Siiski:

• Mõned ettevõtte või täiustatud krüpteerimisrakendused nõuavad nüüd TPM 2.0., eelkõige ettevõtete, avaliku halduse ja riistvaratootjate turvanõuete täitmiseks.
• DDP | ​​ST – OTP klienti toetab TPM 1.2, kuid mitte 2.0, kuigi see nüanss mõjutab väga spetsiifilisi juhtumeid.

Praktikas, TPM 2.0 on täielikult tagasiühilduv Windowsi peamiste turbeutiliitidega ja Linux, kuid see võimaldab saavutada uute rakenduste kvaliteedihüppe ja toetab laiemat valikut autentimiskeskkondi.

Vigade käsitlemine ja löögivastane turvalisus

Kaitse toore jõu rünnakute eest (toores jõud või "haamer") on TPM 2.0-s tugevam ja standardiseeritud:

• TPM 1.2-s sõltus ebaõigete katsete rakendamine ja blokeerimine müüjast ja võib olla väga erinev.
• TPM 2.0 puhul on lukustus automaatne pärast 32 autoriseerimisviga, unustades ühe vea iga 10 minuti järel.. See reegel on konfigureeritav ja aitab vältida sõnastikurünnakuid TPM-iga kaitstud PIN-koodide või paroolide murdmiseks.

Sel põhjusel on sellised funktsioonid nagu BitLocker ja Windows Hello viimastes versioonides suurendanud PIN-koodi minimaalset pikkust, kohandudes uue turvapoliitikaga ja kaitstes seeläbi paremini rünnakute eest.

Operatsioonisüsteemi tugi

Operatsioonisüsteemi ühilduvus varieerub oluliselt sõltuvalt TPM-i versioonist:

• TPM 1.2 ühildub Windows 7, 8, 8.1 ja 10, samuti Linuxi distributsioonid (RHEL, Ubuntu vanematest versioonidest).
• TPM 2.0 on Windows 11 jaoks kohustuslik, soovitatav alates Windows 10-st ja toetatud alates Ubuntu 16.04 ja RHEL 7.3. Mõned täpsemad krüptimisfunktsioonid töötavad ainult versiooniga 2.0 ja ühilduvate kerneli versioonidega.

Tootjad, nagu Dell ja teised, lubavad mõnikord värskendada TPM-i püsivara 1.2-lt 2.0-le, kui emaplaat ja riistvara seda toetavad (kuigi see pole alati võimalik). Lisateavet Windows 11 ühilduvuse kohta leiate aadressilt seda linki.

TPM 2.0 muudatused ja praktilised eelised võrreldes TPM 1.2-ga

Lisaks tehnilistele erinevustele TPM 1.2-lt 2.0-le üleminek toob kasutajatele ja ettevõtetele käegakatsutavaid ja praktilisi täiustusi.:

• Suurem turvalisus ja kindel tulevik: Toetab tugevamaid algoritme ja võimaldab ühilduvust tulevaste turvaeeskirjadega.
• Sidusam ja lihtsam kogemus: Windows haldab TPM 2.0 standardiseeritud poliitikatega, vältides erinevate kaubamärkide või mudelite kokkusobimatuse probleeme.
• Vastab rahvusvahelistele eeskirjadele (ISO/IEC 11889:2015), nõue paljudes reguleeritud keskkondades.
• Parem integratsioon kaasaegse riist- ja tarkvaraga: Alates UEFI Secure Bootist, rakenduste juhtimisest, seadme krüptimisest kuni biomeetriliste algatajate toeni.

TPM ja Windows 11: kohustuslik nõue

TPM 2.0 nõue Windows 11 jaoks on arvutiturgu raputanud ja tekitanud palju küsimusi:

• Microsoft väidab seda Igas arvutis, mis soovib installida Windows 11, peab olema lubatud TPM 2.0 ja turvaline alglaadimine UEFI. Alates 2016. aastast on uutel arvutitel see kiip vaikimisi kaasas, kuigi see võib olla BIOS-is keelatud.
• Kui teie arvuti on vanem kui 5-7 aastat ja sellel pole TPM 2.0, võib selle värskendamine olla keeruline või hõlmata emaplaadi ja protsessori väljavahetamist.
• Kontrolli saab hõlpsasti teha "tpm.msc" abil käivitamismenüüst, Windowsi otsingust või süsteemi turvalisuse jaotisest (ka terminal koos "get-tpm"). Siin näete versiooni, kui see on aktiivne, ja mooduli olekut.

Ilma TPM 2.0ta, Windows 11 saab installida ainult koos Trikid (registrit muutes või kontrollidest möödahiilimiseks "regedit" kasutades), kuid selle meetodiga kaotate paljud turvafunktsioonid, mis õigustavad operatsioonisüsteemi muutmist.

Kuidas teada saada, kas teie arvutil on TPM ja kuidas seda aktiveerida

TPM-i kontrollimise ja lubamise protsess on lihtne, kuigi see sõltub emaplaadist:

1. Vajutage Windows + R ja kirjutada tpm.msc. Kui teil on installitud TPM, näete selle olekut, versiooni ja haldusvalikuid (aktiveerimine, kustutamine, PIN-koodi muutmine jne).
2. Aastal seadme administraator Windowsis otsige "Turvaseadmed" ja "Trusted Platform Module 2.0".
3. TPM-i üksikasju saate vaadata jaotises Seaded > Värskendus ja turve > Windowsi turve > Seadme turvalisus > Turvaprotsessor.
4. Kui see on keelatud, peate tavaliselt arvuti käivitamisel pääsema juurde BIOS-ile/UEFI-le (F2, F10, DEL, olenevalt tootjast) ja lubama suvandi "PTT" (Intel), "fTPM" (AMD) või lihtsalt "TPM".

Silm: Kui teil on ettevõtte sülearvuti või muu arvuti, mis on vanem kui 8 aastat, peate võib-olla installima spetsiaalse kiibi või teie riistvara ei toeta TPM 2.0. Sel juhul saate täieliku toe saamiseks lihtsalt uuele arvutile üle minna.

TPM emaplaatidel: kuidas installida täiendav

Kui emaplaat seda võimaldab, saab lisada füüsilise TPM 2.0 kiibi. ostetud tunnustatud kaubamärkidelt (ASUS, MSI, Gigabyte, ASRock), kuigi peaksite alati tagama ühilduvuse teie mudeli ja TPM-pistiku kontaktide arvuga. Protsess hõlmab arvuti täielikku väljalülitamist, mooduli sisestamist emaplaadi TPM-pistikusse (tavaliselt RAM-i pesade või esiportide lähedal) ja funktsiooni lubamist BIOS-ist.

Nende moodulite hind võib erineda, kuid praegu, kui seadmed on väga vanad, Tavaliselt on palju otstarbekam investeerida uude emaplaadisse või uuendage otse kogu arvutit, kuna kulude erinevus on väike ja tagate täieliku ühilduvuse Windows 11 ja tulevaste süsteemidega.

TPM-i kasutamise eelised arvutiturvalisuses

Töötamine arvutiga, millel on lubatud ja õigesti konfigureeritud TPM, pakub mitmeid eeliseid.

• Täiustatud kaitse andmete varguse vastu: Krüpteerimisvõtmed ei lahku kunagi kiibist, seega pole OS-il ega pahavaral neile otsest juurdepääsu.
• Turvalisus sertifikaatide, PIN-koodide ja paroolide haldamisel: Digitaalsete protseduuride, e-halduse ja ettevõtete jaoks hädavajalik.
• Parandab vastupidavust füüsilistele ja virtuaalsetele rünnakutele: TPM-kiibid on sertifitseeritud ja loodud vastu pidama keerukatele riistvararünnakutele.
• Lubab turvalise alglaadimise ja kaitseb käivitusprotsessi: See takistab juurkomplektide või pahavara käivitamist isegi enne operatsioonisüsteemi laadimist.

Professionaalses segmendis vastavad sertifitseeritud TPM-id (TCG heakskiiduga) juriidilistele nõuetele ja audititele küberjulgeolekmuutes need oluliseks panganduses, tervishoius ja halduses.

Võimalikud TPM-i haavatavused ja hooldus

Nagu iga tehnoloogia, võib ka TPM-il olla spetsiifilisi haavatavusi:

• Vanemates kiipides (TPM 1.0 või varasemates püsivara versioonides) on BitLockeri toimingutes või virtuaalsetes kiipkaartides tuvastatud mõningaid turvavigu. TPM-i ja operatsioonisüsteemi püsivara värskendamine on kaitse tagamiseks ülioluline.
• Enne operatsioonisüsteemi uuesti installimist saate TPM-i Windowsist või BIOS-ist "tühjendada", lähtestades mooduli ja eemaldades vanad võtmed. See kustutab kõik salvestatud paroolid, võtmed ja mandaadid, seega tuleks seda teha ainult siis, kui teil on kõigest olulisest varukoopia või administraatori soovitusel.
• Ettevõtte arvutites saab omaniku parooli tsentraalselt hallata Active Directory abil, mis muudab selle taastamise ja hooldamise lihtsaks.

Püsivara ja kaitse oleku kontrollimiseks on olemas käsud kui "manage-bde -status" või Windowsi turvasuvanditest. Soovitatav on perioodiliselt kontrollida olekut ja värskendada vastavalt tootja juhistele.

Kas ma saan installida Windows 11 ilma TPM 2.0ta?

Ametlikult ei saa Windows 11 installida arvutisse, kus TPM 2.0 pole lubatud. Siiski on alternatiivseid meetodeid (omal vastutusel), et installimise ajal kontrollist mööda minna, muutes Windowsi registrit. Tehniliselt võimaldab see süsteemi installida vanematesse või toetamata TPM-i versioonidega arvutitesse, kuid:

• Kaotate täiustatud turvafunktsioonid, mis õigustavad Windows 11 versioonile üleminekut.
• Ei soovitata ärikeskkondadele ega andmekaitse pärast muretsevatele kasutajatele.
• Te ei saa kõigil juhtudel ametlikku tuge ega värskendusi ning stabiilsus võib olla ohus.

Parim võimalus on uuendada oma emaplaati, osta ühilduv arvuti või võimalusel lubada/värskendada TPM. Lisateabe saamiseks konsulteerige Kuidas Windows 11-s kontonõuetest mööda minna.

Seotud artikkel:

Kõik Windows 11 versioonid ja nende erinevused on üksikasjalikult selgitatud

Isaac

Kirglik kirjanik baitide maailmast ja üldse tehnoloogiast. Mulle meeldib jagada oma teadmisi kirjutamise kaudu ja just seda ma selles ajaveebis teengi, näitan teile kõike kõige huvitavamat vidinate, tarkvara, riistvara, tehnoloogiliste suundumuste ja muu kohta. Minu eesmärk on aidata teil digimaailmas lihtsal ja meelelahutuslikul viisil navigeerida.