TPM 1.2 proti TPM 2.0: razlike, prednosti in vse, kar morate vedeti o vašem računalniku

Sodobno računalništvo temelji na varnosti in zaščiti podatkov, in v tem kontekstu imajo čipi TPM ključno vlogo. Verjetno ste že slišali za module TPM, še posebej odkar Microsoft je TPM 2.0 uvedel kot obvezen za namestitev sistema Windows 11.. Toda kaj v resnici razlikuje TPM 1.2 od TPM 2.0? Kakšne koristi ima vsak? Ta članek razčleni podrobno in v preprostem jeziku, zasnovanem za tiste, ki želijo vedeti vse, preden nadgradijo ali konfigurirajo svoj računalnik.

Predstavljamo vam dokončen vodnik o razlikah, prednostih in slabostih TPM 1.2 v primerjavi s TPM 2.0, kako vplivajo na varnost vašega sistema in njihovo združljivost, zlasti z Windows 11, ter vključno z nasveti za aktivacijo in posodabljanje. Vse tehnične informacije boste našli prevedene v jasen jezik v kombinaciji z izkušnjami iz resničnega življenja in praktičnimi rešitvami.

Kaj je modul TPM in za kaj se uporablja?

TPM (Trusted Platform Module) To je čip – fizični ali logični –, ki je nameščen na matični plošči računalnika ali integriran neposredno v procesor. Njegova glavna funkcija je varno shranjevanje, kriptografske ključe potrebno za šifriranje, avtentikacijo in škorenj zavarovanje operacijskega sistema. TPM je zasnovan za zaščito, ustvarjanje in upravljanje občutljivih informacij, kot so skrbniška gesla, digitalna potrdila, biometrični podatki ali poverilnice za dostop.

Med najpogostejšimi uporabami so:

• Šifriranje diska z BitLockerjem ali podobnim.
• shranjevanje in ustvarjanje ključev za varno prijavo (npr. Windows Hello).
• Zaščita pred zlonamerna programska oprema na ravni zagona in preverjanje celovitosti sistema.
• Upravljanje potrdil in biometričnih podatkov.
• Podpora za napredno avtentikacijo v omrežjih podjetij in za uporabo virtualnih pametnih kartic.

Deluje kot digitalni sef, tako da zasebni ključ nikoli ne zapusti TPM. Tako niti zlonamerna programska oprema niti neposredni fizični napadi ne morejo zlahka dostopati do zaščitenih informacij.

Vrste TPM: diskretni, vdelana programska oprema in virtualni

Vsi TPM-ji niso enaki, glede na arhitekturo in proizvajalca pa najdemo več formatov:

• Diskretni TPM: To je fizični čip, spajkan ali povezan z matično ploščo, popolnoma neodvisen od ostalih komponent in z lastno namensko strojno opremo.
• Integriran TPM: Nahaja se znotraj procesorja ali SoC, vendar je logično izoliran od ostalih funkcij.
• TPM na osnovi vdelane programske opreme (fTPM): Deluje znotraj vdelane programske opreme UEFI BIOS in uporablja lastne vire sistema, čeprav na varen in ločen način od operacijskega sistema.
• Navidezni TPM (vTPM): Uporablja se predvsem v naprednih virtualizacijskih okoljih ali strežnikih in simulira delovanje programske opreme TPM znotraj virtualnega stroja.
• Programska oprema TPM: Preprosta emulacija, manj varna in usmerjena v razvojna in testna okolja.

V sodobnih računalnikih je najpogostejši TPM na osnovi vdelane programske opreme (fTPM)., zlasti na matičnih ploščah od leta 2016 naprej, z možnostjo aktiviranja neposredno iz BIOS-a/UEFI. Programske rešitve, razen za zelo specifične namene, niso priporočljive zaradi očitnih varnostnih razlogov.

Tehnične razlike med TPM 1.2 in TPM 2.0

Razvoj TPM z različice 1.2 na 2.0 predstavlja pomemben preskok v funkcionalnosti, varnosti in prilagodljivosti. Oglejmo si natančen pogled na ključne značilnosti, ki jih razlikujejo:

Podprti kriptografski algoritmi

Najpomembnejša razlika med obema različicama je podpora za vrste algoritmov šifriranja in zgoščevanja:

• TPM 1.2 podpira samo RSA (do 2048 bitov) in SHA-1, algoritem zgoščevanja, ki je trenutno opuščen, ker velja za ranljivega. To omejuje mednarodno kriptografsko robustnost in prilagodljivost novim grožnjam.
• TPM 2.0 dodaja podporo za SHA-2 (zlasti SHA-256), algoritme javnih ključev, kot je ECC (eliptične krivulje, kot sta P256 in BN256), in proizvajalcem omogoča dodajanje novih algoritmov z identifikatorji TCG. To pomeni večjo kriptografsko agilnost in varno prihodnost za nove varnostne standarde.
• Izboljšano je tudi upravljanje simetričnega algoritma: AES 128 postane obvezen v TPM 2.0, medtem ko je bil v 1.2 neobvezen; AES 256 ostaja kot napredna možnost.

Hierarhija in avtorizacijska struktura

Sistem "lastnik" se izboljša s TPM 1.2 na 2.0:

• TPM 1.2 ima eno avtorizacijo ("lastnik") in dva korenska ključa (EK za podpis/potrdilo in SRK za šifriranje), na katerih temeljijo ostale operacije.
• TPM 2.0 ločuje nadzor v več hierarhij: odobritev (EH), shranjevanje (SH), platforma (PH) in ničelna hierarhija. Vsak ima lahko različne lastnike in avtorizacijska pravila, kar izboljšuje natančno upravljanje in omogoča funkcije za proizvajalce sistemov, OS in uporabnike aplikacij.

To omogoča ločitev funkcij vzdrževanja, shranjevanja in varnosti, zaradi česar je vse bolj prilagodljivo in varno.

Podpora in združljivost aplikacij

Glavne aplikacije, ki podpirajo oboje, kot so BitLocker, UEFI Secure Boot, virtualne pametne kartice, Credential Guard in Microsoft Passport, delujejo na obeh različicah. Vendar:

• Nekatere podjetniške ali napredne aplikacije za šifriranje zdaj zahtevajo TPM 2.0., zlasti za izpolnjevanje varnostnih zahtev v podjetjih, javni upravi in ​​proizvajalcih strojne opreme.
• »DDP | ​​ST – OTP Client» je podprt v TPM 1.2, ne pa v 2.0, čeprav ta niansa vpliva na zelo specifične primere.

V praksi, TPM 2.0 je popolnoma nazaj združljiv z glavnimi varnostnimi pripomočki Windows in Linux, vendar omogoča preskok v kakovosti novih aplikacij in podpira širši nabor okolij za preverjanje pristnosti.

Obravnavanje napak in varnost proti udarcem

Zaščita pred napadi s surovo silo (surova sila ali "kladivo") je bolj robusten in standardiziran v TPM 2.0:

• V TPM 1.2 je bila implementacija in blokiranje nepravilnih poskusov odvisna od prodajalca in se je lahko zelo razlikovala.
• V TPM 2.0 je zaklepanje samodejno po 32 avtorizacijskih napakah, pri čemer se vsakih 10 minut pozabi ena napaka.. Ta pravilnik je nastavljiv in pomaga preprečevati slovarske napade, da bi vdrli kode PIN ali gesla, zaščitena s TPM.

Iz tega razloga so funkcije, kot sta BitLocker in Windows Hello, v zadnjih različicah povečale minimalno dolžino kode PIN in se prilagodile novi varnostni politiki ter tako bolje zaščitile pred napadi.

Podpora za operacijski sistem

Združljivost operacijskega sistema se močno razlikuje glede na različico TPM:

• TPM 1.2 je združljiv z Windows 7, 8, 8.1 in 10, kot tudi distribucije Linuxa (RHEL, Ubuntu od starejših različic).
• TPM 2.0 je obvezen za Windows 11, priporočljivo od Windows 10 naprej in podprto od Ubuntu 16.04 in RHEL 7.3. Nekatere napredne funkcije šifriranja delujejo samo z 2.0 in združljivimi različicami jedra.

Proizvajalci, kot je Dell in drugi, včasih dovolijo posodobitev vdelane programske opreme TPM z 1.2 na 2.0, če matična plošča in strojna oprema to podpirata (čeprav to ni vedno mogoče). Več podrobnosti o združljivosti sistema Windows 11 na ta povezava.

Spremembe in praktične prednosti TPM 2.0 v primerjavi s TPM 1.2

Poleg tehničnih razlik, Prehod s TPM 1.2 na 2.0 prinaša oprijemljive in praktične izboljšave za uporabnike in podjetja.:

• Večja varnost in varna prihodnost: Podpira močnejše algoritme in omogoča združljivost s prihodnjimi varnostnimi predpisi.
• Bolj skladna in preprosta izkušnja: Windows upravlja TPM 2.0 s standardiziranimi pravilniki, s čimer se izogne ​​težavam z nezdružljivostjo med različnimi znamkami ali modeli.
• Skladno z mednarodnimi predpisi (ISO/IEC 11889:2015), zahteva v številnih reguliranih okoljih.
• Boljša integracija s sodobno strojno in programsko opremo: Od UEFI Secure Boot, nadzora aplikacij, šifriranja naprave do podpore za biometrične iniciatorje.

TPM in Windows 11: obvezna zahteva

Zahteva TPM 2.0 za Windows 11 je pretresla trg osebnih računalnikov in sprožila številna vprašanja:

• Microsoft navaja, da Vsak osebni računalnik, ki želi namestiti Windows 11, mora imeti omogočen TPM 2.0 in varen zagon UEFI. Od leta 2016 so novi računalniki privzeto opremljeni s tem čipom, čeprav je morda onemogočen v BIOS-u.
• Če je vaš računalnik star več kot 5–7 let in nima TPM 2.0, je lahko posodabljanje zapleteno ali vključuje zamenjavo matične plošče in procesorja.
• Preverjanje lahko preprosto izvedete z "tpm.msc" iz zagonskega menija, iskanja Windows ali iz razdelka za varnost sistema (tudi iz terminal z «get-tpm»). Tukaj boste videli različico, če je aktivna in status modula.

Brez TPM 2.0, Windows 11 je mogoče namestiti samo z Tricks (s spreminjanjem registra ali uporabo »regedit«, da obidete preverjanja), vendar s to metodo izgubite številne varnostne funkcije, ki upravičujejo spremembo operacijskega sistema.

Kako vedeti, ali ima vaš računalnik TPM in kako ga aktivirati

Postopek za preverjanje in omogočanje TPM je preprost, čeprav se razlikuje glede na matično ploščo:

1. Pritisnite Windows + R in piši tpm mag. Če imate nameščen TPM, boste videli njegovo stanje, različico in možnosti upravljanja (aktivacija, brisanje, sprememba PIN itd.).
2. V administrador de dispositivos V operacijskem sistemu Windows bi se moralo pojaviti iskanje »Varnostne naprave« in »Trusted Platform Module 2.0«.
3. V možnosti Nastavitve > Posodobitev in varnost > Varnost sistema Windows > Varnost naprave > Varnostni procesor si lahko ogledate podrobnosti TPM.
4. Če je onemogočeno, morate običajno dostopati do BIOS-a/UEFI ob zagonu računalnika (F2, F10, DEL, odvisno od proizvajalca) in omogočiti možnost "PTT" (Intel), “fTPM” (AMD) ali preprosto “TPM”.

Oči: Če imate poslovni prenosnik ali drug računalnik, ki je star več kot 8 let, boste morda morali namestiti namenski čip ali pa vaša strojna oprema morda ne podpira TPM 2.0; v tem primeru lahko preprosto nadgradite na nov računalnik, da dobite popolno podporo.

TPM na matičnih ploščah: kako namestiti dodatnega

Če vaša matična plošča to omogoča, lahko dodate fizični čip TPM 2.0. kupljen pri priznanih blagovnih znamkah (ASUS, MSI, Gigabyte, ASRock), čeprav morate vedno zagotoviti združljivost z vašim modelom in številom priključnih nožic TPM. Postopek vključuje popolno zaustavitev računalnika, vstavljanje modula v priključek TPM na matični plošči (običajno v bližini rež RAM ali sprednjih vrat) in omogočanje funkcije iz BIOS-a.

Cena teh modulov se lahko razlikuje, vendar trenutno, če je oprema zelo stara, Običajno je veliko bolj praktično investirati v novo matično ploščo ali neposredno nadgradite celoten računalnik, saj je razlika v ceni majhna in zagotovite popolno združljivost z Windows 11 in prihodnjimi sistemi.

Prednosti uporabe TPM v računalniški varnosti

Delo z računalnikom, ki ima omogočen in pravilno konfiguriran TPM, nudi številne prednosti:

• Napredna zaščita pred krajo podatkov: Šifrirni ključi nikoli ne zapustijo čipa, tako da niti OS niti zlonamerna programska oprema nimata neposrednega dostopa do njih.
• Varnost pri upravljanju certifikatov, PIN in gesel: Bistvenega pomena za digitalne postopke, e-upravo in podjetja.
• Izboljša odpornost proti fizičnim in virtualnim napadom: Čipi TPM so certificirani in zasnovani tako, da se upirajo zahtevnim napadom strojne opreme.
• Omogoča varen zagon in ščiti postopek zagona: To prepreči zagon rootkitov ali zlonamerne programske opreme, še preden se operacijski sistem naloži.

V profesionalnem segmentu certificirani TPM (z odobritvijo TCG) izpolnjujejo zakonske zahteve in revizije oz kibernetska varnost, zaradi česar so bistveni v bančništvu, zdravstvu in upravi.

Morebitne ranljivosti TPM in vzdrževanje

Kot vsaka tehnologija lahko tudi TPM predstavlja določene ranljivosti:

• V starejših čipih (TPM 1.0 ali starejše različice vdelane programske opreme) so bile odkrite nekatere varnostne napake v operacijah BitLocker ali virtualnih pametnih karticah. Posodobitev vdelane programske opreme TPM in operacijskega sistema je ključnega pomena za zagotavljanje zaščite.
• TPM lahko "počistite" iz sistema Windows ali BIOS, preden znova namestite operacijski sistem, tako da inicializirate modul in odstranite stare ključe. S tem se izbrišejo vsa shranjena gesla, ključi in poverilnice, zato to storite le, če imate varnostno kopijo vsega pomembnega ali na priporočilo skrbnika.
• V poslovnih računalnikih je mogoče centralno upravljati lastniško geslo z uporabo imenika Active Directory, kar olajša obnovitev in vzdrževanje.

Za preverjanje vdelane programske opreme in stanja zaščite obstajajo ukazi kot »manage-bde -status« ali iz varnostnih možnosti sistema Windows. Priporočljivo je, da občasno preverite stanje in posodobite, kot je navedel proizvajalec.

Ali lahko namestim Windows 11 brez TPM 2.0?

Uradno ni mogoče namestiti sistema Windows 11 v računalnik brez omogočenega TPM 2.0. Vendar pa obstajajo alternativne metode (na lastno odgovornost), da zaobidete preverjanje med namestitvijo s spreminjanjem registra Windows. Tehnično to omogoča namestitev sistema na starejše računalnike ali tiste z nepodprtimi različicami TPM, vendar:

• Izgubili boste napredne varnostne funkcije, ki upravičujejo nadgradnjo na Windows 11.
• Ni priporočljivo za poslovna okolja ali za uporabnike, ki jih skrbi varstvo podatkov.
• V vseh primerih ne boste prejeli uradne podpore ali posodobitev, stabilnost pa je lahko ogrožena.

Najboljša možnost je, da nadgradite matično ploščo, kupite združljiv računalnik ali omogočite/posodobite TPM, če je to mogoče. Za več podrobnosti se posvetujte Kako zaobiti zahteve glede računa v sistemu Windows 11.

Povezani članek:

Vse različice sistema Windows 11 in njihove razlike so podrobno razložene

Isaac

Strasten pisec o svetu bajtov in tehnologije nasploh. Rad delim svoje znanje s pisanjem in to je tisto, kar bom počel v tem blogu, saj vam bom pokazal vse najbolj zanimive stvari o pripomočkih, programski opremi, strojni opremi, tehnoloških trendih in še več. Moj cilj je, da vam pomagam krmariti po digitalnem svetu na preprost in zabaven način.