Trusted Platform Module (TPM)

Technologie Trusted Platform Module (TPM) je navržena tak, aby poskytovala hardwarové funkce související se zabezpečením. Čip TPM je zabezpečený kryptografický procesor, který je určen k provádění kryptografických operací. Čip obsahuje několik fyzických bezpečnostních mechanismů, díky nimž je odolný proti neoprávněné manipulaci, a škodlivý software není schopen manipulovat s bezpečnostními funkcemi čipu TPM.

Prosinec 6, 2022 - 15:46 Aktualizováno: Listopad 6, 2023 - 00:47
9256
Trusted Platform Module (TPM)

Co je čip TPM

Trusted Platform Module (TPM, známý také jako ISO/IEC 11889) je mezinárodní standard pro bezpečné šifrovací procesory. Jedná se o specializovaný mikroprocesor, který chrání hardware integrací kryptografických klíčů. Čipy TPM jsou buď integrovány do základní desky počítače, nebo jsou přidány k procesoru.

Od října 1999 do března 2003 skupina IT gigantů, včetně společností Microsoft, HP, IBM a Sony, společně zasponzorovala  organizaci Trusted Computing Group (TCG). Předpokladem bylo, že vyvinou příslušné normy a specifikace spolehlivých počítačů z hlediska hardwaru a softwaru napříč platformami a operačním prostředím a předloží specifikaci TPM. Poslední revidované vydání hlavní specifikace TPM verze 1.2 bylo zveřejněno 3. března 2011. Nejnovější verze TPM je 2.0.

Čipy kompatibilní s PM musí mít především schopnost generovat šifrovací a dešifrovací klíče, musí být schopny provádět vysokorychlostní šifrování a dešifrování dat a také sloužit jako pomocný procesor pro ochranu systému BIOS a operačního systému před modifikací.

Co dělá čip TPM 

Čip TPM má širokou škálu využití a lze jej použít především k identifikaci zařízení, ověřování pravosti, šifrování a ověřování integrity zařízení. 

Integrita platformy

Hlavním úkolem čipu TPM je zajistit integritu jakéhokoli počítačového zařízení bez ohledu na jeho operační systém. Je navržen tak, aby zajistil, že proces spouštění systému začíná důvěryhodnou kombinací hardwaru a softwaru a pokračuje až do úplného spuštění operačního systému a spuštění aplikace.

Odpovědnost za zajištění integrity při použití TPM nese firmware a operační systém. Například rozhraní UEFI (Unified Extensible Firmware Interface) může využívat TPM k vytvoření kořene důvěryhodnosti. Mezi další příklady integrity platformy prostřednictvím čipu TPM patří používání licencí Microsoft Office 365, TXT a Outlook.

Šifrování libovolného oddílu pevného disku

Pomocí technologie TPM můžeme zašifrovat libovolný oddíl pevného disku. Někteří výrobci počítačů používají funkci obnovení jedním kliknutím, která je jedním z nejkoncentrovanějších projevů tohoto účelu (umístí obraz systému do oddílu šifrovaného čipem TPM). Některé velké komerční softwarové společnosti (např. Microsoft) ji používají také jako prostředek k šifrování diskových oddílů (např. BitLocker).

Profesionální obnova dat z šifrovaných disků a dalších typů paměťových zařízení má šanci na úspěch pouze v případě, jsou-li k dispozici údaje opravňující k přístupu k datům. Mohou to být klíče, obnovovací klíče, hesla, piny atp. Pokud tedy máte tedy např. poškozený externí disk u kterého používáte šifrovaní, pak jsem schopní po vyřešení hardwarového problému a dodání přístupových údajů data obnovit.

Ukládání a správa hesel

Operační systémy obvykle vyžadují ověřování (zahrnující hesla nebo jiné metody) k ochraně klíčů, dat nebo systémů. Dnes jsou tyto klíče skutečně uloženy v paměťové buňce ztuhlé v čipu a jejich informace se neztratí ani při výpadku napájení. Ve srovnání s hesly pro správu systému BIOS je bezpečnostní čip TPM mnohem bezpečnější.

Jaký je rozdíl mezi čipy TPM 1.2 a TPM 2.0?

Specifikace čipu TPM 1.2 umožňuje používat pouze hashovací algoritmy RSA a SHA-1. TPM 2.0 umožňuje větší flexibilitu šifrování, protože je flexibilnější z hlediska šifrovacích algoritmů. TPM 2.0 podporuje novější algoritmy, které zlepšují výkon podepisování disků a generování klíčů.

Jednoduše řečeno, technologie TPM 2.0 je novější než technologie TPM 1.2, která je k dispozici od roku 2011. Má silnější šifrování, vyšší zabezpečení a lepší podporu novějších algoritmů. Stejně jako u většiny technologií platí, že čím novější, tím lepší.

Společnost Microsoft vyžaduje TPM 2.0 v systému Windows 11

Společnost Microsoft bere zabezpečení svých systémů již dlouho velmi vážně. Dělá to tak, že zajišťuje, aby operační systém byl podporován určitým hardwarem, například čipem TPM 2.0.

Ačkoli systém Windows 10 může dobře fungovat i bez čipu TPM, systém Windows 11 pro instalaci systému TPM2.0 výslovně vyžaduje (ačkoliv je možné i tuto restrikci technicky obejít). Počítač může být vystaven čemukoli od phishingových útoků až po útoky ransomwaru, které způsobí vážné škody. S čipem TPM 2.0 se bezpečnostní hrozba pro operační systém Windows jistě do jisté míry snižuje.   

Od 28. července 2016 musí všechny nově vyrobené počítače se systémem Windows ve výchozím nastavení povolit čip TPM 2.0. Pokud si kupujete notebook, stolní počítač, zařízení 2 v 1 nebo jakékoli jiné zařízení, které se dodává s předinstalovaným systémem Windows 10, společnost Microsoft vyžaduje, aby výrobce zahrnul čip TPM 2.0

Jak zkontrolovat, zda je váš počítač vybaven čipem TPM 2.0

Pokud váš počítač splňuje ostatní minimální systémové požadavky systému Windows 11, může podporovat čip TPM 2.0. Pokud jste počítač zakoupili po roce 2016, je téměř jistě vybaven čipem TPM 2.0. Pokud je váš počítač starší než několik let nebo jste si počítač postavili sami, můžete si koupit základní desku bez čipu TPM 2.0, který systém Windows 11 vyžaduje.

Stav TPM 2.0 systému Windows 11 můžete zkontrolovat podle níže uvedeného způsobu.

  • Krok 1. Stisknutím kláves Win+R spusťte okno "Spustit"
  • Krok 2. Do pole Spustit zadejte příkaz tpm.msc a klikněte na tlačítko "OK".
  • Krok 3. Poté se může zobrazit jeden z následujících výsledků:

TPM je připraven k použití s některými podrobnými informacemi.

Konzole správy TPM v prostředí Windows