Trusted platform module что это

Обзор технологии доверенного платформенного модуля

В этой статье описывается доверенный платформенный модуль (TPM) и его использование в Windows для управления доступом и проверки подлинности.

Описание компонента

Технология доверенного платформенного модуля (TPM) предназначена для предоставления аппаратных функций, связанных с безопасностью. Микросхема TPM — это защищенный криптографический процессор, предназначенный для выполнения криптографических операций. Микросхема имеет несколько физических механизмов обеспечения безопасности, которые делают ее устойчивой к несанкционированному вмешательству, и вредоносное программное обеспечение не может взломать функции безопасности TPM. Ниже приведены некоторые преимущества использования технологии доверенного платформенного платформенного модуля.

создание, сохранение и ограничение использования криптографических ключей;
Используйте его для проверки подлинности устройства с помощью уникального ключа RSA доверенного платформенного модуля, который сгорает в микросхему.
Помогите обеспечить целостность платформы, принимая и сохраняя измерения безопасности процесса загрузки.

Самые распространенные функции TPM используются для оценки целостности системы, а также для создания и применения ключей. Во время загрузки системы загружаемый загрузочный код (в том числе встроенное ПО и компоненты операционной системы) можно проверить и записать в модуль TPM. Оценку целостности можно использовать для проверки запуска системы и подтверждения того, что ключ на основе TPM использовался, только когда система была загружена с правильным программным обеспечением.

Ключи на основе доверенного платформенного модуля можно настроить различными способами. Например, можно сделать ключ на основе TPM недоступным за пределами модуля. Это удобно для защиты от фишинга, так как в этом случае ключ не может быть скопирован и использован без TPM. Ключи на основе TPM также можно настроить для ввода значения авторизации. Если происходит слишком много неправильных предположений авторизации, доверенный платформенный модуль активирует логику атаки словаря и предотвращает дальнейшие угадки значений авторизации.

Разные версии TPM определены в спецификации организации TCG. Дополнительные сведения см. на веб-сайте TCG.

Требования к выпуску и лицензированию Windows

В следующей таблице перечислены выпуски Windows, поддерживающие доверенный платформенный модуль (TPM):

Windows Pro	Windows Корпоративная	Windows Pro для образовательных учреждений/SE	Windows для образовательных учреждений
Да	Да	Да	Да

Права на лицензии доверенного платформенного модуля (TPM) предоставляются следующими лицензиями:

Windows Pro/Pro для образовательных учреждений/SE	Windows Корпоративная E3	Windows Корпоративная E5	Windows для образовательных учреждений A3	Windows для образовательных учреждений A5
Да	Да	Да	Да	Да

Дополнительные сведения о лицензировании Windows см. в статье Обзор лицензирования Windows.

Автоматическая инициализация TPM в Windows

Начиная с Windows 10 и Windows 11 операционная система автоматически инициализирует TPM и берет его под контроль. Это означает, что в большинстве случаев мы не рекомендуем настраивать TPM с помощью консоли управления TPM, TPM.msc. Существует несколько исключений, в основном связанных со сбросом или чистой установкой на компьютере. Дополнительные сведения см. в разделе Удаление всех ключей из TPM.

В некоторых корпоративных сценариях в Windows 10 версии 1507 и 1511 можно использовать групповую политику для резервного копирования значения авторизации владельца TPM в Active Directory. Состояние TPM сохраняется для разных установок операционной системы, поэтому данные TPM хранятся в Active Directory отдельно от объектов-компьютеров.

Практическое применение

На компьютерах с TPM можно устанавливать и создавать сертификаты. После подготовки компьютера закрытый ключ RSA для сертификата привязывается к TPM и не может быть экспортирован. TPM также можно использовать в качестве замены смарт-картам, что сокращает затраты, связанные с созданием и оплатой смарт-карт.

Автоматизированная подготовка в TPM снижает стоимость развертывания TPM на предприятии. Новые API для управления TPM могут определить, требуется ли для подготовки TPM физическое присутствие специалиста для подтверждения запросов на изменение состояния TPM во время загрузки.

Программное обеспечение для защиты от вредоносных программ может использовать загрузочные измерения состояния запуска операционной системы, чтобы доказать целостность компьютера под управлением Windows. Эти измерения включают запуск Hyper-V для проверки того, что центры обработки данных, использующие виртуализацию, не работают с ненадежными гипервизорами. Вместе с сетевой разблокировкой BitLocker ИТ-администраторы могут передавать обновление, при этом компьютер не будет ожидать ввода ПИН-кода.

В TPM есть ряд параметров групповой политики, которые могут быть полезны в некоторых корпоративных сценариях. Дополнительные сведения см. в разделе Параметры групповой политики TPM.

Аттестация работоспособности устройства

Аттестация работоспособности устройства позволяет предприятиям установить отношение доверия на основе аппаратных и программных компонентов управляемого устройства. С помощью аттестации тепла устройства можно настроить сервер MDM для запроса службы аттестации работоспособности, которая разрешает или запрещает управляемому устройству доступ к защищенному ресурсу.

Некоторые проблемы безопасности, которые можно проверка на устройствах:

Предотвращение выполнения данных поддерживается и включено?
Шифрование диска BitLocker поддерживается и включено?
Безопасная загрузка поддерживается и включена?

Windows поддерживает аттестацию работоспособности устройств с TPM 2.0. Доверенный платформенный модуль 2.0 требует встроенного ПО UEFI. Устройство с устаревшей версией BIOS и TPM 2.0 не будет работать должным образом.

Поддерживаемые версии для подтверждения работоспособности устройства

Версия TPM	Windows 11	Windows 10	Windows Server 2022	Windows Server 2019	Windows Server 2016
TPM 1.2	>= версия 1607	Да	>= версия 1607
TPM 2.0	Да	Да	Да	Да	Да

Что такое доверенный платформенный модуль (TPM)?

Доверенный платформенный модуль (TPM) используется для повышения безопасности компьютера. Он используется такими службами, как шифрование диска BitLocker, Windows Hello и другие, для безопасного создания и хранения криптографических ключей, а также для подтверждения того, что операционная система и встроенное ПО на вашем устройстве соответствуют указанным сведениям и не были изменены.

Как правило, это отдельная микросхема на системной плате, хотя стандарт TPM 2.0 позволяет изготовителям, например Intel или AMD, встраивать возможности доверенного платформенного модуля в набор микросхем.

Изображение компьютерных микросхем

Доверенный платформенный модуль используется уже более 20 лет и входит в состав компьютеров с 2005 г. В 2016 г. версия TPM 2.0 (текущая версия на момент написания этой статьи) стала стандартом для новых компьютеров.

Что такое криптографический ключ?

Когда вы шифруете данные, чтобы защитить их от посторонних глаз, программа для шифрования берет фрагмент данных, который нужно зашифровать, и объединяет его с длинной случайной строкой символов, чтобы создать новый (зашифрованный) фрагмент данных. Длинная случайная строка символов, используемая программой для шифрования, является криптографическим ключом.

Примечание: Незашифрованные данные называются «открытым текстом». Зашифрованная версия этих данных называется «зашифрованным текстом».

Расшифровать такой текст и прочитать исходный фрагмент данных может только пользователь, у кого есть правильный криптографический ключ.

Имеется ли на моем компьютере доверенный платформенный модуль?

Существует высокая вероятность того, что на вашем компьютере уже есть доверенный платформенный модуль и, если ему менее 5 лет, это версия TPM 2.0.

Чтобы узнать, есть ли доверенный платформенный модуль на вашем компьютере с Windows 10, выберите Пуск > Параметры > Обновление и безопасность > Безопасность Windows > Безопасность устройства. Если он у вас есть, на экране будет отрезок Процессор безопасности.

Ссылка на сведения об обработчике безопасности

Совет: Если вы не видите раздел Процессор безопасности, возможно, на вашем устройстве есть TPM, но она отключена. Чтобы узнать, как включить его, см. статью Включение TPM 2.0 на компьютере.

Далее нужно узнать, какая версия доверенного платформенного модуля есть на вашем компьютере. Выберите Сведения об обработчике безопасности и на появившемся экране найдите версию спецификации. Должна быть указана версия 1.2 или 2.0.

Важно: Для Windows 11 требуется TPM 2.0. Дополнительные сведения см. в статье Требования к системе для Windows 11.

Хотите узнать больше о доверенном платформенном модуле? См. статью Обзор технологии доверенного платформенного модуля.

Что такое ТРМ (Trusted Platform Module)?

Доверенный платформенный модуль (TPM) – это микросхема, предназначенная для реализации основных функций, связанных с обеспечением безопасности, главным образом с использованием ключей шифрования. Модуль TPM обычно установлен на материнской плате настольного или переносного компьютера и осуществляет взаимодействие с остальными компонентами системы посредством системной шины.
Компьютеры, оснащенные модулем TPM (рис. 1), имеют возможность создавать криптографические ключи и зашифровывать их таким образом, что они могут быть расшифрованы только модулем TPM (рис. 2). Данный процесс, часто называемый «сокрытием» ключа («wrapping» key) или «привязкой» ключа («binding» key), помогает защитить ключ от раскрытия. В каждом модуле TPM есть главный скрытый ключ, называемый ключом корневого хранилища (Storage Root Key, SRK), который хранится в самом модуле TPM. Закрытая часть ключа, созданная в TPM, никогда не станет доступна любому другому компоненту системы, программному обеспечению, процессу или пользователю.
Компьютеры, оснащенные модулем TPM, также могут создавать ключи, которые будут не только зашифрованы, но и привязаны к определенной системной конфигурации. Такой тип ключа может быть расшифрован только в том случае, если характеристика платформы, на которой его пытаются расшифровать, совпадает с той, на которой этот ключ создавался. Данный процесс называется «запечатыванием» ключа в модуле TPM. Дешифрование его называется «распечатыванием» («unsealing»). Модуль TPM также может запечатывать и распечатывать данные, созданные вне модуля TPM. При использовании запечатанного ключа и такого программного обеспечения, как BitLocker™ Drive Encryption, Вы можете обеспечить блокировку данных до тех пор, пока они не будут перенесены на компьютер с подходящей аппаратной или программной конфигурацией.
При использовании модуля TPM закрытая часть пар ключей хранится вне памяти, доступ к которой имеет операционная система. Ключи могут быть запечатаны модулем TPM, при этом точное решение о том, является ли система надежной, будет принято до того, как ключи будут распечатаны и готовы к использованию. Поскольку модуль TPM для обработки инструкций использует собственное встроенное программное обеспечение и логические схемы, его работа не зависит от операционной системы. Благодаря этому обеспечивается его защита от возможных уязвимостей внешнего программного обеспечения.

Немeцкие эксперты предупреждали правительство, что переход на операционную систему Windows 8.1 несет в себе «неприемлемый риск». Дело в том, что компьютеры с этой ОС поддeрживают функцию Trusted Computing с установкой чипа Trusted Platform Module (TPM).

Если раньше поддержка TPM была опциональной и отключаемой, то с пeреходом на спецификации TPM 2.0 этот стандарт станет обязательным для всех устройств под Windows 8.1 и функция не пoдлежит дезактивации.

Trusted Platform Module (TPM) — криптопроцессор, в котором хранятся криптогpафические ключи для защиты информации. Библиотека TPM в операционной системе преднaзначена для проверки цифровой подписи программ, для установки апдейтов в диcтанционном режиме и т.д. Фактически, компьютер с TPM 2.0 нельзя рассматривать как устройство, нaходящееся под полным контролем пользователя..

Спецификации TPM разpаботаны некоммерческой организацией Trusted Computing Group, в кoторую входят только американские компании AMD, Cisco, Hewlett-Packard, IBM, Intel, Microsoft и Wave Systems.

Немецкое издание Die Zeit получила в свое распоряжение внутренние документы правительства Германии, кoторые содержат оценку безопасности TPM 2.0 со стороны незавиcимых экспертов. Они предупреждают, что TPM можно рассматривать как бэкдoр и есть большая вероятность, что доступ к криптографическим ключам имеет Агентство нaциональной безопасности.

Недавно компания Microsoft объявила, что с янвaря 2015 года поддержка стандарта TPM 2.0 станет обязательной для всех сертифицировaнных устройств Windows. В конце июня были скорректированы документы для сертификации, в соотвeтствии с новыми требованиями на 2014 и 2015 годы.

(UPD 23.08.2013. Федеральное управление по информациoнной безопасности Германии опубликовало официальнoе заявление, в котором опровергло информацию о том, что ее эксперты когда-либо предупреждали кого-либо об опасности установки Windows 8, хотя и признали нaличие некоторых сомнений относительно связки Windows 8 с аппаратным обеспечением TPM 2.0).

Часто задаваемые вопросы по модулю TPM для Windows 11

Сводка: В этой статье приведены ответы на часто задаваемые вопросы о модуле TPM (Trusted Platform Module).

Содержание статьи
Свойства статьи
Оцените эту статью

Возможно, эта статья была переведена автоматически. Если вы хотите поделиться своим мнением о ее качестве, используйте форму обратной связи в нижней части страницы.

Содержание статьи

Инструкции

TPM 2.0 необходим для работы Windows 11 в качестве важного строительного блока для функций безопасности. Модуль TPM 2.0 используется в Windows 11 для ряда функций, включая Windows Hello для защиты персональных данных и BitLocker для защиты данных.

Если вы планируете выполнить модернизацию до Windows 11, убедитесь, что на вашем устройстве включен модуль TPM 2.0. Ниже приведены некоторые часто задаваемые вопросы о модернизации TPM.

Что такое TPM?

TPM — это технология обеспечения безопасности, которая повышает уровень защиты компьютера от уязвимостей программного обеспечения.

На практике TPM используется для нескольких функций, повышающих безопасность устройства:

Шифрование диска BitLocker: автоматически шифрует диск компьютера для обеспечения безопасности данных.
Предотвращение выполнения данных: предотвращает запуск в памяти несанкционированных приложений, таких как вредоносное ПО.
Windows Hello: безопасная аутентификация пользователя без пароля.
Безопасная загрузка и измеряемая загрузка: блокирует вредоносные драйверы и руткиты, не позволяя им перехватить процесс загрузки операционной системы.

Как узнать, что на моем компьютере установлен модуль TPM 2.0?

Компьютеры Dell, поставляемые начиная с 2015 года, поддерживают TPM 2.0. Это можно проверить в «Диспетчере устройств» Windows:

Нажмите правой кнопкой мыши кнопку «Пуск» Windows .
Нажмите Диспетчер устройств.
Разверните ветвь Устройство безопасности.

Отобразится запись «Trusted Platform Module 2.0».

ПРИМЕЧАНИЕ. Если в списке нет ветви «Устройство безопасности», см. дополнительные сведения в статье базы знаний Microsoft Как включить TPM 2.0 на компьютере .

В 2015 году стандарт TPM 2.0 был одобрен в различных странах-членах ISO (включая Австралия, Бельгия, Канада, Китай, Дания, Финляндия, Франция, Гана, Ирландия, Италия, Япония, Республика Корея, Малайзия, Нигерия, Норвегия, Российская Федерация, Объединенные Арабские Эмираты, Великобритания и США). Могут различаться местные законы и нормативные акты для импорта и использования криптографических компонентов в компьютерных системах. Выполните действия, описанные в этой статье, чтобы проверить, включен ли в системе модуль TPM. Обратитесь за помощью в отдел по работе с заказчиками. Для получения дополнительной информации см. статью Спецификация библиотеки TPM 2.0 Trusted Computing Group, утвержденная в качестве международного стандарта ISO/МЭК. Дата публикации: 29 июня 2015 г. .

Россия.

Евразийская экономическая комиссия № 30 позволяет импортировать компьютерные системы с криптографическими устройствами с 2015 года.

Китай.

2018. Большинство компьютеров, поставляемых в Для Китайской Народной Республика, которые предустановлены с Windows 10, поставляются с PTT (для процессоров Intel) или fTPM (для процессоров AMD) и отвечают требованиям TPM 2.0 для Windows 11. Исключения применяются в зависимости от конфигурации заказа.

ПРИМЕЧАНИЕ. Некоторые модели могут не поддерживать или поддерживать только микропрограмму TPM (Intel PPT). Просмотрите компьютеры Dell, протестированные на совместимость с обновлением до Windows 11.

Поддерживает ли мой компьютер Dell модуль TPM 2.0 и готов ли он к модернизации до Windows 11?

Перед установкой Windows 11 корпорация Майкрософт предъявляет новое требование — TPM 2.0 или его эквивалент должны быть включены. Это означает, что не все компьютеры можно модернизировать до Windows 11.

Список протестированных компьютеров, которые соответствуют или превосходят требования корпорации Microsoft к оборудованию и программному обеспечению для модернизации до Windows 11, см. в статье базы знаний Dell Компьютеры Dell, протестированные на возможность модернизации операционной системы до Windows 11.

Корпорация Майкрософт предлагает приложение, чтобы узнать, может ли ваш персональный компьютер работать под управлением Windows 11. Перейдите на сайт PC Health Check , чтобы скачать и запустить приложение.

Чтобы проверить и включить возможности TPM на компьютере, см. статью базы знаний Dell Как включить доверенный платформенный модуль (TPM).

В чем заключается разница между TPM 1.2 и TPM 2.0?

Версия 2.0 обеспечивает более высокие стандарты безопасности и повышенную надежность.
Рекомендации по TPM (Windows 10) — Безопасность Microsoft 365 | Документы Microsoft
Системы Dell, на которых можно модернизировать TPM с версии 1.2 до 2.0
Сравнение функций TPM 1.2 и 2.0

Совпадают ли функции Intel PTT и AMD fTPM с функциями модуля TPM?

И PPT, и fTPM поддерживают требования к TPM для Windows 11. Ниже приведены сведения о региональных особеннониях и выполните действия, описанные в этом документе, чтобы проверить, совместим ли ваш компьютер с TPM и TPM 2.0.

PTT или Platform Trust Technology — это расширение микропрограммы от Intel, которое поддерживает требования Microsoft TPM.

fTPM или Firmware TPM — это микропрограммная технология AMD, которая поддерживает требования Microsoft TPM.

Windows 11 устанавливается на системы с PTT, fTPM или аппаратным модулем TPM, которые соответствуют стандарту TPM 2.0.

Почему в BIOS нет параметра «TPM»?

Это может быть вызвано несколькими причинами:

Режим BIOS:

Скорее всего, BIOS системы работает в режиме Legacy.

Для TPM 2.0 требуется, чтобы BIOS работает в режиме встроенного интерфейса UEFI.

Инструкции по включению TPM на компьютере см. в статье базы знаний Dell Как включить доверенный платформенный модуль (TPM ).

ВНИМАНИЕ! Переключение режима загрузки с Legacy на UEFI сделает текущую установку Windows незагружаемой, потребуется переустановить Windows.

Техническая проблема:

Параметр TPM может временно исчезнуть.

Почему некоторые системы Dell можно модернизировать с TPM 1.2 до TPM 2.0, а другие — нет?

Для включения программы понижения версии Windows 7 от Microsoft на некоторых коммерческих устройствах был предложен вариант модернизации или понижения версии TPM. Соответствующие устройства можно будет модернизировать до TPM 2.0. Этот параметр недоступен на устройствах потребительского класса.

Как найти микропрограмму TPM 2.0 для моего компьютера?

Список компьютеров, которые можно обновить с TPM 1.2 до версии 2.0 , см. в статье базы знаний Dell Системы Dell, которые можно обновить с TPM 1.2 до 2.0.

Если на вашем компьютере возможна модернизация TPM, обновление микропрограммы TPM можно скачать с нашего сайта Драйверы и скачиваемые материалы.

ПРИМЕЧАНИЕ. Дополнительные сведения о скачивании микропрограммы TPM см. в статье базы знаний Dell Часто задаваемые вопросы по драйверам и скачиваемым материалам, микропрограмма TPM находится в категории Security (если компьютер совместим).

Обнаружение и устранение распространенных проблем с модулем TPM и BitLocker.

Узнайте, как найти и устранить распространенные проблемы с помощью модуля TPM и BitLocker, чтобы устранить распространенные проблемы.

Дополнительная информация

Учебное руководство по модулям Dell Trusted Platform Module

Продолжительность: 04:08
Субтитры: Доступно на нескольких языках. Нажмите значок «Субтитры» и выберите нужный язык.

Включите доверенный платформенный модуль (TPM)

Продолжительность: 03:49
Субтитры: Доступно на нескольких языках. Нажмите значок «Субтитры» и выберите нужный язык.