توصیه های TPM

این موضوع توصیه هایی را برای فناوری ماژول پلت فرم معتبر (TPM) برای ویندوز ارائه می دهد.

برای توضیحات اصلی TPM ، به مرور کلی فناوری ماژول پلت فرم قابل اعتماد مراجعه کنید.

طراحی و اجرای TPM

به طور سنتی ، TPM ها تراشه های گسسته ای هستند که به مادربرد کامپیوتر لحیم می شوند. چنین پیاده سازی هایی به تولید کننده تجهیزات اصلی رایانه (OEM) اجازه می دهد تا TPM را جدا از بقیه سیستم ارزیابی و تأیید کند. اجرای TPM گسسته متداول است. با این حال ، آنها می توانند برای دستگاه های یکپارچه که کوچک هستند یا مصرف انرژی کم دارند ، مشکل ساز باشند. برخی از پیاده سازی های جدید TPM عملکرد TPM را در همان چیپست مشابه سایر اجزای پلتفرم ادغام می کنند در حالی که هنوز هم جداسازی منطقی مشابه تراشه های TPM گسسته را ارائه می دهند.

TPMS منفعل است: آنها دستورات دریافت می کنند و پاسخ های بازگشت می کنند. برای تحقق فواید کامل TPM ، OEM باید سخت افزار و سیستم عامل سیستم را با TPM به دقت ادغام کند تا دستورات آن را ارسال کند و به پاسخ های آن واکنش نشان دهد. TPMS در ابتدا برای ارائه مزایای امنیتی و حریم خصوصی برای صاحب و کاربران یک پلتفرم طراحی شده بود ، اما نسخه های جدیدتر می توانند مزایای امنیتی و حریم خصوصی را برای خود سخت افزار سیستم فراهم کنند. قبل از استفاده از آن برای سناریوهای پیشرفته ، با این حال ، یک TPM باید تهیه شود. ویندوز به طور خودکار یک TPM را ارائه می دهد ، اما اگر کاربر قصد دارد سیستم عامل را مجدداً نصب کند ، ممکن است قبل از نصب مجدد ، TPM را پاک کند تا ویندوز بتواند از TPM کامل استفاده کند.

گروه محاسبات قابل اعتماد (TCG) سازمان غیرانتفاعی است که مشخصات TPM را منتشر و حفظ می کند. TCG برای توسعه ، تعریف و ترویج استانداردهای صنعت جهانی خنثی و خنثی وجود دارد. این استانداردها از ریشه اعتماد مبتنی بر سخت افزار برای سیستم عامل های محاسباتی قابل اعتماد پشتیبانی می کنند. TCG همچنین مشخصات TPM را به عنوان استاندارد بین المللی ISO/IEC 11889 منتشر می کند ، با استفاده از فرایند ارسال مشخصات در دسترس عموم که کمیته فنی مشترک 1 بین سازمان بین المللی استاندارد سازی (ISO) و کمیسیون بین المللی الکتروتکنیک (IEC) تعریف می کند.

OEM ها TPM را به عنوان یک مؤلفه در یک بستر محاسباتی قابل اعتماد مانند رایانه شخصی ، رایانه لوحی یا تلفن پیاده سازی می کنند. سیستم عامل های محاسباتی قابل اعتماد از TPM برای پشتیبانی از سناریوهای حریم خصوصی و امنیتی که نرم افزار به تنهایی نمی تواند به آن برسد ، استفاده می کنند. به عنوان مثال ، نرم افزار به تنهایی نمی تواند با اطمینان گزارش دهد که آیا بدافزار در طی فرآیند راه اندازی سیستم وجود دارد یا خیر. ادغام نزدیک بین TPM و پلتفرم باعث افزایش شفافیت فرآیند راه اندازی می شود و با فعال کردن اندازه گیری و گزارش دهی نرم افزاری که دستگاه را شروع می کند ، از ارزیابی سلامت دستگاه پشتیبانی می کند. اجرای یک TPM به عنوان بخشی از یک بستر محاسباتی قابل اعتماد ، ریشه سخت افزاری اعتماد را فراهم می کند - یعنی ، به روشی قابل اعتماد رفتار می کند. به عنوان مثال ، اگر یک کلید ذخیره شده در TPM دارای خواصی باشد که صادر کردن کلید را مجاز نمی کند ، آن کلید واقعاً نمی تواند TPM را ترک کند.

TCG TPM را به عنوان یک راه حل امنیتی با هزینه کم هزینه و در بازار انبوه طراحی کرده است که به الزامات بخش های مختلف مشتری می پردازد. در خصوصیات امنیتی پیاده سازی های مختلف TPM ، همانطور که در الزامات مشتری و نظارتی برای بخش های مختلف تغییرات وجود دارد ، تغییراتی وجود دارد. به عنوان مثال ، در تهیه بخش عمومی ، برخی از دولت ها به وضوح الزامات امنیتی را برای TPM ها تعریف کرده اند ، در حالی که برخی دیگر این کار را نمی کنند.

TPM 1. 2 در مقابل 2. 0 مقایسه

از یک استاندارد صنعت ، مایکروسافت یک رهبر صنعت در حرکت و استاندارد سازی در TPM 2. 0 بوده است ، که دارای بسیاری از مزایای تحقق یافته در بین الگوریتم ها ، رمزنگاری ، سلسله مراتب ، کلیدهای ریشه ، مجوز و رم NV است.

چرا TPM 2. 0؟

محصولات و سیستم های TPM 2. 0 دارای مزایای امنیتی مهمی نسبت به TPM 1. 2 ، از جمله:

مشخصات TPM 1. 2 فقط امکان استفاده از RSA و الگوریتم Hashing Sha-1 را فراهم می کند.

به دلایل امنیتی ، برخی از نهادها از SHA-1 دور می شوند. نکته قابل توجه ، NIST بسیاری از آژانس های فدرال را ملزم به انتقال به SHA-256 از سال 2014 کرده است ، و رهبران فناوری ، از جمله مایکروسافت و گوگل اعلام کرده اند که پشتیبانی از امضای یا گواهینامه های مبتنی بر SHA-1 را در سال 2017 حذف می کنند.

TPM 2. 0 با انعطاف پذیری بیشتر با توجه به الگوریتم های رمزنگاری ، چابکی رمزنگاری بیشتری را امکان پذیر می کند.

TPM 2. 0 از الگوریتم های جدیدتر پشتیبانی می کند ، که می تواند امضای درایو و عملکرد تولید کلیدی را بهبود بخشد. برای لیست کامل الگوریتم های پشتیبانی شده ، به رجیستری الگوریتم TCG مراجعه کنید. برخی از TPM ها از همه الگوریتم ها پشتیبانی نمی کنند.

برای لیست الگوریتم هایی که ویندوز در ارائه دهنده ذخیره سازی رمزنگاری سیستم عامل پشتیبانی می کند ، به ارائه دهندگان الگوریتم رمزنگاری CNG مراجعه کنید.

TPM 2. 0 استاندارد سازی ISO به دست آمده (ISO/IEC 11889: 2015.

استفاده از TPM 2. 0 ممکن است به از بین بردن نیاز OEM ها برای استثناء در تنظیمات استاندارد برای برخی از کشورها و مناطق کمک کند.

TPM 2. 0 تجربه ای مداوم تر را در طول پیاده سازی های مختلف ارائه می دهد.

اجرای TPM 1. 2 در تنظیمات سیاست متفاوت است. این ممکن است منجر به مسائل پشتیبانی شود زیرا سیاست های قفل کردن متفاوت است.

خط مشی قفل TPM 2. 0 توسط ویندوز پیکربندی شده است ، و تضمین کننده ضمانت حفاظت از حمله دیکشنری است.

در حالی که قطعات TPM 1. 2 اجزای سیلیکون گسسته هستند ، که به طور معمول در مادربرد لحیم می شوند ، TPM 2. 0 به عنوان یک مؤلفه سیلیکون گسسته (DTPM) در یک بسته نیمه هادی واحد ، یک جزء یکپارچه در یک یا چند بسته نیمه هادی موجود است - در کنار سایر واحدهای منطق دیگردر همان بسته (ها) ، و به عنوان یک مؤلفه مبتنی بر سیستم عامل (FTPM) که در یک محیط اجرای قابل اعتماد (TEE) در یک SOC با هدف کلی اجرا می شود.

TPM 2. 0 در میراث و حالت CSM BIOS پشتیبانی نمی شود. دستگاه هایی با TPM 2. 0 باید حالت BIOS خود را فقط به عنوان UEFI بومی تنظیم کنند. گزینه های ماژول پشتیبانی میراث و سازگاری (CSM) باید غیرفعال شوند. برای امنیت اضافه شده ویژگی Boot Secure را فعال کنید.

سیستم عامل نصب شده بر روی سخت افزار در حالت میراث ، هنگام تغییر حالت BIOS به UEFI ، از بوت شدن سیستم عامل جلوگیری می کند. قبل از تغییر حالت BIOS که سیستم عامل و دیسک را برای پشتیبانی از UEFI آماده می کند ، از ابزار mbr2gpt استفاده کنید.

TPM گسسته ، یکپارچه یا سیستم عامل؟

سه گزینه اجرای برای TPM وجود دارد:

تراشه TPM گسسته به عنوان یک مؤلفه جداگانه در بسته نیمه هادی خود

راه حل یکپارچه TPM ، با استفاده از سخت افزار اختصاصی که در یک یا چند بسته نیمه هادی در کنار ، اما منطقی جدا از سایر مؤلفه ها است

راه حل TPM سیستم عامل ، اجرای TPM در سیستم عامل در یک حالت اجرای قابل اعتماد یک واحد محاسبات هدف کلی

ویندوز از هر TPM سازگار به همان روش استفاده می کند. مایکروسافت موقعیتی را در نظر نمی گیرد که یک TPM باید اجرا شود و اکوسیستم گسترده ای از راه حل های TPM موجود وجود دارد ، که باید متناسب با همه نیازها باشد.

آیا اهمیتی برای TPM برای مصرف کنندگان وجود دارد؟

برای مصرف کنندگان نهایی، TPM در پشت صحنه است اما همچنان مرتبط است. TPM برای Windows Hello، Windows Hello for Business استفاده می شود و در آینده جزء بسیاری از ویژگی های امنیتی کلیدی دیگر در ویندوز خواهد بود. TPM پین را ایمن می‌کند، به رمزگذاری رمزهای عبور کمک می‌کند و برای امنیت به عنوان یک ستون حیاتی، از داستان کلی تجربه ویندوز ما استفاده می‌کند. استفاده از ویندوز در سیستمی با TPM سطح عمیق‌تر و گسترده‌تری از پوشش امنیتی را ممکن می‌سازد.

سازگاری با TPM 2. 0 برای ویندوز

ویندوز برای نسخه های دسکتاپ (Home، Pro، Enterprise و Education)

• از 28 ژوئیه 2016، همه مدل‌ها، خطوط یا سری‌های دستگاه جدید (یا اگر پیکربندی سخت‌افزاری یک مدل، خط یا سری موجود را با یک به‌روزرسانی بزرگ به‌روزرسانی می‌کنید، مانند CPU، کارت‌های گرافیک) باید اجرا و فعال شوند. به طور پیش فرض TPM 2. 0 (جزئیات در بخش 3. 7 صفحه حداقل نیازهای سخت افزاری). الزام برای فعال کردن TPM 2. 0 فقط برای ساخت دستگاه‌های جدید اعمال می‌شود. برای توصیه های TPM برای ویژگی های خاص ویندوز، TPM و ویژگی های ویندوز را ببینید.

هسته اینترنت اشیا

• TPM در IoT Core اختیاری است.

ویندوز سرور 2016

• TPM برای SKUهای Windows Server اختیاری است مگر اینکه SKU سایر معیارهای صلاحیت (AQ) برای سناریوی Host Guardian Services را داشته باشد که در این صورت TPM 2. 0 مورد نیاز است.

TPM و ویژگی های ویندوز

جدول زیر مشخص می کند که کدام ویژگی های ویندوز به پشتیبانی TPM نیاز دارند.

وضعیت OEM در دسترسی به سیستم TPM 2. 0 و قطعات معتبر

مشتریان دولتی و مشتریان سازمانی در صنایع تنظیم شده ممکن است دارای استانداردهای دستیابی باشند که نیاز به استفاده از قطعات TPM معتبر مشترک دارند. در نتیجه ، OEM ها ، که دستگاه ها را تهیه می کنند ، ممکن است فقط از اجزای معتبر TPM در سیستم های کلاس تجاری خود استفاده کنند. برای اطلاعات بیشتر با OEM یا فروشنده سخت افزار خود تماس بگیرید.