Когда Microsoft выпустила Windows 11 в 2021 году, она ввела строгий тест на совместимость оборудования, который требовал наличия модуля доверенной платформы (TPM), соответствующего стандарту TPM 2.0. Это требование вызвало вопросы о природе и важности TPM в современном вычислительном мире.
Понимание роли TPM
В своей основе TPM является безопасным криптопроцессором — специализированным микроконтроллером, предназначенным для выполнения задач, связанных с безопасностью, и управления ключами шифрования. Этот аппаратный компонент играет ключевую роль в повышении безопасности системы, минимизируя риск несанкционированного доступа. Windows использует TPM для различных функций безопасности, включая Secure Boot, BitLocker и Windows Hello, которые совместно укрепляют операционную систему против потенциальных угроз.
Архитектура TPM определяется международным стандартом ISO/IEC 11889, установленным Trusted Computing Group более двух десятилетий назад. Этот стандарт описывает реализацию криптографических операций с акцентом на защиту целостности, изоляцию и конфиденциальность.
TPM можно интегрировать в компьютер несколькими способами: в виде отдельного чипа, припаянного к материнской плате, встроенного в прошивку чипсета ПК или даже включенного в сам процессор, как это сделали производители Intel, AMD и Qualcomm в последние годы. Для тех, кто использует виртуальные машины, также доступна возможность создания виртуального чипа TPM.
Определение наличия TPM
Для тех, кто интересуется, оснащен ли их ПК TPM, ответ, скорее всего, утвердительный, если устройство было разработано в 2016 году или позже и поставлялось с предустановленной Windows. Именно в этом году Microsoft обязала производителей включать TPM 2.0 в качестве стандартной функции. Примеры такой интеграции можно увидеть в 6-м поколении процессоров Intel и fTPM на базе прошивки от AMD, представленных в 2016 году.
Однако более старые ПК также могут иметь TPM. Intel начала включать эту функцию в свои процессоры 4-го поколения Core (Haswell) в 2014 году, хотя в основном в машинах, ориентированных на бизнес. Устройства, изготовленные в 2013 году или ранее, могут иметь отдельные TPM, но они обычно соответствуют старому стандарту TPM 1.2, который не поддерживается Windows 11.
Дополнительно усложняет ситуацию то, что некоторые ПК могут иметь TPM, отключенный в настройках BIOS или прошивки, особенно те, которые настроены на использование Legacy BIOS вместо UEFI. Пользователи могут проверить конфигурацию своей системы с помощью инструмента System Information (Msinfo32.exe).
Преимущества безопасности TPM
TPM служит безопасной средой для обработки криптографических операций и хранения закрытых ключей, необходимых для надежного шифрования. Например, он работает вместе с функцией Secure Boot Windows, которая гарантирует выполнение только подписанного доверенного кода во время запуска системы. Этот механизм действует как защита от попыток взлома, таких как руткиты. Похожая функция Verified Boot используется на Chromebook'ах, используя TPM для подтверждения целостности системы.
Кроме того, TPM облегчает биометрическую аутентификацию через Windows Hello и безопасно хранит ключи BitLocker, которые шифруют содержимое системного диска Windows. Это шифрование делает чрезвычайно сложным для несанкционированных лиц доступ к конфиденциальным данным.
Как Windows 10, так и Windows 11 автоматически инициализируют и берут на себя управление TPM во время установки, не требуя специальной настройки за исключением его активации. Примечательно, что TPM не является эксклюзивной функцией Windows; ПК на Linux и устройства IoT также могут использовать его. Устройства Apple, хотя и используют другую архитектуру под названием Secure Enclave, выполняют аналогичные криптографические функции и защищают конфиденциальные данные пользователей.
Обновление до Windows 11
Для пользователей с ПК на Windows 10, включающим любую версию TPM, обновление до Windows 11 можно осуществить с помощью простой модификации реестра. Напротив, те, у кого нет...
