Amd ftpm против intel ptt против tpm 2.0: различия для windows 11

Разгон Ryzen 3000 на Gigabyte

Общий алгоритм разгона

Разгон ryzen Gigabyte прост; вы выбираете множитель и напряжение, затем тестируете систему на стабильность. Есть проблемы — повышаете напряжение, уменьшаете частоту или улучшаете охлаждение. Третье поколение Ryzen разгоняется до таких же скоростей, как и предыдущее процессоры.

Как и с большинством процессоров, разгон упрётся в систему охлаждения, а не в уровень напряжения. Процессор может уйти в троттлинг и производительность упадёт. У этого поколения процессоров нету отклонений по температуре, поэтому отображаемый показатель температуры всегда верен.

Обычно нашим верхним пределом были 80С°, но в последних процессорах этот лимит был чуть увеличен. Максимальная температура в AIDA64 — 95С°, у 2700Х и 2990WX — 85С° и 68С° соответственно. Предельная рабочая температура скорее отображает наихудший случай использования, когда процессор сутки напролёт крутит Prime95 при 95С°. Рекомендуем держать температуру процессора в районе 80С°, но даже нам не всегда это удавалось.

Следует также отметить, что частоты Infinity Fabric и ОЗУ связаны в соотношении 1: 1, но это соотношение можно изменить, и вы сможете использовать более низкую FCLK, из-за чего можно будет дополнительно разогнать память, поскольку FCLK начинает сбоить на частоте около 1800 МГц (ОЗУ 3600 МГц). Сильно разгонять частоту Infinity Fabric не стоит. Вы легко разгоните хорошую ОЗУ до 3200-3600 МГц, и частота Infinity Fabric будет кстати. Наш процессор работает с соотношением 1 к 1, с 3600 МГц ОЗУ и 4.1 ГГц на всех ядрах.

Поставщик шифрования платформы

В Windows предусмотрена система шифрования под названием Cryptographic API: Next Generation (CNG), концепция которой заключается в применении алгоритмов шифрования различными способами, но в рамках общего программного интерфейса (API). Приложения, в которых осуществляется шифрование, могут использовать общий API, не имея данных о том, каким образом применяется алгоритм и какой именно это алгоритм.

CNG выглядит, как стандартная начальная точка, однако эта система шифрования представляет собой некоторые из преимуществ, которые обеспечивает TPM. В рамках интерфейса CNG Windows или сторонние разработчики предоставляют поставщик служб шифрования (то есть обеспечивают реализацию алгоритма), который внедряется в виде самих по себе библиотек программного обеспечения либо в комбинации программного обеспечения и доступного оборудования системы или оборудования от стороннего поставщика. В случае реализации через оборудование поставщик служб шифрования взаимодействует с оборудованием за пределами интерфейса программного обеспечения CNG.

Поставщик службы шифрования платформы, представленный в операционной системе Windows 8, обладает следующими специальными свойствами TPM, которые отсутствуют в поставщиках исключительно программных CNG или присутствуют, но являются менее эффективными:

• Защита ключа. Поставщик службы шифрования платформы может создавать ключи в TPM с ограничениями по их использованию. Операционная система может загружать и использовать ключи в TPM без их копирования в память системы, где они будут уязвимы перед вредоносными программами. Поставщик службы шифрования платформы может также настраивать ключи, которые защищает TPM, чтобы их было невозможно удалить. Если TPM создает ключ, этот ключ будет уникальным и находиться он будет только в этом TPM. Если TPM импортирует ключ, поставщик криптоплатформы может использовать ключ в этом TPM, но TPM не является источником для создания дополнительных копий ключа или включения использования копий в другом месте. Что же касается программных решений, защищающих ключи от копирования, они наоборот подвержены атакам средствами обратной разработки, при которых злоумышленник вычисляет, каким образом то или иное программное решение хранит ключи, или делает копии ключей, пока они находятся в памяти во время их использования.

• Защита от атак перебором по словарю. Для ключей, защищенных TPM, может потребоваться значение авторизации, например PIN-код. Если применяется защита от атак с перебором по словарю, TPM может предотвратить атаки, при которых предпринимается большое количество попыток угадать значение PIN-кода. В случае слишком большого количества предпринятых попыток TPM просто возвращает ошибку с уведомлением о том, что дальнейшие попытки будут невозможны на протяжении определенного периода времени. Программные решения могут предлагать аналогичные функции, однако они не могут обеспечить такой же уровень защиты, особенно в случае перезагрузки системы, изменения времени на системных часах или отката файлов на жестком диске, в которых производится учет неправильных попыток. Кроме того, при использовании защиты от атак с перебором по словарю значения авторизации, такие как PIN-коды, могут быть короче и проще для запоминания и при этом обеспечивать тот же уровень защиты, что и более сложные значения при использовании программных решений.

Эти функции TPM обеспечивают для поставщика службы шифрования платформы явные преимущества перед решениями на основе программного обеспечения. Практический способ увидеть эти преимущества в действии — это использование сертификатов на Windows устройстве. На платформах с TPM Windows может использовать поставщик службы шифрования платформы для хранения сертификата. В шаблонах сертификатов можно указать, что TPM использует поставщик службы шифрования платформы для защиты ключа, связанного с сертификатом. В смешанных средах, где на некоторых компьютерах может не быть TPM, шаблон сертификата может предпочитать поставщику криптостандартов платформы Windows поставщику программного обеспечения. Если настройки сертификата не предполагают его экспортирования, на закрытый ключ для сертификата будут распространяться ограничения и его нельзя будет экспортировать из TPM. Если для сертификата требуется PIN-код, то этот PIN-код автоматически попадает под действие защиты от атак перебором по словарю, которую обеспечивает TPM.

TPM 2.0, почему так много споров между AMD fTPM и Intel PTT?

Как мы уже говорим, Microsoft внедрила этот стандарт, а также установила ряд процессоров как совместимые и, таким образом, исключила многие другие. Чтобы разобраться во всей этой структуре, давайте рассмотрим самые простые, а оттуда мы потрепаем ожерелье.

TPM — это сокращение от Модуль Trusted Platform Module и является не чем иным, как стандартом, разработанным Trusted Computing Group ( Стандарт ISO / IEC 11889 ) в пользу большей безопасности для платформ ПК. Сам этот модуль может быть доставлен двумя разными способами: уже установлен на материнская плата через припаянную микросхему или через разъем (есть несколько типов), позволяющий физически установить внешний модуль.

Этот модуль имеет физический криптопроцессор, который отвечает за обеспечение большей степени безопасности ПК, поскольку он способен хранить ключи шифрования, которые шифруют нашу информацию. Большинство потребительских материнских плат не имеют этого модуля или чипа, припаянного к печатной плате, поэтому чаще всего у нас есть разъем, чтобы после покупки модуля мы могли щелкнуть его.

Так почему же вокруг этого так много споров? TPM 2.0 и fTPM или PTT ? Ну, потому что первое — это важное требование прямо сейчас для установки Windows 11, но в то же время Microsoft позволяет игнорировать это, если у нас есть одна из двух версий AMD или Intel

AMD fTPM, поворот к TPM

В то время AMD думала, что TPM как таковой можно физически взломать на потребительских ПК, и после долгого периода работы запустила fTPM. Эта версия основана на принципах TPM, но, несмотря на то, что она получает прозвище модуля, мы не найдем ничего физического на платах производителей.

fTPM — это не что иное, как программное решение, которое работает в надежной среде внутри системы. CPU / ЦЕНТРАЛЬНЫЙ ПРОЦЕССОР и поэтому для работы требуется набор микросхем, что является логичным, поскольку в настоящее время каждой материнской плате для правильной работы требуется свой ЦП и набор микросхем.

В этом есть и хорошие, и плохие стороны. С логической точки зрения хорошо то, что если мы хотим взломать зашифрованные ключи, нам нужен весь ПК, чтобы понимать ПК по процессору, материнской плате и SSD по крайней мере, там, где другие компоненты можно было бы обменять, по крайней мере, на начальном этапе и в отсутствие сюрпризов AMD в этом аспекте, поскольку конфиденциальность информации высока.

Плохая часть заключается в том, что он уязвим для возможных ошибок программного обеспечения, а также для взлома извне, если бы это было так (очень маловероятно). Поскольку это не физический и съемный чип, такой как TPM, информация остается на ПК, управляемом определенными чипами AMD. Так что насчет Intel PTT?

Intel PTT, на основе TPM 2.0 и автономный

Trust Technology Intel Platform Вот как голубой гигант определил свою технологию и точку зрения на такую ​​деликатную вещь, как безопасность. Этот PTT предлагает возможности TPM 2.0, на котором он основан, и, следовательно, способен поддерживать функциональность платформы для хранения учетных данных и управления ключами для Windows 8, 10 и будущих Windows 11.

Он также поддерживает шифрование жесткого диска и, конечно же, совместим с безопасной платформой, назначенной Microsoft для ее версии fTPM 2.0. Следовательно, это похоже на версию AMD, концепцию программного обеспечения TPM для широких масс, так что безопасность системы повышается, а извлечение данных затрудняется в случае атаки или взлома.

Атаки методами холодной загрузки и через порты FireWire/Thunderbolt

Если загрузка ОС произошла успешно, но невозможно войти в систему, так как неизвестен пароль пользователя, можно попробовать прочитать содержимое памяти компьютера. Существует два известных способа: прямой доступ к памяти через шину PCI и метод «холодной загрузки» (cold boot).

Интерфейсы FireWire, Thunderbolt и PC Card имеют прямой доступ к шине PCI, которая, в свою очередь, имеет прямой доступ к памяти компьютера (Direct Memory Access или DMA). Компьютеры с ОС Windows довольно редко оснащены такими интерфейсами, но нам может повезти, если, например, пользователь установил Windows на Мак с помощью драйверов Bootcamp. Для дампа памяти компьютера через шину PCI можно воспользоваться бесплатной утилитой inception, установив ее на любой компьютер с Linux.

К сожалению, такой способ работает только для Windows 7 и 8. В более старших версиях Windows доступ DMA через Thunderbolt уже закрыт. Дамп памяти, сделанный в inception, можно загрузить в Elcomsoft Forensic Disk Decryptor и, как уже было описано выше, найти мастер-ключ, с помощью которого можно либо полностью расшифровать образ диска, либо подключить его к системе для анализа.

Еще один вид атаки основан на том, что содержимое оперативной памяти компьютера обнуляется не мгновенно, а лишь спустя несколько секунд после выключения питания. Многие модули памяти способны сохранять свое состояние в течение нескольких минут и иногда даже часов, если их охладить до отрицательной температуры. На этом их свойстве и основана атака методом «холодной загрузки» (cold boot). Для атаки нам потребуется любой баллончик с хладагентом, например, предназначенный для тестирования термонестабильных электронных компонентов.

Включаем исследуемый компьютер, замораживаем память при помощи баллончика, сразу отключаем питание (ни в коем случае нельзя делать штатный shutdown средствами операционной системы), перезагружаемся с USB накопителя с Linux, на котором установлено расширение ядра LiME.

Далее создаём дамп оперативной памяти. Признаюсь честно, в нашей лаборатории мы ни разу не делали этот тип атаки. Но некоторые наши партнеры рассказывали, что у них получалось воспроизвести такую атаку и получить дамп памяти. Если других способов не осталось, вполне можно попробовать!

Как включить эмуляцию TPM в BIOS

Если у вас относительно новый компьютер (до 4-х лет), то есть большая вероятность, что ваша материнская плата поддерживает программную эмуляцию TPM 2.0. В BIOS данная функция называется:

• Intel PTT (Platform Trust Technology) — на платах для процессоров Intel;
• AMD fTPM (Firmware-based Trusted Platform Module) — на платах для AMD.

При наличии такой функции ее можно просто включить в настройках BIOS, без установки внешних модулей.

Процесс включения эмуляции TPM очень отличается в зависимости от производителя. Поэтому для получения точной информации необходимо обращаться к инструкции к материнской плате. Ниже мы рассмотрим несколько примеров, которые помогут сориентироваться с включением эмуляции TPM 2.0 на материнских платах GIGABYTE, ASUS и MSI.

GIGABYTE

На платах GIGABYTE программная эмуляция доступна на материнских платах с чипсетами Intel X299, C621, C236, C232, C246, 200, 300, 400 и 500, а также платах с чипсетами AMD 300-й, 400-й, 500-й и TRX40-й серии. Ниже показано, как включить программную эмуляция TPM 2.0 на разных материнских платах GIGABYTE и GIGABYTE AORUS.

Peripherals – Intel Platform Trust Technology (PTT)

Settings – Intel Platform Trust Technology (PTT).

AMD

Settings – Miscellaneous – AMD CPU fTPM.

Settings – AMD CPU fTPM.

Подробнее в статье:

Как включить TPM на GIGABYTE

ASUS

На материнских платах ASUS программная эмуляция модуля работает на материнских платах с чипсетами Intel 300, 400, 500, X299, C246, C422, C621, W480, а также AMD 300, 400, 500, TRX40 и WRX80. Ниже примеры включения TPM 2.0 на разных материнских платах от ASUS.

Advanced – PCH-FW Configuration – PTT.

AMD

Advanced – AMD fTPM configuration – Firmware TPM.

Подробнее в статье:

Как включить TPM на ASUS

MSI

На платах от MSI программная эмуляция модуля поддерживается материнскими платами с чипсетами Intel 100, 200, 300, 400, 500, X299, а также AMD 300, 400, 500, TRX40 и X399. Ниже показаны примеры включения TPM 2.0 на разных материнских платах от MSI.

Settings – Security – Trusted Computing – TPM Device Selection – PTT.

AMD

Settings – Security – Trusted Computing – AMD fTPM switch – AMD CPU fTPM.

Подробнее в статье:

• Как включить TPM на MSI;
• Как включить TPM на ASRock

AMD fTPM против Intel PTT, что лучше для Windows 11?

Исходя из того, что они являются родственными технологиями и соответствуют одному и тому же принципу, поскольку они обе являются прошивкой TPM (отсюда и название, хотя AMD унаследовала его как есть). Таким образом, сходство очень велико, если предположить, что в обоих случаях безопасность обеспечивается системными микросхемами, а не внешним физическим модулем.

Способ действия обоих отмечает различия, где Intel PTT теперь является частью MEI , со всем, что это подразумевает как с точки зрения программного и аппаратного обеспечения, так и, прежде всего, контроля. Отсюда информация сбивает с толку, поскольку Intel очень герметична во всем, что касается безопасности между PTT и MEI, не говоря уже о том, что они связаны между собой и что и ЦП, и BIOS системы управляют всем.

Вместо этого AMD со своим fTPM оставляет все в руках процессора, предназначенного исключительно для обеспечения безопасности, который известен как PSP или Платформа Безопасность процессор . Этот процессор и, по словам AMD (о нем не так много доступной и надежной информации): он отвечает за создание, мониторинг и поддержание среды безопасности и управляет от процесса загрузки до независимых модулей безопасности системы.

Следовательно, и, в конечном итоге, помимо режима управления и ресурсов, которые они используют, мы не можем утверждать или отрицать, что является более оптимальным или лучшим, поскольку нет даже информации. Что лучше для Windows 11? Это вопрос, который задают многие, и на самом деле рабочая нагрузка настолько минимальна, что не представляет каких-либо проблем для текущих процессоров, поэтому никоим образом не влияет на производительность системы и ПК.

Здесь все действительно зависит от того, какая из двух более безопасна, поскольку, как и любая технология, они подвержены атакам из-за сочной добычи, точно так же, как TPM 2.0, где, в отличие от этого, как Intel, так и AMD могут обновлять свои прошивки и исправлять проблемы с безопасностью или дыры. Так заканчивается война AMD fTPM против Intel PTT против TPM 2.0 нет победителя как такового, просто существует большая или меньшая степень безопасности в зависимости от полученных и успешных атак.

Панель виджетов выглядит пустой. Как избавиться от проблемы

Доска виджетов является новой функцией Windows 11, в которой отображаются небольшие окна с виджетами. Они позволяют получить мгновенный доступ к различной информации (новости, погода, события из календаря и многое другое). У некоторых пользователей вместо полезных приложений отображается совершенно пустая панель виджетов. Для исправления ошибки сделайте следующее:

1. Откройте панель виджетов при помощи комбинации клавиш «Win+W».
2. Нажмите на значок человека в правом верхнем углу окна, чтобы перейти к настройкам панели.
3. В этом же углу нажмите на кнопку, чтобы выйти из текущего аккаунта.
4. Повторно войдите в систему. После на панели должны появиться все виджеты.

Включите безопасную загрузку в BIOS для Windows 11

Если на вашем компьютере используется устаревшая версия BIOS, вам необходимо сначала преобразовать диск MBR в GPT, а затем переключиться в режим UEFI и включить безопасную загрузку. В противном случае, если вы включите более новую прошивку, компьютер больше не будет загружаться. Если вы пытаетесь выполнить чистую установку, вы можете пропустить соглашение, но если вы пытаетесь выполнить обновление с рабочего стола Windows 10, это является обязательным требованием.

Чтобы включить безопасную загрузку в прошивке BIOS, выполните следующие действия:

1. Откройте настройки.
2. Щелкните Обновление и безопасность.
3. Щелкните Восстановление.
4. В разделе «Расширенный запуск» нажмите кнопку « Перезагрузить сейчас».
5. Щелкните Устранение неполадок.
6. Щелкните Дополнительные параметры.
7. Выберите параметр «Настройки прошивки UEFI».
8. Нажмите кнопку «Перезагрузить».
9. Нажмите на передовой, безопасности или загрузки страницы настроек, в зависимости от материнской платы.
10. Выберите вариант «Безопасная загрузка» и выберите вариант «Включено».

Почти все устройства с прошивкой UEFI будут включать безопасную загрузку, но если это не так, вам нужно будет обновить систему или подумать о приобретении нового компьютера, отвечающего требованиям Windows 11.

После того как вы выполните эти шаги, компьютер должен пройти процесс проверки оборудования, чтобы продолжить обновление на месте или чистую установку Windows 11.

Мне нравитсяНе нравится

• Что нужно сделать перед установкой Windows 11
• Чистая установка Windows 11: 6 способов
• Как установить Windows 11 на любой компьютер
• Как создать загрузочную флешку Windows 11: инструкция
• Как загрузить файл образа диска Windows 11 (ISO) с сайта Microsoft
• Как установить Windows 11 без подключения к Интернету
• Можно ли установить Windows 11 на несовместимый компьютер?

Общие сведения о развертывании

в этом развертывании предполагается, что настроен цс Windows Server 2012 R2 enterprise. кроме того, клиенты (Windows 8.1) настраиваются на регистрацию в этом цс предприятия с помощью шаблонов сертификатов.

Для развертывания аттестации ключей TPM необходимо выполнить три шага.

Спланируйте модель доверия TPM: Первый шаг — решить, какую модель доверия TPM использовать. Существует три поддерживаемых способа выполнения этой задачи:

Доверять на основе учетных данных пользователя: ЦС предприятия доверяет предоставленному пользователем Екпуб как часть запроса на сертификат и проверка не выполняется, кроме учетных данных домена пользователя.

Доверие на основе екцерт: ЦС предприятия проверяет цепочку Екцерт, которая предоставляется как часть запроса на сертификат, с управляемым администратором списком приемлемых цепочек сертификатов EK. Допустимые цепочки определены для каждого производителя и выражаются в двух пользовательских хранилищах сертификатов в выдающем ЦС (одно хранилище для промежуточного и одно для сертификатов корневого ЦС). Этот режим доверия означает, что все доверенные платформенные модули от данного производителя являются надежными

Обратите внимание, что в этом режиме доверенные платформенные модули, используемые в среде, должны содержать Екцертс.

Доверие на основе екпуб: ЦС предприятия проверяет, что Екпуб, предоставленный в составе запроса на сертификат, отображается в списке разрешенных Екпубс, управляемом администратором. Этот список выражается в каталоге файлов, где имя каждого файла в этом каталоге является хэшем SHA-2 разрешенного Екпуб

Этот вариант обеспечивает наивысший уровень гарантии, но требует больше усилий по администрированию, так как каждое устройство определяется отдельно. В этой модели доверия только устройства, Екпуб доверенного платформенного модуля, добавленные в список разрешенных Екпубс, могут регистрироваться для сертификата, аттестация которого была подтверждена доверенным платформенным модулем.

В зависимости от того, какой метод используется, ЦС применит другой идентификатор OID политики выдачи к выданному сертификату. Дополнительные сведения об идентификаторах объектов политики выдачи см. в таблице идентификаторов объектов политики выдачи в разделе этой статьи.
Обратите внимание, что можно выбрать сочетание моделей доверия TPM. В этом случае ЦС будет принимать любые методы аттестации, а идентификаторы OID политики выдачи будут отражать все методы аттестации, которые были выполнены.

Настройте шаблон сертификата. Настройка шаблона сертификата описывается в разделе этой статьи. В этой статье не рассматривается, как этот шаблон сертификата назначается ЦС предприятия, или как доступ к регистрации предоставляется группе пользователей. Дополнительные сведения см. в разделе Контрольный список: Настройка центров сертификации для выдаче сертификатов и управления ими.

Настройка ЦС для модели доверия TPM

Доверять на основе учетных данных пользователя: Никакой конкретной конфигурации не требуется.

Доверие на основе екцерт: Администратор должен получить сертификаты цепочки Екцерт от производителей доверенного платформенного модуля и импортировать их в два новых хранилища сертификатов, созданные администратором, в ЦС, который выполняет аттестацию ключей доверенного платформенного модуля. Дополнительные сведения см. в разделе этой статьи.

Доверие на основе екпуб: Администратор должен получить Екпуб для каждого устройства, которое потребует сертификатов, подтвержденных доверенным платформенным модулем, и добавить их в список разрешенных Екпубс. Дополнительные сведения см. в разделе этой статьи.

Примечание
для этой функции требуется Windows 8.1/Windows Server 2012 R2.
Аттестация ключа TPM для сторонних KSP смарт-карт не поддерживается. Необходимо использовать KSP поставщика службы шифрования платформы Microsoft.
Аттестация ключа TPM работает только для ключей RSA.
Аттестация ключей доверенного платформенного модуля не поддерживается для автономного ЦС.
Аттестация ключей доверенного платформенного модуля не поддерживает обработку неустойчивых сертификатов.

Windows Hello для бизнеса

Windows Hello для бизнеса обеспечивает различные варианты проверки подлинности, предназначенные для замены паролей, которые могут быть трудны для запоминания и легко могут быть скомпрометированы. Кроме того, при использовании решений по принципу «имя пользователя — пароль» часто для проверки подлинности на различных устройствах и в различных службах выбираются одинаковые комбинации имени пользователя и пароля; если эти учетные данные станут кому-либо известны, они будут скомпрометированы во многих местах. Windows Hello для бизнеса готовит устройства поочередно и объединяет информацию, указанную на каждом устройстве (т.е. криптографический ключ) с дополнительной информацией для проверки подлинности пользователей. В системе с доверенным платформенным модулем модуль может защитить ключ. Если в системе отсутствует TPM, ключ защищают программные средства. В качестве дополнительных данных, которые пользователь должен предоставить, может служить значение PIN-кода или, если в системе установлено необходимое оборудование, биометрические сведения, такие как отпечаток пальца или распознавание лиц. Для защиты личных данных биометрическая информация используется только на заданном устройстве, у которого имеется доступ к специальному ключу: эти данные не передаются на другие устройства.

Для внедрения новой технологии проверки подлинности необходимо, чтобы поставщик удостоверений и организации развернули и начали применять эту технологию. Windows Hello для бизнеса позволяет пользователям проводить проверку подлинности со своей существующей учетной записью Майкрософт, учетной записью Active Directory, учетной записью Microsoft Azure Active Directory или даже использовать для этого службы поставщика удостоверений от сторонних разработчиков или службы проверяющей стороны, которые поддерживают проверку подлинности Fast ID Online V2.0.

Поставщики удостоверений могут различными способами обрабатывать учетные данные на клиентских устройствах. Например, организация может подготовить только устройства с TPM, чтобы иметь уверенность в том, что TPM защищает учетные данные. Для того чтобы система была способна отличить TPM от вредоносной программы, действующей как TPM, требуются следующие свойства TPM (см. рис. 1):

• Ключ подтверждения. Производитель TPM может создать в модуле специальный ключ, который называется ключ подтверждения. В сертификате ключа подтверждения, подписанного производителем, говорится, что ключ подтверждения присутствует в TPM, который сделал производитель. Решения могут использовать этот сертификат с TPM с содержащимся в нем ключом подтверждения, который подтверждает, что в сценарии действительно задействован TPM от конкретного производителя TPM (а не вредоносная программа, имитирующая TPM).

• Ключ удостоверения подлинности. В целях защиты личных данных в большинстве сценариев TPM не используется ключ подтверждения. Вместо этого в них используются ключи удостоверения подлинности, и ЦС применяет ключ удостоверения подлинности и его сертификат для подтверждения того факта, что в реальном TPM действительно имеется один или несколько ключей удостоверения подлинности. ЦС удостоверений выпускает сертификаты ключей удостоверения подлинности. Несколько ЦС удостоверений, как правило, рассматривают один и тот же сертификат ключа подтверждения, который может определить TPM как уникальный, но создано может быть любое количество сертификатов ключей удостоверения подлинности в целях ограничения распространения информации в другие сценарии.

Рисунок 1. Управление криптографическим ключом TPM

При использовании Windows Hello для бизнеса Майкрософт может выполнять роль ЦС для проверки подлинности. Службы Майкрософт могут выдавать сертификат ключа удостоверения подлинности для каждого устройства, пользователя и поставщика удостоверения, чтобы гарантировать защиту личных данных и помочь поставщикам удостоверений обеспечить выполнение требований TPM на устройстве перед тем, как будут подготовлены учетные данные Windows Hello для бизнеса.

Как узнать, есть ли у меня TPM

«Раскрутить и посмотреть» – не всегда хороший совет. Если у вас, допустим, ультрабук, то для доступа к внутренностям может понадобиться выкрутить 5-10 крошечных винтиков, а потом отыскивать нужную микросхему в плотной компоновке мелких деталей. Вряд ли вы захотите удовлетворять свое любопытство таким способом.

Способ 1

Загляните в диспетчер устройств Windows. Если в разделе устройств безопасности вы видите строчку типа «Trusted Platform Module 2.0», значит, у вас есть криптомодуль.

Способ 2

Запустите в командной строке (клавиша Windows + R) утилиту tpm.msc. (Наберите и нажмите Enter). Утилита покажет наличие (или отсутствие) TPM.

Способ 3

Все еще не уверены? Попробуйте открыть командную строку с правами администратора (клавиша Windows + Х, соответствующий пункт меню) и выполните команду:

wmic /namespace:\\root\cimv2\security\microsofttpm path win32_tpm get * /format:textvaluelist.xsl

Если первые строки возвращают значение «TRUE», вы счастливый обладатель TPM. В противном случае вы увидите надпись «Отсутствуют экземпляры».

Впрочем, модуль может быть принудительно отключен в UEFI/BIOS. Чтобы выяснить, так ли это, перезагрузите компьютер, войдите в UEFI/BIOS и отыщите в настройках что-нибудь вроде «TPM configuration» или «Security Chip» (название пункта меню зависит от вашего компьютера).

Возможна ситуация, когда у вас нет доступа к компьютеру (например, вы только собираетесь его приобрести). Тогда лучше заранее поискать спецификации компьютера и/или материнской платы. Примеры:

• Сайт компании Dell рассказывает, в каких ноутбуках Dell установлены чипы TPM (и какие именно чипы).
• Описание ноутбука Lenovo ThinkPad X280. Производитель прямо говорит о наличии дискретного чипа TPM.
• Спецификации материнской платы ASRock B450M Pro4-F. В разделе «Коннекторы» вы можете видеть «1хTPM» – значит, у этой платы есть соответствующий разъем для подключения криптомодуля (но не сам модуль).

Хотите узнать о TPM больше?

• Четыре описанных выше способа узнать, есть ли TPM у вас в компьютере (на английском языке со скриншотами)
• Видео о том, как включить шифрование BitLocker (c TPM и без него)
• Как TPM используется в Windows 10 (материал на сайте Microsoft)
• Подойдет ли криптомодуль одного производителя для материнской платы другого производителя?
• Много полезной информации о TPM (как о достоинствах, так и о недостатках).
• О чипе безопасности T2 (если вы пользователь Mac).

Как устроена защита

BitLocker использует симметричное шифрование диска, как и остальные подобные приложения. Шифрованием диска занимается центральный процессор. Основным секретным элементом является мастер-ключ, который может быть получен следующими способами:

1. Расшифрован паролем на диск, если используется такая защита.
2. Расшифрован ключом восстановления (Recovery Key). Ключ восстановления генерируется при создании любого контейнера или диска BitLocker и сохраняется пользователем либо в файл, либо в облако Microsoft. При некоторых условиях ключ сохраняется в облако Microsoft автоматически, без уведомления пользователя.
3. Извлечен из TPM модуля при соблюдении определенных условий.

Работа Bitlocker с системой TPM:

Работа TPM модуля очень напоминает блокчейн. Строится «цепочка доверия», которая сохраняется в регистрах PCR (Platform Configuration Register).

Рассмотрим работу TPM модуля по шагам:

1. Включаем компьютер. Управление передается первому «доверенному» модулю, который имеет название SRTM (Static root of trust for measures). Обычно этот модуль находится в ПЗУ материнской платы и не может быть изменен. Уязвимость в этом модуле может поставить под угрозу всю систему безопасности. Эффект подобной уязвимости можно наблюдать в эксплоите checkm8 для платформы Apple iOS. SRTM делает первую запись в цепочке: считает хеш от программного кода BIOS и записывает его в регистр PCR
2. Управление передается UEFI BIOS-у, который формирует дальнейшие компоненты цепочки. Анализируется конфигурация компьютера, разбивка жесткого диска, загрузчик (boot loader), загрузочные секторы диска (Master Boot Record) и множество других параметров. При этом в хешировании полученных данных участвует и предыдущий регистр PCR. Таким образом, все компоненты цепочки связаны между собой и любое нарушение приведет к изменению содержимого PCR регистров.
3. Заполнив несколько PCR регистров, BIOS передает управление загрузчику, который запускает код из MBR жесткого диска. Еще несколько записей в цепочке загрузки.
4. Наконец, запускается ядро операционной системы, которое тоже записывает в цепочку свои параметры.

Таким образом, при загруженной операционной системе мы получаем уникальный набор контрольных сумм, хранящихся в PCR регистрах модуля TPM. Модуль TPM не позволяет произвольным образом изменить содержимое PCR регистров; можно лишь добавить очередной компонент цепочки.

Загрузка компьютера с TPM модулем: