Čo je modul TPM a prečo ho potrebujete?
Keď Microsoft v roku 2021 predstavil Windows 11, jeho nový, prísny test kompatibility hardvéru zahŕňal kontrolu prítomnosti modulu Trusted Platform Module (TPM), konkrétne takého, ktorý spĺňa štandard TPM 2.0. Čo je teda modul TPM a prečo OS Windows trvá na tom, že ho potrebujete?
TPM je bezpečný kryptoprocesor, špecializovaný mikrokontrolér navrhnutý tak, aby zvládal úlohy súvisiace s bezpečnosťou a spravoval šifrovacie kľúče spôsobom, ktorý minimalizuje schopnosť útočníkov preniknúť do systému. Windows používa tento hardvér na rôzne funkcie súvisiace so zabezpečením vrátane funkcií Secure Boot, BitLocker a Windows Hello.
No úplná odpoveď je o niečo komplikovanejšia. Architektúra TPM je definovaná v medzinárodnej norme oficiálne známej ako ISO/IEC 11889, ktorú pred viac ako 20 rokmi vytvorila skupina Trusted Computing Group. Norma sa zaoberá spôsobom implementácie rôznych kryptografických operácií s dôrazom na „ochranu integrity, izoláciu a dôvernosť“.
TPM môže byť implementovaný ako samostatný čip pripájaný na základnú dosku počítača alebo môže byť implementovaný v rámci firmvéru čipovej súpravy počítača či samotného procesora, ako to v poslednom desaťročí urobili spoločnosti Intel, AMD a Qualcomm. Ak používate virtuálny počítač, môžete doň dokonca zabudovať virtuálny čip TPM.
Takže má váš počítač TPM? Ak bol navrhnutý v roku 2016 a predával sa s predinštalovaným systémom Windows, odpoveď je takmer určite áno. V tomto roku začal Microsoft od výrobcov vyžadovať, aby dodávali počítače s dostupným a predvolene zapnutým čipom TPM 2.0. Procesory Intel z tohto obdobia obsahujú TPM 2.0, ktorý je zabudovaný vo firmvéri (Intel túto funkciu nazýva Platform Trust Technology alebo PTT). Aj spoločnosť AMD začala v roku 2016 začleňovať TPM 2.0 založený na firmvéri s názvom fTPM.
Ak je váš počítač starší, stále môže obsahovať čip TPM. Intel začal túto funkciu zahŕňať do svojich procesorov Core 4. generácie (Haswell) v roku 2014, ale vo všeobecnosti bola táto technológia dostupná a povolená len v počítačoch určených pre podnikový trh. Počítače vyrobené v roku 2013 alebo skôr môžu obsahovať diskrétne čipy TPM, ktoré sú oddelené od procesora; väčšinou sa čipy TPM pred rokom 2014 riadili štandardom TPM 1.2, ktorý systém Windows 11 oficiálne nepodporuje.
A aby to bolo ešte komplikovanejšie, váš počítač môže mať čip TPM, ktorý je vypnutý v systéme BIOS alebo v nastaveniach firmvéru. Je to prípad počítača, ktorý bol nakonfigurovaný na používanie staršieho systému BIOS namiesto UEFI. Konfiguráciu počítača so systémom Windows môžete skontrolovať pomocou nástroja System Information (Msinfo32.exe).
TPM má byť superbezpečným miestom na spracovanie kryptografických operácií a ukladanie súkromných kľúčov, ktoré umožňujú silné šifrovanie. Modul spolupracuje napríklad s funkciou Windows Secure Boot, ktorá overuje, či sa pri spustení počítača spustí len podpísaný dôveryhodný kód. Ak sa niekto pokúsi manipulovať s operačným systémom, napríklad pridať rootkit, Secure Boot zabráni spusteniu zmeneného kódu. (Chromebooky majú podobnú funkciu nazvanú Verified Boot, ktorá tiež využíva čip TPM na zabezpečenie toho, aby sa so systémom nemanipulovalo.)
TPM umožňuje aj biometrické overovanie pomocou funkcie Windows Hello a uchováva kľúče BitLocker, ktoré šifrujú obsah systémového disku Windows, takže je takmer nemožné, aby útočník toto šifrovanie prelomil a získal prístup k vašim údajom bez oprávnenia.
Systémy Windows 10 a Windows 11 inicializujú a preberajú vlastníctvo čipu TPM v rámci procesu inštalácie. Na nastavenie alebo používanie čipu TPM nemusíte robiť nič špeciálne okrem toho, že sa uistíte, že ho počítač môže používať. A nie je to len funkcia systému Windows. Počítače s Linuxom a zariadenia IoT tiež môžu inicializovať a používať TPM. Zariadenia Apple používajú iný hardvérový dizajn s názvom Secure Enclave, ktorý vykonáva niektoré rovnaké kryptografické operácie ako TPM a poskytuje aj bezpečné ukladanie citlivých používateľských údajov.
Ďalšia úroveň zabezpečenia, ktorú TPM presadzuje v hardvéri odolnom proti manipulácii, je veľmi dobrá vec. Ak chcete zobraziť podrobnosti o TPM v počítači so systémom Windows, otvorte Správcu zariadení a vyhľadajte ich v časti Zabezpečovacie zariadenia.
V počítači so systémom Windows 10, ktorý obsahuje akúkoľvek verziu čipu TPM, môžete prejsť na systém Windows 11 jednoduchou zmenou v registri. Ak váš počítač neobsahuje čip TPM, budete musieť použiť bezplatný nástroj s otvoreným zdrojovým kódom s názvom Rufus na obídenie kontroly hardvéru a inštaláciu systému Windows 11.
ZDROJ: ZDNET.COM/
FOTO: gettyimages.com
