Что такое модуль TPM и как он поможет защитить информацию на компьютере
Материл обновлен в сентябре 2021 года. Сегодня для защиты компьютерных данных повсеместно используют шифрование. Обычно мы говорим о криптографических программах, таких, как Veracrypt. Но справляться с подобными задачами помогают и физические чипы. Одно из таких полезных устройств называют Trusted Platform Module, «доверенный платформенный модуль» или просто TPM. В этой статье мы выясним, как пользователю Windows определить наличие TPM-модуля у себя в компьютере.
Зачем нужен TPM
Модуль может оказаться полезен, например, для:
Вероятно, самый распространенный сценарий использования TPM – шифрование жесткого диска. Эта операция позволяет надежно защитить данные от несанкционированного доступа. Если с компьютером произойдет неприятность – кража, потеря, изъятие во время следственных действий – полнодисковое шифрование не позволит посторонним людям добраться до ваших файлов.
В Windows 10 pro и Windows 8 pro есть программа Bitlocker. С ее помощью можно включить на компьютере полнодисковое шифрование. Тут-то и пригодится TPM. Модуль позволит создать и хранить криптографические ключи, нужные для шифрования. При этом TPM не является частью Windows. Он не зависит от возможных уязвимостей ни в самой операционной системе, ни в прикладных программах.
Если злоумышленник попробует стартовать компьютер с флешки или CD/DVD, пара Bitlocker + TPM не разрешат доступ к диску. Если злоумышленник вынет жесткий диск из корпуса изъятого компьютера и подключит диск к своему компьютеру (а так обычно и делают), Bitlocker + TPM тоже защитят ваши данные. Любая попытка «обойти» оригинальную конфигурацию загрузки приведет к неудаче. (Точнее, потребуется специальный ключ).
Можно ли пользоваться полнодисковым шифрованием без TPM? Да, конечно. Криптомодуль делает этот процесс в чем-то удобнее для пользователя. Если он у вас есть – значит, у вас, как минимум, есть выбор, и вы можете попробовать что-то новое для безопасности своего компьютера.
Как выглядит TPM
«Классический» дискретный TPM – микроплата, вставленная в разъем на материнской плате. Разъем (на сленге компьютерщиков – «колодка»), как правило, имеет маркировку «TPM». Если вы дружите с отверткой, можете заглянуть внутрь своего десктопа и поискать TPM-разъем самостоятельно. Как правило, он находится на краю материнской платы рядом с разъемами для подключения внешних («корпусных») USB-портов и аудиоразъемов. На этой странице вы можете видеть, как выглядит сам криптомодуль и гнездо для TPM на материнской плате ASUS ROG MAXIMUS X APEX. Другой вариант – когда TPM-модуль распаян прямо на материнской плате.
Функции криптомодуля могут быть реализованы программно, в прошивке. Например, у AMD это называется fTPM (firmware-based TPM). Если на компьютере есть и fTPM, и разъем для дискретного криптомодуля, выбор между ними пользователю предстоит сделать в BIOS.
Как узнать, есть ли у меня TPM
«Раскрутить и посмотреть» – не всегда хороший совет. Если у вас, допустим, ультрабук, то для доступа к внутренностям может понадобиться выкрутить 5-10 крошечных винтиков, а потом отыскивать нужную микросхему в плотной компоновке мелких деталей. Вряд ли вы захотите удовлетворять свое любопытство таким способом.
Способ 1
Загляните в диспетчер устройств Windows. Если в разделе устройств безопасности вы видите строчку типа «Trusted Platform Module 2.0», значит, у вас есть криптомодуль.
Способ 2
Запустите в командной строке (клавиша Windows + R) утилиту tpm.msc. (Наберите и нажмите Enter). Утилита покажет наличие (или отсутствие) TPM.
Способ 3
Все еще не уверены? Попробуйте открыть командную строку с правами администратора (клавиша Windows + Х, соответствующий пункт меню) и выполните команду:
wmic /namespace:\\root\cimv2\security\microsofttpm path win32_tpm get * /format:textvaluelist.xsl
Если первые строки возвращают значение «TRUE», вы счастливый обладатель TPM. В противном случае вы увидите надпись «Отсутствуют экземпляры».
Впрочем, модуль может быть принудительно отключен в UEFI/BIOS. Чтобы выяснить, так ли это, перезагрузите компьютер, войдите в UEFI/BIOS и отыщите в настройках что-нибудь вроде «TPM configuration» или «Security Chip» (название пункта меню зависит от вашего компьютера).
Возможна ситуация, когда у вас нет доступа к компьютеру (например, вы только собираетесь его приобрести). Тогда лучше заранее поискать спецификации компьютера и/или материнской платы. Примеры:
Хотите узнать о TPM больше?
Что такое TPM и как его использовать в Windows
Во многих компьютерах и ноутбуках сегодня можно встретить дополнительный чип, который называется TPM. В операционной системе он определяется в разделе «Устройства безопасности». Что это за зверь такой и для чего он, собственно, нужен мы и поговорим сегодня.
Расшифрование (decryption) иногда некорректно называют дешифрование (deciphering). Разница между ними в том, что при расшифровании вам известен алгоритм и секретный ключ, которым зашифрованы данные, а при дешифровании – нет.
Рассмотрим эти шаги более подробно.
1 Включение модуля TPM в BIOS компьютера
Для включения модуля зайдите в BIOS и перейдите в раздел, связанный с безопасностью. Хотя BIOS может существенно отличаться на разных компьютерах, как правило, раздел с настройками безопасности называется «Security». В этом разделе должна быть опция, которая называется «Security Chip».
Настройки безопасности в BIOS
Модуль может находиться в трёх состояниях:
В первом случае он не будет виден в операционной системе, во втором – он будет виден, но система не будет его использовать, а в третьем – чип виден и будет использоваться системой. Установите состояние «активен».
Тут же в настройках можно очистить старые ключи, сгенерированные чипом.
Очистка памяти чипа TPM
Очистка TPM может пригодиться, если вы, например, захотите продать свой компьютер. Учтите, что стерев ключи, вы не сможете восстановить данные, закодированные этими ключами (если, конечно, вы шифруете свой жёсткий диск).
Теперь сохраните изменения («Save and Exit» или клавиша F10) и перезагрузите компьютер.
После загрузки компьютера откройте диспетчер устройств и убедитесь, что доверенный модуль появился в списке устройств. Он должен находиться в разделе «Устройства безопасности».
Чип TPM в диспетчере устройств Windows
2 Инициализация модуля TPM в Windows
В правой части оснастки находится меню действий. Нажмите «Инициализировать TPM…». Если эта возможность не активна, значит, ваш чип уже инициализирован. Если он инициализирован не вами, и вы не знаете пароль владельца, то желательно выполнить сброс и очистку памяти модуля, как описано в предыдущем пункте.
Оснастка для управления чипом TPM
Инициализация модуля TPM через оснастку
Пароль TPM сгенерирован, инициализация
По завершении программа сообщит об успешной инициализации модуля. После завершения инициализации все дальнейшие действия с модулем – отключение, очистка, восстановление данных при сбоях, сброс блокировки – будут возможны только с помощью пароля, который вы только что получили.
Пароль владельца для TPM создан
Теперь действие инициализации стало неактивным, зато появилась возможность отключить TPM, сменить пароль владельца и сбросить блокировку модуля, если это произошло (модуль блокирует сам себя для предотвращения мошенничества или атаки).
Инициализация TPM завершена
Поделиться
Похожие материалы (по тегу)
Последнее от aave
Другие материалы в этой категории:
10 комментарии
Хочу поделиться своей проблемой по поводу TPM. Недавно система обновилась
KB4565503 (Build 19041.388) для Windows 10 (версия 2004) В тот же день появился
Синий экран смерти, у меня таково раньше никогда не было. Ошибка 0x00000133
И так стало продолжаться каждый день. Нашел такую информацию : ( Драйвер устройства для доверенного платформенного модуля (TPM) обнаружил неустранимую ошибку, связанную с оборудованием TPM, которая не позволяет использовать службы TPM (например, шифрование данных). Обратитесь за помощью к производителю компьютера.) Пришлось в биосе отключить модуль ТРМ, пока все работает четко.
Может кому-то моя информация поможет
Андрей, спасибо большое за информацию! Это действительно интересно. Жаль только, что пришлось полностью отключать модуль TPM и не нашлось другого решения.
Цифровая лицензия виндовс 10 слетит при этом?
Влад! При чём «при этом»?
Зашел в биос, включил ТПМ. Не пришлось никаких паролей создавать. Ничего инициализировать. Но скорее всего из-за того, что у меня включена учетка мелкософт.
Вопрос, чем грозит нажатие справа команды «Отчистить ТПМ»?
Алексей, в чипе TPM могут храниться какие-то ваши пароли и идентификационные данные (например, для входа в Windows). Также если вы зашифровали свои данные или диски с помощью аппаратного шифрования (используя, например, BitLocker), то не сможете восстановить их.
Поэтому прежде чем очищать модуль TPM, необходимо расшифровать все данные, которые были с помощью него зашифрованы. Перед очисткой желательно создать TPM-файл с резервной копией ключей. Это делается в оснастке TPM.
Рекомендуется очищать модуль при продаже компьютера другому владельцу или при неполадках в работе чипа.
Владимир! В таком случае лучше не отключайте модуль TPM и не обращайте на него внимания. Никакие Ваши данные он не может «украсть» или повредить. Вероятно, модуль был активирован производителем ноутбука.
Что такое доверенный платформенный модуль (TPM)?
Доверенный платформенный модуль (TPM) используется для повышения безопасности компьютера. Он используется такими службами, как шифрование диска BitLocker, Windows Hello и другие, для безопасного создания и хранения криптографических ключей, а также для подтверждения того, что операционная система и встроенное ПО на вашем устройстве соответствуют указанным сведениям и не были изменены.
Как правило, это отдельная микросхема на системной плате, хотя стандарт TPM 2.0 позволяет изготовителям, например Intel или AMD, встраивать возможности доверенного платформенного модуля в набор микросхем.
Доверенный платформенный модуль используется уже более 20 лет и входит в состав компьютеров с 2005 г. В 2016 г. версия TPM 2.0 (текущая версия на момент написания этой статьи) стала стандартом для новых компьютеров.
Когда вы шифруете данные, чтобы защитить их от посторонних глаз, программа для шифрования берет фрагмент данных, который нужно зашифровать, и объединяет его с длинной случайной строкой символов, чтобы создать новый (зашифрованный) фрагмент данных. Длинная случайная строка символов, используемая программой для шифрования, является криптографическим ключом.
Примечание: Незашифрованные данные называются «открытым текстом». Зашифрованная версия этих данных называется «зашифрованным текстом».
Расшифровать такой текст и прочитать исходный фрагмент данных может только пользователь, у кого есть правильный криптографический ключ.
Имеется ли на моем компьютере доверенный платформенный модуль?
Существует высокая вероятность того, что на вашем компьютере уже есть доверенный платформенный модуль и, если ему менее 5 лет, это версия TPM 2.0.
Чтобы узнать, есть ли доверенный платформенный модуль на вашем компьютере с Windows 10, выберите Пуск > Параметры > Обновление и безопасность > Безопасность Windows > Безопасность устройства. Если он у вас есть, на экране будет отрезок Процессор безопасности.
Совет: Если вы не видите раздел Процессор безопасности, возможно, на вашем устройстве есть TPM, но она отключена. Чтобы узнать, как включить его, см. статью Включение TPM 2.0 на компьютере.
Далее нужно узнать, какая версия доверенного платформенного модуля есть на вашем компьютере. Выберите Сведения об обработчике безопасности и на появившемся экране найдите версию спецификации. Должна быть указана версия 1.2 или 2.0.
Важно: Для Windows 11 требуется TPM 2.0. Дополнительные сведения см. в статье Требования к системе для Windows 11.
Хотите узнать больше о доверенном платформенном модуле? См. статью Обзор технологии доверенного платформенного модуля.
Что такое микросхема TPM и почему она требуется Windows 11? — Обзор Компьютерщик
sdx15 / Shutterstock.com
Если вы в последнее время следили за техническими новостями, вы, вероятно, слышали о шумихе, которую Microsoft поднимает по поводу минимальных требований к оборудованию для своей новой операционной системы Windows 11. Одно из таких требований — микросхема TPM 2.0. Но что это такое и почему это требуется Microsoft?
TPM расшифровывается как «Trusted Platform Module», и это тип микросхемы, расположенной на материнской плате вашего компьютера для обеспечения безопасности. Хотя это хорошая отправная точка, мы углубились и изучили малоизвестный компонент еще больше, чтобы ответить на все ваши животрепещущие вопросы, например, для чего он используется, как узнать, есть ли он на вашем компьютере и где его купить. если нет.
Что такое микросхема TPM?
Модуль Trusted Platform Module — это крошечный чип на материнской плате вашего компьютера, обеспечивающий функции безопасности на аппаратном уровне. По сути, это защищенный криптопроцессор, способный выполнять такие операции, как создание ключей шифрования и обеспечивать сочетание программной и аппаратной аутентификации с защитой от несанкционированного доступа.
Современные стандартные компьютеры обычно уже имеют автономный чип TPM, припаянный к материнской плате. Если вы собираете свой собственный компьютер, вы также можете приобрести его отдельно в качестве дополнительного модуля к любой материнской плате, которая его поддерживает. Однако не все материнские платы поддерживают микросхемы TPM или имеют соответствующий разъем, о чем мы поговорим позже.
ECLIPSE PRODUCTION / Shutterstock.com
Существуют и другие формы TPM, помимо физических автономных микросхем, хотя рядовому пользователю не нужно об этом беспокоиться. Некоторые из них могут быть интегрированы в основной ЦП как встроенное ПО или как физическая надстройка. Существуют также чисто виртуальные TPM, полностью работающие в программном обеспечении. Хотя ни один из них не так безопасен, как отдельный чип, первый по-прежнему является более жизнеспособным вариантом из двух, поскольку он использует дискретную и надежную среду по сравнению с той, которую можно легко взломать и изменить.
Для чего используются микросхемы TPM?
Короче говоря, микросхемы TPM обеспечивают безопасность. Они чаще всего используются для защиты и шифрования данных и могут хранить конфиденциальную информацию, такую как пароли, ключи шифрования и сертификаты безопасности, с аппаратным барьером.
Чип TPM может помещать в карантин себя (и, следовательно, любые данные, хранящиеся на нем), если он обнаруживает вредоносное ПО или вирус на вашем устройстве. В некоторых случаях микросхема может сканировать BIOS вашего компьютера при перезагрузке и запускать серию условных тестов для проверки наличия нежелательных программ или доступа перед его запуском. Чипы также способны определять, не взломали ли кто-то диск вашего компьютера (например, если он был украден), предотвращать загрузку компьютера и блокировать систему, если он что-то обнаруживает. Чипы также могут хранить биометрическую информацию для входа, как в Windows Hello.
Однако чаще всего микросхемы используются для генерации уникальных криптографических ключей. При этом микросхема хранит часть ключа при себе (буквально — она хранится только в TPM, а не на вашем жестком диске). Ключи помогают зашифровать ваш жесткий диск, и любой, кто пытается получить доступ к этому ключу, не может просто скрыться с жестким диском и получить информацию позже, когда они подключат его к материнской плате своего компьютера дома.
Rawpixel.com/Shutterstock.com
Более того, опытные пользователи часто используют микросхемы для обработки зашифрованных сообщений с подписью ключей в почтовых клиентах. Чипы также часто используются браузерами, такими как Chrome, в расширенных функциях, таких как поддержка сертификатов SSL.
Кто использует микросхемы TPM?
Раньше компонент обычно использовался только крупными компаниями, которым нужно было защитить свою информацию. Чаще всего можно было увидеть микросхемы в корпоративных ноутбуках, поскольку они использовались там, чтобы гарантировать, что ни сотрудники, ни кто-либо еще не испортили аппаратное или программное обеспечение.
Медиа-компании, использующие телеприставки, часто использовали их, чтобы обеспечить надлежащее распространение своего контента без воровства. Современные смартфоны, такие как Pixels и айфоны, есть также недавно принятый аналогичные микросхемы безопасности.
Теперь, хотя компания еще не сообщила, почему, Microsoft также решила сделать этот чип значительной частью своих требований к оборудованию для предстоящего обновления Windows 11. Он привлекает к себе внимание относительно нишевого компонента, о чем должен знать любой, кто хочет запустить новую операционную систему.
Зачем Microsoft может потребоваться микросхема TPM для Windows 11?
Только через несколько дней Microsoft удалила эту информацию со своего веб-сайта. Об этом также говорится в обновленное сообщение в блоге что было временно удалено приложение PC Health Check, которое позволяло пользователям видеть, совместим ли их компьютер с новыми требованиями к оборудованию, ссылаясь на обратную реакцию. В настоящее время, Списки Microsoft TPM 2.0 — единственный жесткий минимум.
На сегодняшний день Microsoft никогда не предъявляла столь жестких требований к оборудованию ни для одной из предыдущих версий Windows. Никого не удивляет, что компания сталкивается с негативной реакцией, не говоря уже о том, чтобы не приводить никаких аргументов в пользу требований, удалять приложение PC Health Check и перебрасывать другие утверждения.
sdx15 / Shutterstock.com
Учитывая природу микросхем TPM и их возможности, возможно, Microsoft просто уделяет особое внимание вопросам безопасности. Фактически, микросхемы обеспечат базовый уровень аппаратной безопасности для работы Windows 11. Microsoft также была совместное использование предупреждений об атаках на микропрограммы в течение нескольких месяцев, и со всеми атаками программ-вымогателей, которые мы видели (не говоря уже о IoT и предоставлении уязвимостей или фишинговых атаках), безусловно, не повредит приложить дополнительные усилия для обеспечения большей безопасности в будущем.
Но хотя микросхемы TPM будут иметь большое значение для смягчения этих атак, которые в основном запускаются против устройств под управлением Windows, Microsoft также необходимо учитывать своих пользователей.
Кто-то может возразить, что более высокие требования к оборудованию имеют финансовую мотивацию. Идея состоит в том, чтобы помочь предотвратить запланированное устаревание и заставить больше людей покупать новый компьютер, у которого есть все необходимое оборудование. Это может помешать людям держаться за свой старый рабочий стол, на котором все еще работает Windows 8, еще десять лет, как это делали в прошлом с предыдущими обновлениями. Учитывая, что Microsoft — это бизнес, а не благотворительная деятельность, это справедливый аргумент.
Тем не менее, история Microsoft доказывает, что она не так хороша, когда дело касается продвижения своего программного и аппаратного обеспечения в будущее. Компания фактически требовала, чтобы TPM были включены на любых новых компьютерах, начиная с Windows 10, OEM-производители были обязаны поставлять устройства с поддержкой TPM, но компания никогда не заставляла своих партнеров по устройствам включать их для работы в Windows. Стоит иметь в виду, что даже ноутбуки и настольные компьютеры с Windows 10 возрастом всего пять лет или меньше могут быть отключены от Windows 11.
Неудивительно, что пользователи были в замешательстве, разочарованы и даже расстроены, если не считать того, что они решительно настроены на обновление, и того, что Microsoft молчит по этому поводу. С одной стороны, справедливо и даже ожидаемо, что компания предпримет шаги по обеспечению безопасности своего продукта (и, в свою очередь, пользователей); с другой стороны, внезапное затруднение доступа к этому продукту, потенциально ограничивающее пользовательскую базу и определенно сбивающее с толку, это не совсем разумный бизнес-ход.
Проблема усугубляется скальперами, которые (конечно) уже накопили доступные компоненты только для того, чтобы продать их по смехотворно завышенным ценам на eBay.
В чем разница между TPM 1.2 и TPM 2.0?
Хотя Microsoft до сих пор неясно, будет ли это круто со стандартом TPM 1.2 или в конечном итоге выбрать TPM 2.0, все же стоит знать разницу между ними.
ASRock
Microsoft заявляет: «Спецификация TPM 1.2 допускает использование только RSA и SHA-1 хеширование алгоритм.» Точно так же это следует из заявления: «TPM 2.0 обеспечивает большую криптографическую гибкость, будучи более гибким в отношении криптографических алгоритмов. TPM 2.0 поддерживает новые алгоритмы, которые могут улучшить производительность подписания дисков и генерации ключей ».
Проще говоря, технология TPM 2.0 новее, чем технология TPM 1.2, последняя из которых существует с 2011 года. Его шифрование более надежное и безопасное, и оно лучше поддерживает новые алгоритмы. И, как и в случае с большинством технических вещей, новые вещи обычно лучше.
Как проверить, есть ли на вашем компьютере микросхема TPM
Прежде всего, если вы приобрели компьютер в любое время после 28 июля 2016 г., скорее всего, в нем уже есть чип TPM 2.0, который уже включен. Однако, если ваше устройство старше этого или если вы создали свое собственное, это может быть не так.
Тем не менее, наш дочерний сайт How-to-Geek поделился несколько способов чтобы убедиться в этом сами, например, проверив инструмент управления TPM или экран настроек прошивки UEFI. Также возможно, что вам может потребоваться связаться с производителем вашего компьютера, чтобы узнать, или посмотреть, есть ли у них на сайте раздел часто задаваемых вопросов, в котором перечислены устройства, которые есть.
Как включить микросхему TPM на вашем компьютере
Если вы создали свой собственный компьютер, есть небольшая вероятность, что он может сказать, что у него нет TPM 2.0, или что он есть, но не включен. Так что если это так, вам нужно прыгнуть в UEFI или BIOS экран настроек и включите его там. Кроме того, иногда компьютер может сказать, что у него нет TPM 2.0, но на самом деле он просто отключен, когда вы посмотрите его в настройках; вы все равно можете включить его при необходимости.
PHILIPIMAGE / Shutterstock.com
Вы будете искать любой вариант с названием «Поддержка TPM», «Модуль доверенной платформы», «Intel PTT», «PSP fTPM» или что-то подобное. Оттуда просто включите его, сохраните настройки и перезагрузите компьютер. Имейте в виду, что есть вероятность, что микросхема TPM вашего ПК также указана и отключен в вашем диспетчере устройств (хотя маловероятно), поэтому обязательно проверьте и там, если его нельзя включить в другом месте.
Где купить микросхему TPM?
Тем, кому действительно нужно купить микросхему TPM для своей установки, обязательно найдите тот, который продается как дополнительный модуль. Перед тем, как нажать кнопку «Купить», дважды проверьте, поддерживает ли микросхема материнскую плату вашего компьютера, а также что у вас есть какие-либо другие аппаратные компоненты.
Если вам удастся его найти, обязательно включите его шифрование в BIOS вашего ноутбука или настольного компьютера. Большинство производителей компьютеров предлагают программное обеспечение, которое также может помочь вам получить доступ к функциям TPM.
Понятно, что необходимо обработать много информации, особенно потому, что микросхемы TPM — это нишевый компонент, над которым Microsoft никогда раньше не обращала особого внимания. Но не волнуйтесь, вполне возможно, что технический гигант снизит свои требования к оборудованию для Windows 11 или решит полностью отказаться от требования TPM. По крайней мере, есть надежда.