Recomendaciones para TPM

  • Artículo

En este tema se proporcionan recomendaciones para la tecnología de Módulo de plataforma segura (TPM) para Windows 10.

Información general

La tecnología de Módulo de plataforma segura (TPM) está diseñada para proporcionar funciones de seguridad basadas en el hardware. Tiene un procesador de criptografía relacionado con la seguridad que está diseñado para llevar a cabo operaciones criptográficas en una variedad de dispositivos y factores de forma. Incluye varios mecanismos de seguridad física para impedir que software malintencionado altere las funciones de seguridad del TPM. Algunas de las principales ventajas de usar la tecnología TPM son que permiten:

  1. Generar, almacenar, usar y proteger claves criptográficas,
  2. Usar la tecnología TPM para la autenticación de dispositivos de plataforma mediante una clave de aprobación (EK) única y
  3. Ayudar a mejorar la integridad de la plataforma tomando y almacenando medidas de seguridad.

Las funciones de TPM más comunes se usan para las medidas de integridad del sistema y para la creación y el uso de las claves. Durante el proceso de arranque de un sistema, es posible medir y registrar en el TPM el código de arranque que se carga (incluido el firmware y los componentes del sistema operativo). Las mediciones de integridad se pueden usar como prueba de cómo se inició un sistema y para asegurarse de que la clave basada en el TPM se usó solo con el software adecuado para arrancar el sistema.

Las especificaciones de Trusted Computing Group (TCG) definen las distintas versiones del TPM.

Nota  

Parte de la información hace referencia al producto de versión preliminar, el cual puede sufrir importantes modificaciones antes de que se publique la versión comercial. Microsoft no ofrece ninguna garantía, expresa o implícita, con respecto a la información que se ofrece aquí.

 

Comparación entre TPM 1.2 y 2.0

Desde un estándar del sector, Microsoft ha sido líder del sector en mover y estandarizar en TPM 2.0. Como se indica en la tabla siguiente, TPM 2.0 ha conseguido muchos beneficios clave a través de algoritmos, criptografía, jerarquía, claves raíz, autorización y NV RAM.

¿Por qué TPM 2.0?

Los productos y sistemas de TPM 2.0 disponen de ventajas de seguridad importantes con relación a TPM 1.2, incluidos:

  • La especificación de TPM 1.2 solo permite el uso de RSA y el algoritmo hash SHA-1.
  • Por motivos de seguridad, algunas entidades están abandonando SHA-1. En particular, NIST ha requerido a muchas agencias federales que pasen a SHA-256 a partir de 2014 y líderes de tecnología, incluido Microsoft y Google han anunciado que dejarán de dar soporte técnico a certificados o firmas basados en SHA-1 en 2017.
  • TPM 2.0 permite mayor agilidad criptográfica ya que es más flexible con respecto a los algoritmos criptográficos.
    • TPM 2.0 admite SHA-256, así como ECC, este último es crítico para controlar el rendimiento del inicio de sesión y la generación de claves.
    • TPM 2.0 ha conseguido la normalización ISO (ISO/IEC 11889:2015).
    • El uso de TPM 2.0 puede ayudar a eliminar la necesidad que tienen los OEM de hacer excepciones en configuraciones estándar para determinados países y regiones.
  • TPM 2.0 ofrece una experiencia más coherente en las diferentes implementaciones.
    • Las implementaciones de TPM 1.2, en los casos discretos y de firmware varían en la configuración de directiva. Esto podría causar problemas de compatibilidad ya que varían las directivas de bloqueo.
    • El requisito de directiva estandarizada de TPM 2.0 establece una experiencia de bloqueo coherente en todos los dispositivos, así Windows puede ofrecer una mejor experiencia de usuario de extremo a extremo.
  • Mientras las piezas de TPM 1.2 eran componentes de silicio discretos soldados normalmente en la placa base, TPM 2.0 está disponible como componente de silicio discreto (dTPM) y como componente basado en firmware (fTPM) que se ejecuta en un entorno de ejecución de confianza (TEE) en el SoC principal del sistema:
    • En chips de Intel, es el motor de administración de Intel (ME) o el motor de seguridad convergido (CSE).
    • Para chips AMD, es el procesador de seguridad AMD.
    • Para chips ARM, es una aplicación de confianza Trustzone (TA).
    • En el caso del TPM de firmware para sistemas Windows de escritorio, el proveedor del chip proporciona la implementación del TPM de firmware junto con otro firmware del chip para los OEM.

¿TPM discreto o de firmware?

Windows usa TPM discretos y de firmware de la misma manera. Windows no obtiene ninguna ventaja o desventaja funcional de cualquiera de las opciones.

Desde una perspectiva de seguridad, los TPM discretos y de firmware comparten las mismas características.

  • Ambos usan la ejecución segura basada en hardware.
  • Ambos usan firmware para partes de la funcionalidad de TPM.
  • Ambos están equipados con capacidades de resistencia a manipulaciones.
  • Ambos tienen limitaciones y riesgos de seguridad únicos.

Para obtener más información, consulta fTPM: una implementación basada en Firmware TPM 2.0.

Cumplimiento con TPM 2.0 para Windows 10 en el futuro

Todos los dispositivos ofrecidos para Windows 10 en todos los tipos de SKU deben usar TPM 2.0 discretos o de firmware a partir del 28 de julio de 2016. Este requisito se aplicará a través de nuestro programa de Certificación de hardware de Windows.

Windows 10 para ediciones de escritorio (Home, Pro, Enterprise y Education)

  • Con Windows 10 igual que con Windows 8, es necesario que todos los sistemas en modo de espera conectados incluyan compatibilidad con TPM 2.0.
  • Para Windows 10 y versiones posteriores, si se elige un SoC que incluye un fTPM2.0 integrado, el dispositivo debe incluir la compatibilidad de fTPM FW o un TPM 1.2 o 2.0 discreto.
  • Desde el 28 de julio de 2016 todos los dispositivos con Windows 10 Escritorio deben implementar TPM 2.0 y suministrarse con el TPM habilitado.

Windows 10 Mobile

  • Todos los dispositivos con Windows 10 Mobile deben implementar TPM 2.0 y suministrarse con el TPM habilitado.

IoT Core

  • TPM es opcional en IoT Core.

Windows Server 2016 Technical Preview

  • TPM es opcional para las SKU de Windows Server, a menos que la SKU cumpla con los criterios de cualificación (AQ) adicionales para el escenario de servicios de protección de host en el que se requiere TPM 2.0.

TPM y características de Windows

En la siguiente tabla se define qué características de Windows requieren compatibilidad con el TPM. Algunas características no son aplicables a Windows 7, 8 y 8.1 y se indican en consecuencia.

Características de Windows Windows 7, 8 y 8.1 TPM 1.2 Windows 10 TPM 1.2 Windows 10 TPM 2.0 Detalles
Medir el arranque Obligatorio Obligatorio Obligatorio El arranque medido requiere TPM 1.2 o 2.0 y el arranque seguro de UEFI.
Bitlocker Obligatorio Obligatorio Obligatorio Se requiere TPM 1.2 o posterior o un dispositivo de memoria USB extraíble como una unidad flash.
Passport: unión a AADJ de dominio n/a Obligatorio Obligatorio Admite ambas versiones de TPM, pero requiere un TPM con certificado de HMAC y EK para la compatibilidad con atestación de clave.
Passport: MSA o cuenta Local n/a No obligatorio Obligatorio TPM 2.0 se requiere con certificado de HMAC y EK para la compatibilidad con atestación de clave.
Cifrado de dispositivo n/a No obligatorio Obligatorio TPM 2.0 es obligatorio para todos los dispositivos InstantGo.
Device Guard e integridad de código configurable n/a Opcional Opcional
Credential Guard n/a Obligatorio Obligatorio Para Windows 10, versión 1511, es muy recomendable TPM 1.2 o 2.0. Si no tienes un TPM instalado, Credential Guard se habilitará de todas formas, pero las claves usadas para cifrar Credential Guard no estarán protegidas con el TPM.
Atestación de estado del dispositivo n/a No obligatorio Obligatorio
Windows Hello n/a No obligatorio No obligatorio
Arranque seguro de la UEFI No obligatorio No obligatorio No obligatorio
Proveedor de almacenamiento de claves de la plataforma n/a Obligatorio Obligatorio
Tarjeta inteligente virtual n/a Obligatorio Obligatorio
Almacenamiento de certificados (vinculado al TPM) n/a Obligatorio Obligatorio

 

Opciones de conjunto de chips de TPM 2.0

Hay una variedad de fabricantes de TPM tanto discretos como de firmware.

TPM discreto

Proveedor
  • Infineon
  • Nuvoton
  • NationZ
  • ST Micro

 

TPM de firmware

Proveedor Conjunto de chips
AMD
  • Mullins
  • Beema
  • Carrizo
Intel
  • Clovertrail
  • Haswell
  • Broadwell
  • Skylake
  • Baytrail
Qualcomm
  • MSM8994
  • MSM8992
  • MSM8952
  • MSM8909
  • MSM8208

 

Comentarios del OEM y estado de la disponibilidad del sistema TPM 2.0

Partes del TPM certificadas

Los clientes del gobierno y los clientes empresariales de sectores regulados pueden aplicar estándares de adquisición que requieran el uso de piezas comunes certificadas del TPM. Por lo que puede que sea necesario que los OEM que proporcionan los dispositivos, usen solamente los componentes de TPM certificados en sus sistemas de clase comercial. Los proveedores de TPM 2.0 discretos tienen como objetivo la finalización de la certificación para finales de 2015.

Compatibilidad con Windows 7 de 32 bits

Aunque Windows 7 u otros productos se comercializaban antes de la especificación de TPM 2.0, Microsoft adaptó el TPM 2.0 para la compatibilidad con Windows 7 de 64 bits y lo publicó en verano 2014 como una revisión de Windows que se puede descargar para sistemas Windows 7 basados en UEFI. Microsoft no planea actualmente la adaptación para la compatibilidad con Windows 7 de 32 bits.