Рекомендации по доверенному платформенному модулю

  • Статья

В этом разделе содержатся рекомендации по технологии доверенного платформенного модуля (TPM) в Windows 10.

Обзор

Технология доверенного платформенного модуля (TPM) предназначена для аппаратной защиты. Она состоит из криптографического процесса, обеспечивающего безопасность и предназначенного для выполнения операций шифрования на различных устройствах и форм-факторах. Технология содержит несколько механизмов физической защиты, которые предотвращают взлом вредоносным ПО функций безопасности доверенного платформенного модуля. Некоторые из основных преимуществ использования технологии TPM:

  1. создание, сохранение и использование защищенных криптографических ключей;
  2. использование технологии TPM для проверки подлинности платформенных устройств с помощью уникального ключа подтверждения (EK);
  3. обеспечение целостности платформы за счет снятия и хранения измерений безопасности.

Самые распространенные функции TPM используются для оценки целостности системы, а также для создания и применения ключей. Во время загрузки системы загружаемый загрузочный код (в том числе встроенное ПО и компоненты операционной системы) можно проверить и записать в модуль TPM. Измерения целостности можно использовать для проверки запуска системы и подтверждения того, что ключ на основе TPM использовался, только когда система была загружена с правильным программным обеспечением.

Разные версии TPM определены в спецификации организации TCG.

Примечание  

Некоторая информация относится к предварительной версии продукта, в которую к моменту выпуска официальной версии могут быть внесены значительные изменения. Майкрософт не дает никаких гарантий, явных или подразумеваемых, в отношении предоставленной здесь информации.

 

Сравнение TPM версии 1.2 и 2.0

Корпорация Майкрософт является лидером отрасли по стандартизации доверенного платформенного модуля TPM 2.0 и переходу на его использование. Как показано в таблице ниже, TPM 2.0 содержит много реализованных преимуществ, связанных с алгоритмами, шифрованием, иерархией, корневыми ключами, авторизацией и энергонезависимой оперативной памятью.

Преимущества TPM 2.0

Продукты и системы на основе TPM 2.0 имеют важные преимущества безопасности по сравнению TPM 1.2, в том числе:

  • Спецификации TPM 1.2 позволяют использовать только RSA и алгоритм хэширования SHA-1.
  • В целях безопасности некоторые организации перестают использовать SHA-1. В частности, Национальный институт стандартов и технологий США (NIST) потребовал от многих федеральных агентств перейти на использование SHA-256, начиная с 2014 года, а технологические лидеры, включая Майкрософт и Google, объявили о прекращении с 2017 года поддержки подписывания и сертификатов на основе SHA-1.
  • TPM 2.0 поддерживает большую криптографическую гибкость, так как позволяет более гибко работать с криптографическими алгоритмами.
    • TPM 2.0 поддерживает SHA-256, а также ECC, причем ECC является критически важным для повышения производительности создания ключей и подписывания.
    • TPM 2.0 получил стандартизацию ISO (ISO/IEC 11889:2015).
    • Использование TPM 2.0 поможет исключить необходимость внесения изготовителями оборудования исключений в стандартные конфигурации для продажи устройств в некоторых странах и регионах.
  • TPM 2.0 предоставляет более согласованное взаимодействие при всем разнообразии внедрения.
    • Реализации TPM 1.2 как в дискретном виде, так и во встроенном ПО, различаются по параметрам политики. Это может привести к проблемам с технической поддержкой в связи с различиями политик блокировки.
    • Требование к стандартизации политики TPM 2.0 позволяет установить согласованное поведение блокировки на различных устройствах, поэтому Windows может обеспечить более качественное взаимодействие с пользователями на всех этапах.
  • Тогда как детали TPM 1.2 представляли собой дискретные кремниевые компоненты, припаянные к системной плате, TPM 2.0 доступна как в виде дискретного (dTPM) кремниевого компонента, так и в виде компонента на основе встроенного ПО (fTPM) , который работает в доверенной среде выполнения (TEE) в основной системе-на-кристалле (SoC):
    • На микросхемах Intel это Intel Management Engine (ME) или Converged Security Engine (CSE).
    • На микросхемах AMD это AMD Security Processor.
    • На микросхемах ARM это Trustzone Trusted Application (TA).
    • Если TPM используется в качестве встроенного ПО для настольных систем Windows, поставщик микросхем предоставляет изготовителю оборудования реализацию встроенного ПО TPM вместе с другим встроенным ПО на микросхеме.

Дискретный TPM или TPM в виде встроенного ПО?

Windows использует дискретный TPM и TPM в виде встроенного ПО одинаково. При использовании любого из этих вариантов для Windows нет никаких функциональных преимуществ или недостатков.

С точки зрения безопасности дискретный TPM и TPM в виде встроенного ПО обладают одинаковыми характеристиками.

  • Оба варианта задействуют безопасное выполнение на основе оборудования.
  • Оба варианта используют встроенное ПО для некоторых функциональных возможностей TPM.
  • Оба варианта имеют функции защиты от взлома.
  • Оба варианта имеют уникальные ограничения и риски, связанные с безопасностью.

Дополнительные сведения см. в разделе fTPM: реализация TPM 2.0 на основе встроенного ПО.

Соответствие Windows 10 требованию об использовании TPM 2.0 в будущем

С 28 июля 2016 г. все поставляемые устройства для Windows 10 любых типов SKU должны использовать дискретный TPM или TPM на основе встроенного ПО. Это требование будет реализовываться через нашу программу сертификации оборудования для Windows.

Windows 10 для настольных компьютеров (Домашняя, Pro, Корпоративная и для образовательных учреждений)

  • В Windows 10, как и в Windows 8, все подключенные системы, работающие в состоянии ожидания, должны поддерживать TPM 2.0.
  • Если для Windows 10 и более поздних версий выбран SoC со встроенным fTPM2.0, устройство должно поставляться с поддержкой встроенного ПО fTPM или дискретным TPM 1.2 или 2.0.
  • Начиная с 28 июля 2016 г., все устройства, поставляемые с версией Windows 10 для настольных компьютеров, должны задействовать TPM 2.0 и поставляться с уже включенным доверенным платформенным модулем.

Windows 10 Mobile

  • Все устройства, поставляемые с Windows 10 Mobile, должны задействовать TPM 2.0 и поставляться с уже включенным доверенным платформенным модулем.

IoT Базовая

  • TPM не является обязательным компонентом IoT Базовая.

Windows Server 2016 Technical Preview

  • Доверенный платформенный модуль не является обязательным компонентом SKU Windows Server, если только SKU не должно соответствовать дополнительным квалификационным критериям (AQ) для сценария Host Guardian Services, в случае чего наличие TPM 2.0 является обязательным.

TPM и компоненты Windows

В следующей таблице указано, какие компоненты Windows нуждаются в поддержке доверенного платформенного модуля. Некоторые компоненты не используются в Windows 7/8/8.1 и помечены соответствующим образом.

Компоненты Windows Windows 7/8/8.1 TPM 1.2 Windows 10 TPM 1.2 Windows 10 TPM 2.0 Сведения
Измеряемая загрузка Требуется Требуется Требуется Измеряемая загрузка нуждается в TPM 1.2 или 2.0 и безопасной загрузке UEFI.
Bitlocker Требуется Требуется Требуется Требуется TPM 1.2 или выше либо съемное запоминающее устройство USB, такое как флэш-накопитель.
Паспорт: присоединение к домену AADJ Н/д Требуется Требуется Поддерживаются обе версии TPM, однако для поддержки аттестации ключей требуется TPM с HMAC и сертификатом EK.
Паспорт: учетная запись Майкрософт или локальная учетная запись Н/д Не требуется Требуется Для поддержки аттестации ключей требуется TPM 2.0 с HMAC и сертификатом EK.
Шифрование устройства Н/д Не требуется Требуется Для всех устройств InstantGo требуется TPM 2.0.
Device Guard / настраиваемая целостность кода Н/д Необязательно Необязательно
Credential Guard Н/д Требуется Требуется Для Windows 10 версии 1511 настоятельно рекомендуется использовать доверенный платформенный модуль (TPM) 1.2 или 2.0. Если у вас не установлен TPM, Credential Guard по-прежнему будет включен, но ключи, используемые для шифрования Credential Guard, не будут защищены модулем TPM.
Аттестация работоспособности устройства Н/д Не требуется Требуется
Windows Hello Н/д Не требуется Не требуется
Безопасная загрузка UEFI Не требуется Не требуется Не требуется
Платформенный поставщик хранилища ключей Н/д Требуется Требуется
Виртуальная смарт-карта Н/д Требуется Требуется
Хранилище сертификатов (привязка к TPM) Н/д Требуется Требуется

 

Параметры наборов микросхем для TPM 2.0

Существуют различные производители как дискретных TPM, так и TPM на основе встроенного ПО.

Дискретный TPM

Поставщик
  • Infineon
  • Nuvoton
  • NationZ
  • ST Micro

 

TPM на основе встроенного ПО

Поставщик Набор микросхем
AMD
  • Mullins
  • Beema
  • Carrizo
Intel
  • Clovertrail
  • Haswell
  • Broadwell
  • Skylake
  • Baytrail
Qualcomm
  • MSM8994
  • MSM8992
  • MSM8952
  • MSM8909
  • MSM8208

 

Отзывы изготовителей оборудования и состояние доступности систем с TPM 2.0

Сертифицированные компоненты TPM

Пользователи государственных учреждений и корпоративные клиенты в регулируемых отраслях могут руководствоваться стандартами покупки, которые требуют использования общих сертифицированных компонентов TPM. В результате изготовители оборудования, которые предоставляют устройства, могут столкнуться с необходимостью использования только сертифицированных компонентов TPM в системах коммерческого уровня. Поставщики дискретных TPM 2.0 ориентируются на завершение сертификации к концу 2015 года.

Поддержка 32-разрядной версии Windows 7

Хотя Windows 7 начала поставляться до появления спецификаций и самих продуктов TPM 2.0, корпорация Майкрософт обеспечила ретроподдержку TPM 2.0 в 64-разрядной Windows 7 летом 2014 года в виде доступного для загрузки исправления Windows для систем Windows 7 на основе UEFI. В настоящее время Майкрософт не планирует обеспечивать ретроподдержку TPM в 32-разрядной версии Windows 7.