We hebben een aantal veelgestelde vragen (FAQ) verzameld over TPM 2.0 dat voor Windows 11 nodig is. Microsoft vereist een hardwarebeveiligingsmodule van het type TPM 2.0. Die zijn al enige tijd op de markt, maar er zijn drie varianten – en ze zijn niet bij elke pc geactiveerd.
WAT IS EEN TPM? |
Een Trusted Platform Module (TPM) biedt soortgelijke functies als een smartcard, maar is ingebouwd in een computer, oftewel verbonden met het platform. De TPM fungeert als een afzonderlijke vertrouwensbasis (Root-of-Trust), geheel onafhankelijk van de hoofdprocessor (cpu), het werkgeheugen (RAM), de massaopslag en het besturingssysteem.
Daartoe bewaart het een geheime waarde die de TPM nooit verlaat, maar die dient als de root van een cryptografische certificaatketen. De TPM kan andere digitale certificaten ondertekenen en verifiëren en veilige sleutels genereren. Ten slotte biedt een TPM beveiligde opslag, de zogenaamde Platform Configuration Registers (PCR’s). De computer kan er hashes in opslaan, om bijvoorbeeld manipulaties van de firmware op te sporen.
TPM OF FTPM? ? Wat is het verschil tussen de begrippen TPM 2.0 en fTPM 2.0? |
Windows 11 kan zowel een TPM 2.0 als een fTPM 2.0 gebruiken. Een TPM 2.0 is een afzonderlijke (discrete) chip die apart op het moederbord wordt gesoldeerd of op een insteekmodule zit. Gecertificeerde TPM 2.0-chips worden geleverd door Infineon (IFX), STMicroelectronics (STM) en Nuvoton.
De f in fTPM staat daarentegen voor firmware. Een fTPM is geen afzonderlijke chip, maar een geïntegreerd functieblok in een processor, System-on-Chip (SoC) of chipset op een moederbord. Omdat de fTPM-firmware op een ingebedde maar afzonderlijke microcontrollerkern draait, werkt een fTPM ook onafhankelijk van de cpu, het RAM en de massaopslag.
Tot dusver zijn er alleen fTPM’s volgens de TPM 2.0-specificatie (fTPM 2.0), dat wil zeggen met hetzelfde scala aan functies als discrete TPM 2.0-chips. Die laatste zijn beschikbaar in versies die aan strengere veiligheidsnormen voldoen, bijvoorbeeld Common Criteria Elevated Assurance Level 4+ (CC EAL4+).
BESCHIKBARE TPM BEPALEN ? Hoe kan ik herkennen of mijn systeem een TPM 2.0 heeft? |
Als de TPM geactiveerd is, vind je in Apparaatbeheer van Windows 10 een item onder Beveiligingsapparaten. Je ziet daarbij ook vermeld of het om een TPM 1.2 of TPM 2.0 gaat, maar niet of het gaat om een discrete chip of een fTPM.
Je hebt meer aan de gegevens die je vindt bij het Configuratiescherm onder Apparaatbeveiliging. Bij Beveiligingsprocessor vind je via ‘Details beveiligingsprocessor’ de naam van de fabrikant. Staat daar Intel, AMD of Qualcomm, dan gaat het om een fTPM, in andere gevallen is het een discrete chip.
Daarop is nog een uitzondering: bij virtuele machines kan een geëmuleerde TPM (Virtual TPM, vTPM) worden geactiveerd waarbij Microsoft als fabrikant verschijnt (fabrikant: MSFT).
TPM ACTIVEREN ? Hoe kan ik TPM bij de BIOS-instellingen inschakelen? |
Als een TPM-chip aanwezig is of als fTPM in de hardware geïntegreerd is, maar niet opduikt in Windows, moet die mogelijk nog worden geactiveerd via een optie bij de BIOS-instellingen.
Daarvoor moet de moederbordfabrikant zo’n optie wel hebben ingebouwd. Je vindt de betreffende optie in het BIOS vaak terug in menu’s met namen als Security, Security Chip of Platform Security.
Blijf op de hoogte van de nieuwste informatie en tips!
Schrijf je in voor de nieuwsbrief:
BESCHIKBAARHEID TPM ? Sinds wanneer hebben pc’s, laptops en tablets normaliter een TPM 2.0? |
De TPM 2.0-specificatie verscheen in 2012, en Infineon kondigde de eerste compatibele chips aan in 2013. Sindsdien worden ze vooral gebruikt in kantoorcomputers met vPro-hardware van Intel, later ook in die met AMD Ryzen Pro, en in laptops uit de zakelijke reeks van HP (Elite), Dell (Latitude/Precision), Lenovo (ThinkPad), Fujitsu (Lifebook) en Toshiba/ Dynabook.
AMD integreert sinds 2014 de zogeheten Platform Security Processor (PSP, later Secure Processor) op basis van een ARM CortexA5 in alle processors, te beginnen met Beema/Mullins en Carrizo. Bij Intel draait de fTPM in de zogeheten Converged Security and Management Engine (CSME, voorheen ME) van chipsets sinds de 100serie (Z170, Q170, H170, B150) voor Core i6000 (Skylake) uit 2015.
Je vindt fTPM’s ook in de AtomCelerons uit 2014 (Bay Trail, Celeron N2000), daar in de Trusted Execution Engine (TXE). Die fTPM’s zijn niet altijd daadwerkelijk bruikbaar, maar alleen als de nodige firmware ook aan boord is en het BIOS ze activeert. Sommige systemen hebben zelfs twee TPM’s, namelijk een TPMchip naast de fTPM.
TPM INBOUWEN ? Kan ik later achteraf nog een TPM in mijn pc inbouwen? |
Veel moederborden beschikken over een header (TPM Header) waarop een kleine printplaat met een TPMchip kan worden geplaatst. Het BIOS moet daar wel voor zijn ingericht en er zijn verschillende fysieke interfaces zoals een LowPincount( LPC) interface, Serial Peripheral Interconnect (SPI) of I2C. Je hebt dus een TPMmodule nodig die specifiek op jouw moederbord past.
TPM-TOEPASSINGEN ? Waarvoor gebruikt Windows eigenlijk de TPM en wat heb ik daaraan? |
De bekendste toepassing van een TPM onder Windows is de versleuteling van harde schijven of ssd’s met BitLocker, dat alleen beschikbaar is in de Proen Enterpriseversies van Windows.
De encryptiesleutel kan (maar hoeft niet) aan de TPM worden gebonden (Key Sealing) om opgeslagen bestanden te beschermen als het opslagmedium van het systeem wordt losgekoppeld. Net als BitLocker werkt de schijfversleuteling Automatic Device Encryption, die de PCR 7 gebruikt, ook voor tablets en 2in1 hybriden met Modern Standby.
Een TPM kan ook worden geïntegreerd in biometrische verificatie met Windows Hello for Business. Daarnaast introduceerde Microsoft in 2019 in samenwerking met bijvoorbeeld Dell, HP en Lenovo laptops waarvan de firmware beter beschermd moet zijn tegen manipulatie (zoals door BIOSrootkits).
Deze SecuredCorepc’s gebruiken de TPM als Dynamic Root of Trust for Measurement (DRTM). Een TPM kan ook worden gebruikt voor de op virtualisatie gebaseerde beveiliging (VBS) en voor cryptografisch bewijs van de systeemstatus voor toegang tot cloudapplicaties (Micro soft Azure Attestation).
TPM EN UEFI SECURE BOOT ? Wat heeft een TPM te maken met de cryptografisch beveiligde opstartmodus UEFI Secure Boot? |
Niets. UEFI Secure Boot oftewel ‘veilig opstarten’, werkt ook zonder TPM. Speciale bootloaders, die bijvoorbeeld bij veel beveiligingssoft ware worden toegepast, kunnen een TPM echter integreren na het booten om manipulatie van het UEFIBIOS te detecteren (zie ook het DRTM in het voorgaande item).
TPM EN VEILIGHEID ? Zijn er bekende veiligheidsgaten bij het gebruik van TPM? |
In 2017 werd in TPM 1.2 chips van Infineon het veiligheidslek ROCA ontdekt in het algoritme voor het genereren van RSAsleutels. Dat werd gedicht middels firmwareupdates.
Verder kwam in 2019 het veiligheidslek TPMFail in TPM 2.0chips van STMicroelectronics en in fTPMimplementaties van Intel aan het licht. Ook die werden met behulp van patches gedicht. TPMFail had alleen betrekking op het Elliptic Curve Digital Signature Algorithm (ECDSA).
WINDOWS 11 ZONDER TPM ? Kun je de nieuwe Windows 11 ook zonder TPM gaan gebruiken? |
Dat is op het moment van schrijven nog niet helemaal duidelijk. Microsoft vereist TPM 2.0 voor een computer met het Windows 11 logo. Windows 11 kan via omwegen wel worden geïnstalleerd op systemen zonder TPM. Hoe dat uiteindelijk uitpakt is nog niet zeker.
(Deze informatie is afkomstig uit het artikel van Christof Windeck en Marco den Teuling, en verscheen eerder in c’t 11, 2021, p102)