De FAQ over vereiste TPM 2.0 voor Windows-11

Marco den Teuling
0

We hebben een aantal veelgestelde vragen (FAQ) verzameld over TPM 2.0 dat voor Windows 11 nodig is. Microsoft vereist een hardwarebeveiligingsmodule van het type TPM 2.0. Die zijn al enige tijd op de markt, maar er zijn drie varianten – en ze zijn niet bij elke pc geactiveerd.


FAQ Windows-11 TPM 2.0


WAT IS EEN TPM?

Een Trusted Platform Module (TPM) biedt soortgelijke functies als een smartcard, maar is ingebouwd in een computer, oftewel verbonden met het platform. De TPM fungeert als een afzonderlijke vertrouwensbasis (Root-of-Trust), geheel onafhankelijk van de hoofdprocessor (cpu), het werkgeheugen (RAM), de massaopslag en het besturingssysteem.

Daartoe bewaart het een geheime waarde die de TPM nooit verlaat, maar die dient als de root van een cryptografische certificaatketen. De TPM kan andere digitale certificaten ondertekenen en verifiëren en veilige sleutels genereren. Ten slotte biedt een TPM beveiligde opslag, de zogenaamde Platform Configuration Registers (PCR’s). De computer kan er hashes in opslaan, om bijvoorbeeld manipulaties van de firmware op te sporen.

 

TPM OF FTPM? ? Wat is het verschil tussen de begrippen TPM 2.0 en fTPM 2.0?

Windows 11 kan zowel een TPM 2.0 als een fTPM 2.0 gebruiken. Een TPM 2.0 is een afzonderlijke (discrete) chip die apart op het moederbord wordt gesoldeerd of op een insteekmodule zit. Gecertificeerde TPM 2.0-chips worden geleverd door Infineon (IFX), STMicroelectronics (STM) en Nuvoton.

De f in fTPM staat daarentegen voor firmware. Een fTPM is geen afzonderlijke chip, maar een geïntegreerd functieblok in een processor, System-on-Chip (SoC) of chipset op een moederbord. Omdat de fTPM-firmware op een ingebedde maar afzonderlijke microcontrollerkern draait, werkt een fTPM ook onafhankelijk van de cpu, het RAM en de massaopslag.

Tot dusver zijn er alleen fTPM’s volgens de TPM 2.0-specificatie (fTPM 2.0), dat wil zeggen met hetzelfde scala aan functies als discrete TPM 2.0-chips. Die laatste zijn beschikbaar in versies die aan strengere veiligheidsnormen voldoen, bijvoorbeeld Common Criteria Elevated Assurance Level 4+ (CC EAL4+).

 

BESCHIKBARE TPM BEPALEN ? Hoe kan ik herkennen of mijn systeem een TPM 2.0 heeft?

Als de TPM geactiveerd is, vind je in Apparaatbeheer van Windows 10 een item onder Beveiligingsapparaten. Je ziet daarbij ook vermeld of het om een TPM 1.2 of TPM 2.0 gaat, maar niet of het gaat om een discrete chip of een fTPM.

Je hebt meer aan de gegevens die je vindt bij het Configuratiescherm onder Apparaatbeveiliging. Bij Beveiligingsprocessor vind je via ‘Details beveiligingsprocessor’ de naam van de fabrikant. Staat daar Intel, AMD of Qualcomm, dan gaat het om een fTPM, in andere gevallen is het een discrete chip.

Daarop is nog een uitzondering: bij virtuele machines kan een geëmuleerde TPM (Virtual TPM, vTPM) worden geactiveerd waarbij Microsoft als fabrikant verschijnt (fabrikant: MSFT).


FAQ Windows-11 TPM 2.0

Bij Windows 10 verschijnt een TPM in het Configuratiescherm als ‘beveiligingsprocessor’. Bij de details staat ook informatie over de fabrikant (hier Infineon) en de specificatieversie (hier 2.0 voor TPM 2.0).


TPM ACTIVEREN ? Hoe kan ik TPM bij de BIOS-instellingen inschakelen?

Als een TPM-chip aanwezig is of als fTPM in de hardware geïntegreerd is, maar niet opduikt in Windows, moet die mogelijk nog worden geactiveerd via een optie bij de BIOS-instellingen.

Daarvoor moet de moederbordfabrikant zo’n optie wel hebben ingebouwd. Je vindt de betreffende optie in het BIOS vaak terug in menu’s met namen als Security, Security Chip of Platform Security.


Blijf op de hoogte van de nieuwste informatie en tips!
Schrijf je in voor de nieuwsbrief:

Ontvang elke week het laatste IT-nieuws, de handigste tips en speciale aanbiedingen.


 

BESCHIKBAARHEID TPM ? Sinds wanneer hebben pc’s, laptops en tablets normaliter een TPM 2.0?

De TPM 2.0-specificatie verscheen in 2012, en Infineon kondigde de eerste compatibele chips aan in 2013. Sindsdien worden ze vooral gebruikt in kantoorcomputers met vPro-hardware van Intel, later ook in die met AMD Ryzen Pro, en in laptops uit de zakelijke reeks van HP (Elite), Dell (Latitude/Precision), Lenovo (ThinkPad), Fujitsu (Lifebook) en Toshiba/ Dynabook.

AMD integreert sinds 2014 de zogeheten Platform Security Processor (PSP, later Secure Processor) op basis van een ARM CortexA5 in alle processors, te beginnen met Beema/Mullins en Carrizo. Bij Intel draait de fTPM in de zogeheten Converged Security and Management Engine (CSME, voorheen ME) van chipsets sinds de 100serie (Z170, Q170, H170, B150) voor Core i6000 (Skylake) uit 2015.

Je vindt fTPM’s ook in de AtomCelerons uit 2014 (Bay Trail, Celeron N2000), daar in de Trusted Execution Engine (TXE). Die fTPM’s zijn niet altijd daadwerkelijk bruikbaar, maar alleen als de nodige firmware ook aan boord is en het BIOS ze activeert. Sommige systemen hebben zelfs twee TPM’s, namelijk een TPMchip naast de fTPM.


Als een TPM aanwezig is, moet die misschien worden geactiveerd via de BIOS-set-up van de computer.


 

TPM INBOUWEN ? Kan ik later achteraf nog een TPM in mijn pc inbouwen?

Veel moederborden beschikken over een header (TPM Header) waarop een kleine printplaat met een TPMchip kan worden geplaatst. Het BIOS moet daar wel voor zijn ingericht en er zijn verschillende fysieke interfaces zoals een LowPincount( LPC) interface, Serial Peripheral Interconnect (SPI) of I2C. Je hebt dus een TPMmodule nodig die specifiek op jouw moederbord past.

 

TPM-TOEPASSINGEN ? Waarvoor gebruikt Windows eigenlijk de TPM en wat heb ik daaraan?

De bekendste toepassing van een TPM onder Windows is de versleuteling van harde schijven of ssd’s met BitLocker, dat alleen beschikbaar is in de Proen Enterpriseversies van Windows.

De encryptiesleutel kan (maar hoeft niet) aan de TPM worden gebonden (Key Sealing) om opgeslagen bestanden te beschermen als het opslagmedium van het systeem wordt losgekoppeld. Net als BitLocker werkt de schijfversleuteling Automatic Device Encryption, die de PCR 7 gebruikt, ook voor tablets en 2in1 hybriden met Modern Standby.

Een TPM kan ook worden geïntegreerd in biometrische verificatie met Windows Hello for Business. Daarnaast introduceerde Microsoft in 2019 in samenwerking met bijvoorbeeld Dell, HP en Lenovo laptops waarvan de firmware beter beschermd moet zijn tegen manipulatie (zoals door BIOSrootkits).

Deze SecuredCorepc’s gebruiken de TPM als Dynamic Root of Trust for Measurement (DRTM). Een TPM kan ook worden gebruikt voor de op virtualisatie gebaseerde beveiliging (VBS) en voor cryptografisch bewijs van de systeemstatus voor toegang tot cloudapplicaties (Micro soft Azure Attestation).

 

TPM EN UEFI SECURE BOOT ? Wat heeft een TPM te maken met de cryptografisch beveiligde opstartmodus UEFI Secure Boot?

Niets. UEFI Secure Boot oftewel ‘veilig opstarten’, werkt ook zonder TPM. Speciale bootloaders, die bijvoorbeeld bij veel beveiligingssoft ware worden toegepast, kunnen een TPM echter integreren na het booten om manipulatie van het UEFIBIOS te detecteren (zie ook het DRTM in het voorgaande item).

 

TPM EN VEILIGHEID ? Zijn er bekende veiligheidsgaten bij het gebruik van TPM?

In 2017 werd in TPM 1.2 chips van Infineon het veiligheidslek ROCA ontdekt in het algoritme voor het genereren van RSAsleutels. Dat werd gedicht middels firmwareupdates.

Verder kwam in 2019 het veiligheidslek TPMFail in TPM 2.0chips van STMicroelectronics en in fTPMimplementaties van Intel aan het licht. Ook die werden met behulp van patches gedicht. TPMFail had alleen betrekking op het Elliptic Curve Digital Signature Algorithm (ECDSA).

 

WINDOWS 11 ZONDER TPM ? Kun je de nieuwe Windows 11 ook zonder TPM gaan gebruiken?

Dat is op het moment van schrijven nog niet helemaal duidelijk. Microsoft vereist TPM 2.0 voor een computer met het Windows 11 logo. Windows 11 kan via omwegen wel worden geïnstalleerd op systemen zonder TPM. Hoe dat uiteindelijk uitpakt is nog niet zeker.

 


(Deze informatie is afkomstig uit het artikel van Christof Windeck en Marco den Teuling, en verscheen eerder in c’t 11, 2021, p102)


Lees meer FAQ in c't 05/2024

Meer over

windows

Deel dit artikel

Marco den Teuling
Marco den TeulingHad als eerste eigen computer ooit een 16-bit systeem, waar van de 48 kilobyte toch echt niet ‘genoeg voor iedereen’ was. Sleutelt graag aan pc’s, van de hardware tot het uitpluizen van de BIOS-instellingen. Vindt ‘Software as a Service’ een onbedoeld ironische naamgeving.

Lees ook

Bestel nu de complete gids voor Windows 11

Wil je alles weten over de nieuwe mogelijkheden van Windows 11? In deze herziene speciale editie ontdek je de nieuwste functies. Je komt te weten hoe ...

Microsoft toont truc om Windows 11 geïnstalleerd te krijgen

Microsoft beschrijft een truc hoe Windows 11 geïnstalleerd kan worden op computers met hardware die eigenlijk niet ondersteund wordt. Tegelijkertijd w...

0 Praat mee
avatar
  Abonneer  
Laat het mij weten wanneer er