Trusted Platform Module

Trusted Platform Module (TPM, također poznat kao ISO/IEC 11889 ) međunarodni je standard za sigurni kriptoprocesor, namjenski mikrokontroler dizajniran za zaštitu hardvera uz pomoć integriranih kriptografskih ključeva. Pojam se također može odnositi na čip koji je u skladu sa standardom.

TPM jedinica koja se može priključiti u TPM utor Asusove matične ploče

TPM se upotrebljava za upravljanje digitalnim pravima (DRM), Windows Defender, prijavu u Windows domenu, zaštitu i provedbu softverskih licenci^[1] i sprječavanje varanja u online igrama.^[2]

Komponente Trusted Platform Module u skladu sa standardom TPM verzije 1.2

Jedan od sistemskih zahtjeva za Windows 11 jest TPM 2.0, po Microsoftu kako bi se povećala sigurnost protiv firmware i ransomware napada.^[3]

Osobine

Trusted Platform Module ima sljedeće osobine

• Hardverski generator slučajnih brojeva^[4]
• Sredstva za sigurno generiranje kriptografskih ključeva za ograničenu upotrebu.
• Daljinsku potvrdu: Stvara gotovo nekrivotvoriv sažetak hash ključa konfiguracije hardvera i softvera. Može se koristiti za provjeru da hardver i softver nisu promijenjeni. Softver zadužen za hashing određuje opseg sažetka.
• Povezivanje: šifrira podatke pomoću TPM ključa za povezivanje, jedinstvenog RSA ključa koji potječe iz ključa za pohranu. Računala koja sadrže TPM mogu stvoriti kriptografske ključeve i šifrirati ih tako da ih samo TPM može dešifrirati. Ovaj postupak, koji se često naziva omatanje ili vezanje ključa, može pomoći u zaštiti ključa od otkrivanja. Svaki TPM ima glavni ključ za omatanje, koji se naziva korijenski ključ pohrane, koji je pohranjen unutar samog TPM-a. Spremnici RSA ključeva na korisničkoj razini pohranjuju se s korisničkim profilom sustava Windows za određenog korisnika i mogu se koristiti za šifriranje i dešifriranje informacija za aplikacije koje se izvode pod tim određenim korisničkim identitetom.^[5][6]
• Pečaćenje: Slično povezivanju, ali uz to, navodi TPM stanje^[7] za podatke koji se dešifriraju (nezapečaćeni).^[8]
• Druge funkcije Trusteded Computinga za podatke koji se dešifriraju (nezapečaćeni).^[9]

Računalni programi mogu koristiti TPM za provjeru autentičnosti hardverskih uređaja, budući da svaki TPM čip ima jedinstveni i tajni ključ potvrde (EK) koji je urezan tijekom proizvodnje. Sigurnost ugrađena u hardver pruža veću zaštitu od samo softverskog rješenja.^[10] Njegova uporaba je ograničena u nekim zemljama.^[11]

Namjena

Integritet platforme

Primarni opseg TPM-a osiguravanje je integriteta platforme. U ovom kontekstu, "integritet" znači "ponašati se kako je predviđeno", a "platforma" je svaki računalni uređaj bez obzira na njegov operacijski sustav. Ovo služi kako bi se osiguralo da proces pokretanja počinje od pouzdane kombinacije hardvera i softvera i nastavlja se sve dok se operativni sustav potpuno ne pokrene, a onda i sve aplikacije.

Kada se koristi TPM, programska oprema i operativni sustav odgovorni su za osiguranje integriteta.

Još jedan primjer integriteta platforme TPM-om upotreba je licenciranja Microsoftovih Office 365 i Outlook Exchange.^[12]

Šifriranje diska

Pomoćni programi za šifriranje cijelog diska, kao što su dm-crypt i BitLocker, mogu koristiti ovu tehnologiju za zaštitu ključeva koji se koriste za šifriranje uređaja za pohranu računala i za pružanje provjere autentičnosti za pouzdano pokretanje koji uključuje firmware i sektor za pokretanje.^[13]

Druge namjene

• Upravljanje digitalnim pravima (DRM)
• Windows Defender
• Prijava na Windows domenu^[14]
• Zaštita i provedba softverskih licenci
• Prevencija varanja u online igrama^[15]

TPM implementacije

Godine 2006. počela su se prodavati nova prijenosna računala s ugrađenim TPM čipom. U budućnosti bi ovaj koncept mogao biti smješten na postojećem čipu matične ploče u računalima ili bilo kojem drugom uređaju na kojem bi se TPM mogućnosti mogle koristiti, poput mobilnog telefona. Na računalu se LPC sabirnica ili SPI sabirnica koriste za povezivanje s TPM čipom.

Službenu TCG referentnu implementaciju specifikacije TPM 2.0 razvio je Microsoft. Licenciran je pod BSD licencom, a izvorni kôd dostupan je na GitHubu.^[16] Microsoft nudi rješenje Visual Studio i skripte za izradu automatskih alata za Linux.

U 2018. Intel je otvorio svoj softverski paket Trusted Platform Module 2.0 (TPM2) s podrškom za Linux i Microsoft Windows.^[17] Izvorni kôd nalazi se na GitHubu i licenciran pod BSD licencom.^[18][19]

IBM-ov softver TPM 2.0 implementacija je specifikacije TCG TPM 2.0. Temelji se na dijelovima 3 i 4 TPM specifikacije i izvornom kodu koji je donirao Microsoft. Sadrži dodatne datoteke za dovršetak implementacije. Izvorni kod nalazi se na SourceForge^[20] i GitHub^[21] i licenciran pod BSD licencom.

Prihvaćenost

TCG se suočio s otporom primjeni ove tehnologije u nekim područjima, gdje neki autori vide moguće upotrebe koje nisu izričito povezane s Trusted Computing, što može izazvati zabrinutost u vezi s privatnošću. Zabrinutost uključuje zlouporabu daljinske provjere valjanosti softvera i moguće načine praćenja radnji korisnika koje se bilježe u bazu podataka, na način koji je korisniku potpuno neprimjetan.^[22]

Dostupnost

Trenutačno TPM koriste gotovo svi proizvođači osobnih i prijenosnih računala.

Operacijski sustavi

• Windows 11 zahtijeva podršku za TPM 2.0 kao minimalni sistemski zahtjev.^[23] Na mnogim je sustavima TPM onemogućen prema zadanim postavkama, što zahtijeva promjenu postavki u UEFI-ju računala da bi se omogućio.^[24]
• TPM 2.0 podržava Linux kernel od verzije 3.20.^[25][26][27]

Virtualizacija

• VMware ESXi hipervizor podržava TPM od 4.x, a od 5.0 je omogućen prema zadanim postavkama.^[28][29]
• Xen hipervizor ima podršku za virtualizirane TPM-ove. Svaki gost dobiva svoj jedinstveni, emulirani softverski TPM.^[30]
• KVM, u kombinaciji s QEMU, ima podršku za virtualizirane TPM-ove. QEMU 2.11 objavljen u prosincu 2017. također nudi emulirane TPM-ove gostima.^[31]
• VirtualBox ima podršku za virtualne TPM 1.2 i 2.0 uređaje počevši od verzije 7.0 objavljene u listopadu 2022.^[32]