什麼是 TPM (Trusted Platform Module)?
TPM 是一種密碼編譯模組,可為計算設備提供額外的加密、安全性及隱私性。其主要目的是防止攻擊者在沒有儲存在 TPM 中的憑證和私鑰的情況下,存取敏感資料檔案。可信賴運算組織 (Trusted Computing Group,簡稱 TCG) 是一個負責管理 TPM 規格和國際標準的組織。目前,TCG 已發布最新版本的 TPM 2.0。TPM 的目標是整合並加強電腦安全性,以防範容易遭受攻擊的軟體型安全性。軟體本身無法識別資料外洩或系統啟動期間的硬體竄改。TPM 透過實體實作於主機板上來解決這些問題。若要深入了解 TPM 2.0 及其與 IoT 的關係,請點擊此處閱讀更多資訊。
|
TPM 功能 |
說明 |
|
平台密碼編譯儲存 |
憑證和私鑰儲存在 TPM 而非啟動磁碟上。這可防止未經授權的存取複製/匯出裝置中的金鑰。 |
|
BitLocker (金鑰加密) |
Bitlocker 會加密僅在正確啟動時解鎖的密碼和金鑰。硬體竄改和其他離線攻擊 (例如嘗試從不同的硬碟啟動) 將無法解鎖 Bitlocker,並且作業系統將無法讀取。 |
|
Credential Guard |
如果電腦遭到入侵,可防止攻擊者存取其他電腦的次要防禦系統。 |
|
測量啟動 (Measured Boot) |
一種啟動程序,可分析電腦的硬體以確保其未經竄改。 |
|
裝置加密 |
加密並保護儲存在裝置上的非揮發性資料。 |
什麼是 dTPM?什麼是 fTPM?
獨立 TPM (Discrete TPM,簡稱 dTPM) 是實體連接到主機板以提供硬體型加密的獨立元件。fTPM 代表韌體可信賴平台模組 (Firmware Trusted Platform Module),並實作於半導體晶片組中。領先的半導體製造商,如 AMD 和 Intel,在其後期晶片組中提供 fTPM,以實現額外的保護和便利性,而無需獨立的實體模組。
dTPM 和 fTPM 有什麼區別?
dTPM 和 fTPM 的目標相同,都是提供額外的加密並保護敏感資料。然而,dTPM 通常用於企業和工業應用,因為組織需要 TCG 認證或 FIPS 認證。另一方面,fTPM 傾向於用於一般消費者和不需要特定認證的組織。此外,領先的晶片組製造商已開發自己的 fTPM,Intel 的 PTT (Platform Trust Technology) 和 AMD 的 fTPM,兩者都提供透過主機板 BIOS 停用 fTPM 並啟用對 dTPM 存取的選項,以防需要 dTPM。總之,dTPM 具有組織內部特定要求的認證,而 fTPM 則用於一般用途。
什麼是 Intel PTT?什麼是 AMD fTPM?有什麼區別?
兩家領先的半導體製造商 Intel 和 AMD 都開發了自己的 TPM,以提供進一步的保護和安全性,以抵禦惡意攻擊。Intel PTT (Platform Trust Technology) 和 AMD fTPM 都是基於韌體的信任平台模組,是實體 TPM 2.0 的替代品。Intel 和 AMD 的主要目標是讓最終使用者在其自己的晶片組中擁有額外的安全性層,而無需購買獨立的模組。Intel PTT 或 AMD fTPM 之間幾乎沒有區別,因為這兩個科技巨頭都遵循與 TCG 標準相同的原則和準則。
Windows 11 TPM 2.0 要求 – Intel PTT 和 AMD fTPM 的優點
Microsoft 已宣布 TPM 和安全開機 (Secure Boot) 將成為使用其最新作業系統 Windows 11 的強制要求。儘管這令許多使用者感到沮喪和困惑,但 Microsoft 正在採取預防措施以確保資料完整性,因為系統駭客攻擊已變得更加普遍。所有混淆的原因是某些 CPU (主要是舊一代) 與 Windows 11 的要求不相容。這就是引入 Intel PTT 和 AMD fTPM 的原因之一。具有 Intel PTT 或 AMD fTPM 的 Intel 或 AMD CPU 符合 TPM 2.0 要求,並且能夠輕鬆升級到最新的作業系統。沒有 Intel PTT 或 AMD fTPM 的舊一代 CPU 需要將單獨的 dTPM 連接到主機板上,才能滿足升級到 Windows 11 的要求。幸運的是,Microsoft 透過 PC Health Check 應用程式,讓使用者非常簡單明瞭地知道他們是否能夠升級到 Windows 11。
常見問題
針對 Windows 11 上的 TPM 2.0,fTPM 或 dTPM 哪個比較好?
fTPM 和 dTPM 都符合 Windows 11 上的 TPM 2.0。它們的效能相似,並且具有幾乎相同的特性,例如 Bitlocker 和磁碟加密。如前所述,唯一的區別在於 dTPM 經過 FIPS 認證,這可能在處理極其敏感資料的某些組織中是必需的。
如何檢查 Windows 11 是否已啟用 TPM 2.0?
使用者可以透過開啟「開始」選單,然後輸入「tpm.msc」,再按一下「確定」來檢查是否已啟用 TPM 2.0。在「狀態」部分,應該會顯示「TPM 已準備好使用。」,在「TPM 製造商資訊」中,「規格版本」應該會顯示「2.0」。這表示 TPM 2.0 已啟用並符合 Windows 11 安裝要求。如果您的電腦顯示未識別 TPM 2.0,最好檢查您的 CPU 是否支援 fTPM。這樣,您可以在 UEFI BIOS 中啟用它,而無需購買 dTPM。然而,請記住,獨立 TPM 經過 FIPS 認證,對於特定操作是必需的。基於韌體的 TPM 沒有這些認證,並試圖與 dTPM 的標準保持一致。
TPM 2.0 會影響效能嗎?
不會,fTPM 和 dTPM 都完全不會影響效能。一旦電腦啟動協定完成並檢查所有內容後,TPM 就會進入閒置狀態。啟用 TPM 2.0 幾乎沒有缺點,並且大大提高了系統的整體資料安全性。
來源:
Intel
(https://www.intel.com/content/www/us/en/business/enterprise-computers/resources/trusted-platform-module.html)
Microsoft
(https://learn.microsoft.com/en-us/windows/security/information-protection/tpm/how-windows-uses-the-tpm)
(https://www.microsoft.com/en-us/windows/windows-11-specifications?r=1)
(https://learn.microsoft.com/en-us/windows/security/information-protection/tpm/how-windows-uses-the-tpm)