Концепция Trusted Platform Module (TPM): первый практический взгляд. Что такое TPM и как его использовать в Windows Распиновка разъема tpm на материнской плате

Trusted Platform Module

В вычислительной технике, Trusted Platform Module (TPM) - название спецификации, описывающей криптопроцессор , в котором хранятся криптографические ключи для защиты информации, а также обобщенное наименование реализаций указанной спецификации, например в виде «чипа TPM» или «устройства безопасности TPM» (Dell). Раньше назывался «чипом Фрица» (бывший сенатор Эрнест «Фриц» Холлингс известен своей горячей поддержкой системы защиты авторских прав на цифровую информацию, DRM). Спецификация TPM разработана Trusted Computing Group (англ.). Текущая версия спецификации TPM - 1.2 ревизия 116, издание 3 марта 2011.

Краткий обзор

Trusted Platform Module (TPM), криптопроцессор, обеспечивает средства безопасного создания ключей шифрования, способных ограничить использование ключей (как для подписи так и для шифрования/дешифрования), с той же степенью неповторяемости, как и генератор случайных чисел . Также этот модуль включает следующие возможности: удалённую аттестацию, привязку, и надёжное защищённое хранение. Удалённая аттестация создаёт связь аппаратных средств, загрузки системы, и конфигурации хоста (ОС компьютера), разрешая третьему лицу (вроде цифрового магазина музыки) проверять, чтобы программное обеспечение, или музыка, загруженная из магазина, не были изменены или скопированы пользователем (см. ТСЗАП). Криптопроцессор шифрует данные таким способом, что они могут быть расшифрованы только на компьютере, где были зашифрованы, под управлением того же самого программного обеспечения. Привязка шифрует данные, используя ключ подтверждения TPM - уникальный ключ RSA , записанный в чип в процессе его производства, или другой ключ, которому доверяют.

Модуль TPM может использоваться, чтобы подтвердить подлинность аппаратных средств. Так как каждый чип TPM уникален для специфического устройства, это делает возможным однозначное установление подлинности платформы. Например, чтобы проверить, что система, к которой осуществляется доступ - ожидаемая система.

Архитектура TPM

В архитектуре чипа реализованы следующие защитные алгоритмы:

защищённое управление памятью,
шифрование шины и данных,
активное экранирование.

Активное экранирование позволяет чипу детектировать электрическое тестирование и, в случае необходимости, блокировать чип. Кроме того, при изготовлении TPM используются и нестандартные технологические шаги, такие как запутывание топологии слоёв ИС. Эти меры значительно усложняют взлом чипа, увеличивают стоимость взлома, что ведёт к уменьшению потенциальных нарушителей.

Ввод/Вывод (англ. I/O)

Этот компонент управляет потоком информации по шине . Направляет сообщения к соответствующим компонентам. I/O компонент вводит в действие политику доступа, связанную с функциями TPM.

Криптографический процессор

Осуществляет криптографические операции внутри TPM. Эти операции включают в себя:

Генерация асимметричных ключей (RSA);
Асимметричное шифрование/расшифрование(RSA);
Хэширование (SHA-1);
Генерация случайных чисел.

TPM использует эти возможности для генерации случайных последовательностей, генерации асимметричных ключей, цифровой подписи и конфиденциальности хранимых данных. Также TPM поддерживает симметричное шифрование для внутренних нужд. Все хранимые ключи по силе должны соответствовать ключу RSA длиной 2048 бит.

Энергонезависимая память (англ. Non-Volatile Storage)

Используется для хранения ключа подтверждения, корневого ключа (англ. Storage Root Key, SRK), авторизационных данных, различных флагов.

Ключ подтверждения (англ. Endorsement Key, EK)

Генератор ключей RSA (англ. RSA Key Generator)

Создаёт пары ключей RSA. TCG не накладывает минимальных требований ко времени генерации ключей.

Устройство RSA (англ. RSA Engine)

Используется для цифровых подписей и шифрования. Нет ограничений на реализацию алгоритма RSA. Производители могут использовать китайскую теорему об остатках или любой другой метод. Минимально рекомендуемая длина ключа - 2048 бит. Значение открытой экспоненты должно быть .

Доверенная платформа (англ. The trusted Platform)

В системах TCG корни доверия (roots of trust) - компоненты, которым нужно доверять. Полный набор корней доверия имеет минимальную функциональность, необходимую для описания платформы, что влияет на доверенность этой платформе. Есть три корня доверия: корень доверия для измерений (RTM), корень доверия для хранения (RTS) и корень доверия для сообщений (RTR). RTM - вычислительный механизм, который производит надёжные измерения целостности платформы. RTS - вычислительный механизм, способный хранить хэши значений целостности. RTR - механизм, который надёжно сообщает о хранимой в RTS информации. Данные измерений описывают свойства и характеристики измеряемых компонентов. Хэши этих измерений - «снимок» состояния компьютера. Их хранение осуществляется функциональностью RTS и RTR. Сравнивая хэш измеренных значений с хэшом доверенного состояния платформы можно говорить о целостности системы.

Возможные применения

Аутентификация

TPM может рассматриваться в качестве токена (Security token) аутентификации следующего поколения. Криптопроцессор поддерживает аутентификацию и пользователя, и компьютера, обеспечивая доступ к сети только авторизованным пользователям и компьютерам. Это может использоваться, например, при защите электронной почты, основанной на шифровании или подписывании при помощи цифровых сертификатов , привязанных к TPM. Также отказ от паролей и использование TPM позволяют создать более сильные модели аутентификации для проводного, беспроводного и VPN доступа.

Защита данных от кражи

Это основное назначение «защищённого контейнера». Самошифрующиеся устройства, реализованные на основе спецификаций Trusted Computing Group, делают доступными встроенное шифрование и контроль доступа к данным. Такие устройства обеспечивают полное шифрование диска, защищая данные при потере или краже компьютера.

Преимущества:

Улучшение производительности

Аппаратное шифрование позволяет оперировать со всем диапазоном данных без потерь производительности.

Усиление безопасности

Шифрование всегда включено. Кроме того, ключи генерируются внутри устройства и никогда не покидают его.

Низкие издержки использования

Не требуются модификации операционной системы, приложений и т. д. Для шифрования не используются ресурсы центрального процессора.

Большие перспективы имеет связка TPM+Bitlocker .Такое решение позволяет прозрачно от ПО шифровать весь диск.

Управление доступом к сети (NAC)

TPM может подтверждать подлинность компьютера и даже его работоспособность ещё до получения доступа к сети и, если необходимо, помещать компьютер в карантин.

Защита ПО от изменения

Сертификация программного кода обеспечит защиту игр от читерства , а чувствительные программы наподобие банковских и почтовых клиентов - от намеренной модификации. Сразу же будет пресечено добавление «троянского коня » в инсталлятор свежей версии мессенджера .

Защита от копирования

Защита от копирования основана на такой цепочке: программа имеет сертификат, обеспечивающий ей (и только ей) доступ к ключу расшифровки (который также хранится в TPM’е). Это даёт защиту от копирования, которую невозможно обойти программными средствами.

Реализация

Производители

Уже более 300"000"000 компьютеров были оснащены чипом TPM. В будущем TPM может устанавливаться на такие устройства, как мобильные телефоны. Микроконтроллеры TPM производятся следующими компаниями:

Sinosun,
Nuvoton,

Критика

Trusted Platform Module критикуется и за название (доверие - англ. trust - всегда обоюдное, в то время как пользователю-то разработчики TPM и не доверяют), так и за ущемления свободы, связанные с ним. За эти ущемления устройство часто называют Treacherous computing («вероломные вычисления»).

Потеря «владения» компьютером

Владелец компьютера больше не может делать с ним всё, что угодно, передавая часть прав производителям программного обеспечения. В частности, TPM может мешать (из-за ошибок в ПО или намеренного решения разработчиков):

переносить данные на другой компьютер;
свободно выбирать программное обеспечение для своего компьютера;
обрабатывать имеющиеся данные любыми доступными программами.

Потеря анонимности

Достаточно вспомнить споры по поводу идентификационного номера процессора Pentium III , чтобы понять, к чему может привести удалённо читаемый и неизменяемый идентификатор компьютера.

Подавление конкурентов

Программа, ставшая лидером отрасли (как AutoCAD , Microsoft Word или Adobe Photoshop) может установить шифрование на свои файлы, делая невозможным доступ к этим файлам посредством программ других производителей , создавая, таким образом, потенциальную угрозу свободной конкуренции на рынке прикладного ПО.

Поломка

При поломке TPM защищённые контейнеры оказываются недоступными, а данные в них - невосстановимыми. TPM практичен только если существует сложная система резервного копирования - естественно, для обеспечения секретности она должна иметь свои TPM’ы.

Взломы

На конференции по компьютерной безопасности Black Hat 2010 было объявлено о взломе чипа Infineon SLE66 CL PE, изготовленного по спецификации TPM. Данный чип используется в компьютерах, оборудовании спутниковой связи и игровых приставках. Для взлома использовался электронный микроскоп (стоимостью около $70000). Оболочка чипа была растворена кислотой, для перехвата команд были использованы мельчайшие иголки. Infineon утверждают, что они знали о возможности физического взлома чипа. Борчерт (Borchert), вице-президент компании, заверил, что дорогое оборудование и техническая сложность взлома не представляет опасности для подавляющего большинства пользователей чипов.

Хелловичик всем Сегодня речь пойдет об Trusted Platform Module, узнаем что это дичь. Немного сложно, но понял что Trusted Platform Module (TPM) — модуль, который располагается на материнской плате и хранит в себе криптографические ключи для защиты информации. Есть версия 1.0, и более продвинутая современная 2.0

Еще есть версия TPM 1.2, она была выпущена 3 марта в 2011 году. То есть можно сделать вывод, что технология не такая уж и новая, а как бы уже давно существует

Как я понимаю, то Trusted Platform Module применяется в алгоритмах шифрования, делая их еще безопаснее.

Фишка в том что модуль TPM может помочь зашифровать ну и расшифровать. Но вот чтобы расшифровать, то нужны криптографические ключи. А эти ключики хранятся в самом чипе. Вот такая сложная технология

Ага! Еще есть такое — модуль способен не только создавать ключи эти, но и привязывать их к оборудованию. Понимаете? И расшифровать можно только если конфигурация компа, которая была при зашифровке, совпадает с той которая сейчас.. короч серьезно

Также чип принимает участие в работе технологии BitLocker Drive Encryption (шифрование содержимого дисков ПК).

Вот нашел странную картинку.. тут упоминается TPM, но причем тут кухонная плита понять сложно:

Что это все значит и кто за этим стоит?

Внешний вид чипа

Вот его величество сам чип TPM (отдельно, не на материнке):

Хм, интересно, а возможно ли купить новый.. и заменить? Ну например если старый поломался там, сгорел… и смотря на эту картинку, кажется что купить таки можно:

Ну что я могу тут сказать? Круто в общем Но если новый купить чип, то можно будет ли расшифровать данные, которые были зашифрованы старым чипом? А вот это уже вопрос нереально серьезный!

Вот собственно чип на материнской плате:

Судя по внешнему виду и конструкции — заменить его реально в домашних условиях так бы сказать

Опция в биосе TPM Device

Ну а вот сама и опция Trusted Platform Module в биосе — можно включить (Enabled) или выключить (Disabled):

Может быть название и TPM Device или.. TPM Embedded Security (сори за качество господа):

Еще в биосе может присутствовать опция Discrete TPM FW Switch (раздел Security):

Выяснил, Discrete TPM FW Switch — управление дискретным чипом. Дискретный, то есть это тот чип что можно поменять, снимаемый так бы сказать. Тут мысль меня посетила — а на материнке могут присутствовать два чипа TPM? Интегрированный и дискретный? И вот управление ими происходит в биосе.. не знаю короч..

Еще пример — опции TPM SUPPORT, TPM State, Pending TPM operation:

Вывод — опции зависят от материнки. Если чип TPM включен в биосе, тогда у вас в диспетчере устройств (чтобы запустить — Win + R > devmgmt.msc) будет такое устройство в разделе Security devices:

Как видите напротив устройства указывается версия — выше на картинке устаревшая 1.2, а у вас может быть современная 2.0 (зависит от года выпуска материнки). Так, стопачки! Если версия чипа устаревшая, то возможно заменить старый чип на новый реально? Просто мысли, однако думаю что замена вполне себе реальна..

Еще в разделе System devices может быть Infineon Trusted Platform Module:

Некоторые выводы и мои мысли по поводу Trusted Platform Module

Напишу все что я думаю об этом всем, окей? Смотрите:

Настройки Trusted Platform Module

Чисто случайно узнал, что оказывается в Windows есть настройки Trusted Platform Module, а то даже и не знал! Как открыть настройки? Зажимаете кнопки Win + R, далее вставляете командушку:

У себя открыл и тут опачки, у меня пишет что Не удается найти совместимый доверенный платформенный модуль:

Вот блина, попадос конкретный Я просто думал что модуль.. нет, ну наверно модуль то у меня есть! Но он в биосе видимо не включен. Ну и ладненько.. А вы посмотрите у себя, у вас там что будет? ну настройки будут? Гляньте, окей?

И еще — там в настройках можно очистить данные TPM. Я надеюсь вы понимаете что этого делать не нужно, если вы не шарите в этом. Иди знай что за данные там. А может у вас что-то зашифровано на ПК и если очистите данные, то потом не сможете расшифровать. В общем — я вас предупредил

Для нормальный работы TPM нужно чтобы было в виндовсе установлено специальное обновление. Оно как бы способно установится автоматически. А если нет — то нужно скачать с сайта производителя вашей материнки. Тут просто под обновлением как я понимаю имеется ввиду драйвер TPM, ведь виндовс и дрова ставить умеет, подтягивая их с интернета..

Вот и все. Удачи вам и терпения, до новых встреч господа!

04.11.2018

Постоянно растущее количество «червей», вирусов и элементарных дыр в современных операционных системах и сетевых сервисах заставляет ИТ-специалистов разрабатывать все новые и новые средства информационной безопасности. Ранее использовались преимущественно программные решения – аппаратно-программные были доступны далеко не всем. Сейчас же благодаря технологии TPM (Trusted Platform Module) данные решения пришли в массы и стали доступны каждому. В этом приложении мы поговорим о том, что такое TPM и почему имеет смысл использовать эту технологию на предприятии.

TPM представляет собой микроконтроллер, предназначенный для реализации основных функций по обеспечению безопасности с использованием ключей шифрования. Чип TPM устанавливается на материнской плате компьютера и осуществляет взаимодействие с остальными компонентами системы через системную шину.

Концепция «доверяемых платформенных модулей» (именно так переводится на русский язык аббревиатура TPM) принадлежит консорциуму Trusted Computing Group (TCG), который существует с 2004 года.
Сама технология TPM появилась не в 2004 году, а раньше. В 1999 году был создан Альянс доверяемых компьютерных платформ (Trusted Computing Platform Alliance, TCPA). В этот альянс входили важнейшие разработчики аппаратного и программного обеспечения – IBM, HP, Microsoft и др. Несмотря на именитость участников, деятельность альянса напоминала известную басню о лебеде, раке и щуке: каждый «тянул воз» на себя (каждый член альянса имел право отменить решение, принятое другими членами), поэтому TPM развивалась довольно неспешно.

(adsbygoogle = window.adsbygoogle || ).push({});

В 2004 году альянс TCPA был преобразован в консорциум TrustedComputingGroup. Структура этой организации была другой. Важные решения могут принимать только избранные компании (они называются промоутерами – promoters). Такими компаниями сейчас являются Intel, HP, IBM, AMD, Seagate, Sony, Sun, Microsoft и Verisign. Остальные компании (их более тысячи) имеют право лишь участвовать в разработке черновых спецификаций или просто получать более ранний доступ к новым разработкам.
Основным результатом деятельности TCPA/TCG является «доверяемый платформенный модуль», который раньше назывался «чипом Фрица» (Fritz Chip). Назван он был в честь американского сенатора Фрица Холлингса (Fritz Hollings), известного своей поддержкой системы защиты авторских прав на цифровую информацию (Digital Rights Management, DRM).

Основная задача TPM – это создание безопасного компьютера, в котором проверяются и защищаются все процессы связи, а также аппаратное и программное обеспечение. Под защитой связи подразумевается не процесс защиты сетевого соединения, а защита процесса взаимодействия между отдельными частями системы (например, ОС).
Модуль TPM может использоваться и для проверки целостности и авторства данных. Доступ к данным должны иметь только авторизиро-ванные пользователи, при этом должна обеспечиваться безопасность передачи самой информации. Проверка целостности обеспечит защиту системы от вирусов, «червей» и других программ, изменяющих данные без уведомления пользователя.
При разработке TPM не ставилась задача создать модуль только для предохранения персональных компьютеров или ноутбуков от вирусов – данную технологию можно использовать для обеспечения безопасности мобильных телефонов, КПК, устройств ввода, дисковых накопителей. Вместе с ним можно применять устройства биометрической идентификации. Защитой сетевых соединений занимается отдельное подразделение TCG – Trusted Network Connect (TNC). Мы не будем рассматривать плоды деятельности TNC, а ограничимся только TPM.

Например, вы можете установить жесткий диск с поддержкой TPM (рис. П37). Такие жесткие диски уже давно выпускает Seagate (Momentus 5400 FDE.2). Но Seagate – далеко не един ственный производитель винчестеров с функцией шифрования. Другие производители, например Hitachi, также выпускают «криптографические накопители». Так что выбор «железа» у вас есть (прочитать о других производителях аппаратного и программного обеспечения с поддержкой TPM можно на сайте www.tonymcfadden.net).

Как работает TPM

Как уже отмечалось, модуль TPM реализуется в виде чипа на материнской плате. Чип TPM интегрируется в процесс загрузки компьютера и проверяет хэш системы с помощью алгоритма SHA1 (Secure Hash Algorithm), он вычисляется на основании информации обо всех компонентах компьютера, как аппаратных (процессора, жесткого диска, видеокарты), так и программных (ОС).
В процессе загрузки компьютера чип проверяет состояние системы, которая может быть запущена только в проверенном режиме (authorized condition), что возможно лишь в случае обнаружения правильного значения хэша.

Настройка TPM в Windows

В следующем руководстве описывается использование служб TPM в Windows Vista:
http://www.oszone.net/display.php?id=4903.
В Windows Vista и Windows Server 2008 применяется технология шифрования дисков BitLocker, которая тесно взаимосвязана с доверяемыми модулями (рис. П38). О настройке BitLocker в Windows Server 2008 и Vista (рис. П39, П40) можно прочитать здесь:
http://www.securitylab.ru/contest/300318.php; http://www.oszone.net/4934/VistaBitLocker.

Готовые системы с поддержкой TPM

Готовые TPM-компьютеры уже давно есть в свободной продаже: как ноутбуки, так и настольные компьютеры. Обычно такие системы выпускаются именитыми производителями вроде HP, поэтому их цена может быть слегка завышена (доплата «за марку»).
Желающим сэкономить можно порекомендовать купить «железо» с поддержкой TPM и собрать все вместе самостоятельно. Необходимые материнские платы выпускаются многими производителями, например ASUS (M2N32-SLI Premium), MSI (Q35MDO) и др (рис. П41).

Зачем нужна TPM

Во-первых, TPM – это повышение общей безопасности системы и дополнительная, реализованная на аппаратном уровне защита от вирусов, «троянов» и прочей компьютерной нечисти. А на безопасности, особенно на предприятии, как мы знаем, экономить не стоит.
Во-вторых, TPM – это шифрование данных на жестком диске. TPM позволяет найти компромисс между безопасностью и производительностью.
Поскольку шифрование осуществляется на аппаратном уровне, это практически не отражается на производительности.
В-третьих, с помощью TPM можно вообще обойтись без пароля, использовав вместо него отпечаток пальца пользователя. Согласитесь, довольно эффективное решение. Вчера подобные системы мы видели в наполовину фантастических фильмах, а сегодня – это уже реальность.

Важно помнить, что TPM не универсальное средство и не панацея от всех компьютерных невзгод. Хороший антивирус и брандмауэр никто не отменял. TPM разрабатывался больше для защиты интересов софтварных гигантов: дабы не позволить пользователю запускать нелицензионный софт. С этой точки зрения еще не ясно, TPM – это хорошо или плохо, учитывая количество нелицензионных программ на наших просторах. Давайте будем смотреть правде в глаза – пиратского софта очень много.
Также не нужно забывать о человеческом факторе. Человек может намеренно сообщить пароль к своей системе или записать его где-то на желтой бумажке, которую приклеит к монитору, или просто установить очень простой пароль, который несложно подобрать. В этой ситуации TPM точно не поможет. Тут на помощь приходит софт, а именно системы контроля доступа, но это – другая история.

Если у вас есть ноутбук или ПК с поддержкой TPM, и вы получаете сообщение в Центре безопасности Windows Defender, в котором сообщается, что вам необходимо обновить свой процессор безопасности или прошивку TPM, вам следует обновить его по приоритету. В этом руководстве я расскажу, как можно очистить TPM и обновить прошивку безопасности TPM .

Что такое TPM в Windows 10?

Trusted Platform Module (TPM) - является специализированным чипом. TPM обычно устанавливается на системную плату компьютера и взаимодействует с остальными компонентами системы с помощью аппаратной шины. Он может хранить ключи шифрования RSA, специфичные для хост-системы и аппаратной аутентификации. Чип TPM также содержит "пару" ключей RSA, называемую ключом подтверждения . Пара поддерживается внутри чипа и не может быть доступна с помощью программного обеспечения. Короче говоря, он может хранить важные данные, включая отпечатки пальцев, данные о лицах и т. д.

Как проверить есть ли TPM на компьютере?

Нажмите сочетание кнопок Win + R и введите tpm.msc. Модуль TPM может находиться в одном из следующих состояний: Готов к использованию , Готов к использованию в режиме ограниченной функциональности и Не готов к использованию . Чтобы воспользоваться большинством функций TPM в Windows 10, модуль TPM должен быть Готов к использованию .

Важно: Если у вас будет модуль, то вы сможете обновить и очистить TPM именно в этих параметрах справа. По этому вы можете не прибегать ниже к пунктам. Но если что пойдет не так, ниже пункты именно для вас.

Примечание: При включении TPM могут быть проблемы с bitlocker, отключите bitlocker при включении модуля TPM.

Как обновить прошивку процессора безопасности TPM

Обновление для TPM обычно содержит исправление для уязвимости безопасности, которая может повлиять на безопасность операционной системы. В этом обновлении будет рассмотрена уязвимость, которую вам необходимо будет загрузить и установить. Также возможно, что обновления прошивки отправляются OEM-производителями, которые быстрее по сравнению с Windows Update.

Загрузка и установка обновлений для Windows

Это лучший способ обновить ваш TPM. Если у вас отключены автоматические обновления, то обновите windows до последней версии через центр обновления Windows или , через каталог micosoft.

Установка обновлений прошивки OEM-производителями

Многие OEM-производители, включая Microsoft, предлагают обновления встроенного ПО отдельно. Если обновление прошивки TPM не было включено в Центр обновления Windows, то вам придется вручную загрузить и применить его. Ниже приведен список OEM-производителей, с которых вы можете загрузить обновление.

Microsoft Surface Devices
Acer
Fujitsu
HP Customer Support
HP Enterprise Support
Lenovo
Panasonic
Toshiba

Как очистить TPM

После того как вы установили обновление прошивки либо через Центр обновления Windows, либо с веб-сайта OEM, вам также потребуется очистить TPM. Это важно для обеспечения безопасности данных. Очистка вашего TPM приведет к сбросу вашего процессора безопасности до его настроек по умолчанию.

Откройте Защитник Windows 10, перейдите Безопасность устройств . Далее найдите Устранение неполадок процессора безопасности и нажмите Очистить TPM. Перед завершением процесса необходимо перезагрузить устройство.

Очистить TPM с помощью PowerShell

Есть команда, которая сбрасывает модуль Trusted Platform Module в состояние по умолчанию и удаляет значение авторизации владельца и все ключи, хранящиеся в модуле TPM. Эта команда использует значение авторизации владельца, хранящееся в реестре, вместо указания значения или использования значения в файле.

Откройте PowerShell от имени администратора и введите Clear-Tpm.

В данном пошаговом руководстве предоставляются необходимые инструкции по использованию служб доверенного платформенного модуля (Trusted Platform Module, TPM) в тестовой среде.

Что такое службы TPM?

Службы TPM представляют собой набор новых возможностей, имеющихся в ОС Microsoft ®Windows Vista™ и Windows Server® «Longhorn». Эти службы используются для управления модулем TPM, обеспечивающим безопасность вашего компьютера. Архитектура служб TPM создает основу для взаимодействия с аппаратными средствами защиты путем предоставления совместного доступа к модулю TPM на уровне приложений.

Что такое модуль TPM?

Доверенный платформенный модуль (TPM) – это микросхема, предназначенная для реализации основных функций, связанных с обеспечением безопасности, главным образом с использованием ключей шифрования. Модуль TPM обычно установлен на материнской плате настольного или переносного компьютера и осуществляет взаимодействие с остальными компонентами системы посредством системной шины.

Компьютеры, оснащенные модулем TPM, имеют возможность создавать криптографические ключи и зашифровывать их таким образом, что они могут быть расшифрованы только модулем TPM. Данный процесс, часто называемый «сокрытием» ключа («wrapping» key) или «привязкой» ключа («binding» key), помогает защитить ключ от раскрытия. В каждом модуле TPM есть главный скрытый ключ, называемый ключом корневого хранилища (Storage Root Key, SRK), который хранится в самом модуле TPM. Закрытая часть ключа, созданная в TPM, никогда не станет доступна любому другому компоненту системы, программному обеспечению, процессу или пользователю.

Компьютеры, оснащенные модулем TPM, также могут создавать ключи, которые будут не только зашифрованы, но и привязаны к определенной системной конфигурации. Такой тип ключа может быть расшифрован только в том случае, если характеристика платформы, на которой его пытаются расшифровать, совпадает с той, на которой этот ключ создавался. Данный процесс называется «запечатыванием» ключа в модуле TPM. Дешифрование его называется «распечатыванием» («unsealing»). Модуль TPM также может запечатывать и распечатывать данные, созданные вне модуля TPM. При использовании запечатанного ключа и такого программного обеспечения, как BitLocker™ Drive Encryption, Вы можете обеспечить блокировку данных до тех пор, пока они не будут перенесены на компьютер с подходящей аппаратной или программной конфигурацией.

При использовании модуля TPM закрытая часть пар ключей хранится вне памяти, доступ к которой имеет операционная система. Ключи могут быть запечатаны модулем TPM, при этом точное решение о том, является ли система надежной, будет принято до того, как ключи будут распечатаны и готовы к использованию. Поскольку модуль TPM для обработки инструкций использует собственное встроенное программное обеспечение и логические схемы, его работа не зависит от операционной системы. Благодаря этому обеспечивается его защита от возможных уязвимостей внешнего программного обеспечения.

Для кого предназначено данное руководство?

Данное руководство предназначено для:

ИТ-специалистов, занимающихся планированием и анализом информационной инфраструктуры, оценивающих функциональные возможности продукта.
Специалистов, осуществляющих раннее внедрение продукта.
Архитекторов безопасности, ответственных за реализацию концепции trustworthy computing.

В этом руководстве

Требования для использования служб TPM

Мы рекомендуем Вам вначале выполнить в тестовой среде все шаги, описанные в данном руководстве. Данное руководство следует рассматривать как отдельно взятый документ. Его не следует рассматривать как всеобъемлющее руководство по развертыванию определенных возможностей Windows Vista или Windows Server «Longhorn» и пользоваться им, не прибегая к сопроводительной документации, представленной в разделе .

Подготовка тестовой среды для изучения работы служб TPM

Для изучения работы служб TPM необходима тестовая среда, которая состоит из компьютера, подключенного к изолированной сети через обычный концентратор или коммутатор второго уровня. Компьютер должен работать под управлением операционной системы Windows Vista и быть оснащен совместимым модулем TPM (версии 1.2), а также BIOS, соответствующей спецификации Trusted Computing Group (TCG). Рекомендуется также использовать портативный USB-накопитель. При настройке сети для тестовой среды следует использовать частный диапазон IP-адресов.

Основные сценарии использования служб TPM

В данном руководстве рассматриваются следующие сценарии использования служб TPM:

Примечание

Три сценария, представленные в данном руководстве, призваны помочь администратору в освоении возможностей, предоставляемых службами TPM в ОС Windows Vista. В данных сценариях содержится основная информация и описываются процедуры, необходимые для того, чтобы администраторы могли начать процесс конфигурирования и развертывания в своих сетях компьютеров, оснащенных модулями TPM. Информация, а также процедуры, необходимые для дополнительной или расширенной настройки служб TPM, не включены в данное руководство.

Сценарий 1. Инициализация модуля TPM

Данный сценарий подробно описывает процедуру инициализации модуля TPM в компьютере. Процесс инициализации включает в себя включение модуля TPM и назначение его владельца. Данный сценарий написан для локальных администраторов, ответственных за настройку компьютеров, оснащенных модулем TPM.

Несмотря на то, что в Windows Vista поддерживается удаленная инициализация модуля TPM, обычно для выполнения этой операции требуется личное присутствие администратора возле компьютера. Если компьютер поставлен с уже инициализированным модулем TPM, личное присутствие не требуется. Информация об удаленной инициализации, а также необходимые для этого процедуры не включены в данное руководство. Службы TPM задействуют WMI-класс, который позволяет выполнять описанные в данном разделе процедуры с использованием сценариев. Информация о написании сценариев для выполнения указанных задач также не включена в данное руководство.

Шаги по инициализации модуля TPM

Для инициализации модуля TPM, установленного в Вашем компьютере, необходимо выполнить следующие шаги:

Шаг 1. Инициализация модуля TPM

Чтобы модуль TPM мог обеспечивать защиту вашего компьютера, его необходимо вначале инициализировать. В этом разделе описывается процедура инициализации модуля TPM, установленного в компьютере.

Компьютеры, соответствующие требованиям ОС Windows Vista, оснащены встроенной в BIOS функциональной возможностью, упрощающей инициализацию модуля TPM посредством мастера инициализации TPM. При запуске мастера инициализации TPM Вы можете определить, был ли модуль TPM, которым оснащен компьютер, инициализирован, или нет.

Описанная ниже процедура проведет Вас по всем шагам инициализации модуля TPM с помощью мастера инициализации TPM.

Примечание
Для выполнения описанной ниже процедуры Вам необходимо войти в систему на компьютере, оснащенном модулем TPM, с правами администратора.

Для запуска мастера инициализации TPM и инициализации модуля TPM выполните следующие действия:

В меню Пуск выберите пункт Все программы , затем Стандартные , после чего Выполнить .

Введите tpm.msc в поле Открыть , после чего нажмите клавишу Enter .

Продолжить «Дополнительные источники информации»

Отобразится консоль Управление доверенным платформенным модулем (TPM) на локальном компьютере .

В меню Действие выберите команду Инициализировать TPM . При этом запустится мастер инициализации TPM.

Нажмите кнопку Перезагрузить компьютер , после чего следуйте указаниям на экране, которые будет выдавать BIOS.
Примечание. Сообщения, выводимые BIOS, а также необходимые действия пользователя могут отличаться в зависимости от производителя оборудования.

После перезагрузки на экране будет отображено уведомление, для ответа на которое требуется личное присутствие пользователя. Это гарантирует, что модуль TPM пытается инициализировать пользователь, а не вредоносное программное обеспечение.

Щелкните Автоматически подготовить модуль TPM для назначения владельца (рекомендуется) .

Шаг 2. Назначения владельца модуля TPM

Перед тем, как модуль TPM можно будет использовать для обеспечения безопасности вашего компьютера, необходимо назначить владельца этого модуля. При назначении владельца модуля TPM Вам необходимо указать пароль. Пароль является гарантией того, что только авторизованный владелец модуля TPM может получить к нему доступ и управлять им. Пароль также используется для отключения модуля TPM в том случае, если Вы больше не хотите его использовать, а также для очистки модуля TPM в случае, если компьютер подготавливается к утилизации.

Следующая процедура позволит Вам стать владельцем модуля TPM.

Описанные ниже шаги проведут Вас через процедуру назначения владельца модуля TPM с использованием мастера инициализации TPM.

Примечание

Для назначения владельца модуля TPM выполните следующие действия

Внимание. Не потеряйте Ваш пароль. В случае потери пароля Вы не сможете производить никаких административных изменений до тех пор, пока не очистите модуль TPM.

Сценарий 2. Выключение и очистка модуля TPM

В данном сценарии рассматриваются две распространенные задачи, с которыми придется столкнуться администраторам во время изменения конфигурации или утилизации компьютера, оснащенного модулем TPM. Этими задачами являются выключение модуля TPM и его очистка.

Выключение модуля TPM

Некоторые администраторы могут решить, что не на каждом компьютере в их сети, оснащенном модулем TPM, необходима дополнительная защита, которую обеспечивает этот модуль. В такой ситуации рекомендуется убедиться в том, что модули TPM на соответствующих компьютерах отключены. Представленная ниже процедура проведет Вас через весь процесс выключения модуля TPM.

Примечание
Для выключения модуля TPM личное присутствие администратора не требуется.

Для выполнения описанной ниже процедуры Вам необходимо войти в систему на компьютере, оснащенном модулем TPM, с правами локального администратора.

Для выключения модуля TPM выполните следующие действия

В меню Пуск выберите пункт Все программы , затем Стандартные , после чего Выполнить .

Введите tpm.msc в поле Открыть и нажмите клавишу Enter . Отобразится консоль

В меню Действия выберите команду Отключить TPM .

В диалоговом окне Выключите оборудование безопасности для доверенного платформенного модуля вы берите метод ввода пароля и выключения модуля TPM:

Если у Вас имеется съемный носитель, на который Вы ранее сохранили пароль владельца модуля TPM, вставьте его в считывающее устройство и нажмите . В диалоговом окне нажмите кнопку Обзор , Открыть , после чего нажмите кнопку .

Введите Ваш пароль (включая дефисы) и нажмите кнопку Отключить доверенный платформенный модуль .

Нет пароля владельца TPM и следуйте инструкциям, позволяющим выключить модуль TPM без ввода пароля.

Примечание. Для выключения модуля TPM без ввода пароля владельца TPM и выполнения ограниченного числа задач, связанных с администрированием, требуется личное присутствие администратора возле компьютера.

Состояние модуля TPM отображается в области Состояние консоли управления TPM.

Очистка модуля TPM

Очистка модуля TPM приводит к отмене права владения модулем TPM и отключению модуля TPM. Данное действие необходимо выполнять в том случае, если оснащенный модулем TPM компьютер необходимо утилизировать, или когда пароль владельца TPM утерян. Представленная ниже процедура проведет Вас через весь процесс очистки модуля TPM.

Примечание
Для очистки модуля TPM личное присутствие администратора не требуется.

Для очистки модуля TPM выполните следующие действия

В меню Пуск выберите пункт Все программы , затем Стандартные , после чего Выполнить .

Введите tpm.msc в поле Открыть и нажмите клавишу Enter . Отобразится консоль Управление доверенным платформенным модулем (TPM) на локальном компьютере.

Если отобразится диалоговое окно Контроль учетных записей пользователей , убедитесь в том, что предложенное действие соответствует тому, что Вы запросили, после чего нажмите кнопку Продолжить . Для получения дополнительной информации обратитесь к разделу «Дополнительные источники информации» , расположенному в конце данного документа.
Внимание. Очистка модуля TPM приведет к тому, что все его настройки вернутся к заводским, а сам модуль будет отключен. При этом Вы потеряете все созданные ключи, а также данные, которые были защищены этими ключами.

В меню Действия выберите команду Очистить TPM . Если модуль TPM отключен, выполните процедуру, описанную в разделе «Шаг 1. Инициализация модуля TPM», для повторной инициализации его перед очисткой.

В диалоговом окне Очистите оборудование безопасности для доверенного платформенного модуля выберите метод ввода пароля и очистки модуля TPM:

Если у Вас имеется съемный носитель, на который Вы ранее сохранили пароль владельца TPM, вставьте его в считывающее устройство и нажмите Имеется архивный файл с паролем владельца TPM . В диалоговом окне Выберите файл резервной копии с паролем владельца доверенного платформенного модуля нажмите кнопку Обзор, чтобы выбрать файл с расширением.tpm, расположенный на съемном носителе, затем нажмите кнопку Открыть , после чего нажмите .

В случае отсутствия съемного носителя с сохраненным паролем выберите Ввести вручную пароль владельца TPM . В появившемся диалоговом окне Введите свой пароль владельца доверенного платформенного модуля введите пароль (включая дефисы) и нажмите Очистить доверенный платформенный модуль .

Если Вы не знаете пароль владельца TPM, выберите Нет пароля владельца TPM и следуйте инструкциям, позволяющим очистить модуль TPM без ввода пароля.

Примечание. Для очистки модуля TPM и выполнения ограниченного числа задач, связанных с администрированием, без необходимости ввода пароля владельца TPM, требуется личное присутствие администратора возле компьютера.

Состояние модуля TPM отображается в поле Состояние консоли управления TPM.

Сценарий 3. Блокирование и разрешение использования команд TPM

Данный сценарий описывает процедуру блокирования и разрешения использования команд модуля TPM. Эту задачу локальные администраторы могут выполнять во время начальной конфигурации компьютера, оснащенного модулем TPM, или во время изменения его конфигурации. Командами модуля TPM можно управлять через дочерний узел консоли управления TPM, который называется Управление командами . Здесь администраторы могут просматривать команды, доступные для использования с модулем TPM. Они также могут блокировать и разрешать использование этих команд в пределах ограничений, накладываемых настройками групповой политики и настройками локального компьютера. Представленная ниже процедура проведет Вас через весь процесс блокирования и разрешения использования команд модуля TPM.

Примечание
Для выполнения описанной ниже процедуры Вам необходимо войти в систему на компьютере, оснащенном модулем TPM, с правами локального администратора.

Для блокирования и разрешения использования команд TPM выполните следующие действия

В меню Пуск выберите пункт Все программы , затем Стандартные , после чего Выполнить .

Введите tpm.msc в поле Открыть , после чего нажмите клавишу Enter .

В дереве консоли разверните узел Управление командами . При этом отобразится список команд TPM.

Выберите из списка команду, которую Вы желаете заблокировать или разрешить использовать.

В меню Действия нажмите Заблокировать выбранную команду или Разрешить выполнение выбранной команды в зависимости от потребности .

Примечание. Локальные администраторы не могут разрешать использовать команды TPM, заблокированные с помощью групповой политики. Команды TPM, указанные по умолчанию в списке заблокированных консоли MMC, также нельзя будет разрешить до тех пор, пока в групповую политику не будут внесены соответствующие изменения, отменяющие действие списка блокировки, заданного по умолчанию.

Регистрация ошибок и отзывы

Поскольку службы TPM предоставляют новые возможности в ОС Windows Server "Longhorn" и Windows Vista, мы очень заинтересованы в получении ваших отзывов о работе с ними, о возможных проблемах, с которыми Вам пришлось столкнуться, а также о полезности имеющейся документации.

Когда Вы обнаруживаете ошибки, следуйте инструкциям, приведенным на веб-узле Microsoft Connect . Мы также заинтересованы в получении ваших предложений и отзывов общего характера относительно служб TPM.

Ваши отзывы и общие вопросы относительно служб TPM Вы можете направлять на следующий адрес электронной почты: mailto:[email protected]?subject=Windows Vista Beta 2 Trusted Platform Module Services Step by Step Guide .

Дополнительные источники информации

Указанные ниже источники предоставляют дополнительную информацию о службах TPM:

Для получения поддержки обратитесь на веб-узел Microsoft Connect .

Для получения доступа к группам новостей служб TPM следуйте указаниям, представленным на веб-узле Microsoft Connect .

Группа разработчиков программы шифрования дисков BitLocker поддерживает блог, расположенный на веб-узле Microsoft TechNet .

Поддержка в рамках специальной партнерской программы Technology Adoption Program

Если Вы являетесь бета-тестером и принимаете участие в специальной партнерской программе внедрения технологий Technology Adoption Program (TAP), Вы также можете обращаться за помощью к назначенному Вам представителю группы разработчиков корпорации Майкрософт.