TPM 2.0 — крипточип для Windows

24.12.2015

Выпущена новая версия TPM — компонента системы шифрования, который должен содержаться в каждом ПК. Это означает большую безопасность при меньшем контроле. CHIP подробно рассказывает об этой полезной технологии.

Trusted Platform Modules (доверяемые платформенные модули) представляют собой небольшие чипы, служащие для защиты данных и уже несколько лет используемые в компьютерах, консолях, смартфонах, планшетах и ресиверах. В настоящее время чипами TPM оснащен приблизительно миллиард устройств, причем 600 миллионов из них — это офисные ПК.

С 2001 года сторонники «теории заговора» стали рассматривать чипы в качестве инструмента контроля, позволяющего якобы ограничивать права пользователя: теоретически TPM-чипы можно применять, например, чтобы ограничить нелегальное копирование фильмов и музыки.Однако за последние 12 лет не было ни одного подобного случая. Более того, Windows использует подобный модуль для безопасной загрузки и шифрования данных жесткого диска посредством BitLocker. Таким образом, TPM обеспечивает преимущество в борьбе с вредоносным ПО и хищением данных.

Несмотря на все это, спецификация версии 2.0 привлекла к себе немало внимания, ведь теперь TPM-чипы запущены «по умолчанию» (раньше пользователю нужно было активировать их самостоятельно). По всей видимости, в скором времени будет сложно найти в продаже устройства без TPM 2.0, так как компания Microsoft соответствующим образом изменила критерии сертификации для Windows. Начиная с 2015 года стандарт TPM 2.0 является обязательным для всех, в противном случае производитель аппаратного обеспечения не получит подтверждение о пройденной сертификации.

TPM-менеджер в окне Панели управления Windows отображает статус и версию чипа TPM

TPM-чип гарантирует безопасность ОС

Самым эффективным способом защиты системы, исключающим возможность проникновения хакеров, является использование аппаратного чипа TPM. Он представляет собой небольшой «компьютер в компьютере»: доверяемый модуль с собственным процессором, оперативной памятью, накопителем и интерфейсом ввода/вывода.

Главной задачей TPM является предоставление в распоряжение операционной системы гарантированно безопасных служб. Например, чипы TPM хранят криптоключи, использующиеся для шифрования данных на жестком диске. Кроме того, модуль подтверждает идентичность всей платформы и проверяет систему на возможные вмешательства хакеров в работу аппаратных средств. На практике TPM в тандеме с UEFI Secure Boot обеспечивает пользователю полностью защищенный и безопасный процесс запуска операционной системы.

Этап, на котором загружается ПО стороннего разработчика (антивирусный сканер), Microsoft обозначает как Measured Boot. Для драйвера ELAM (Early Launch Anti-Malware, ранний запуск антивредоносной программы) от разработчиков антивирусного ПО Microsoft предоставляет свою подпись. Если же она отсутствует, UEFI прерывает процесс загрузки. Ядро проверяет антивирусную защиту при запуске. Если ELAM-драйвер проходит проверку, ядро признает действительными и остальные драйверы. Это исключает возможность того, что руткиты окажут влияние на процесс загрузки Windows и «воспользуются ситуацией», когда антивирусный сканер еще не активен.

Предыдущая спецификация TPM 1.2 использовала устаревшую технологию с внедренными в аппаратной части алгоритмами шифрования RSA-2048 и SHA-1 (последний считается как раз небезопасным). Вместо использования строго определенных алгоритмов в чипах TPM в версии 2.0 можно предусмотреть симметричные и асимметричные методы шифрования. Например, в настоящий момент доступны SHA-2, HMAC, ECC и AES. К тому же в TPM 2.0 путем обновления можно добавить поддержку новых криптоалгоритмов.

TPM-чипы генерируют ключи для BitLocker — системы шифрования в Windows

Подход к использованию ключей также изменился. Если раньше в качестве фундамента для всех предлагаемых служб задействовались два фиксированных криптографических ключа, то TPM 2.0 работает с очень большими случайными числами — так называемыми начальными. При этом нужные ключи генерируются посредством математических функций с использованием начальных чисел в качестве исходных данных. TPM 2.0 предоставляет также возможность генерации ключей только для однократного использования.

ФОТО: компании-производители