Akzeptieren

Die Cookies helfen mir bei der Bereitstellung der Inhalte und Dienste. Durch die Nutzung meines Blogs erklärst du dich damit einverstanden, dass ich Cookies setzen darf.

»: Thanks for coming!
       
       
Aktuelle Seite: News

Samstag 26. 06. 2021 - Windows 11: Basisinformationen zum Trusted Platform Module TPM 2.0



Microsoft verlangt für Windows 11 einige Hardware-Voraussetzungen, die zwar nicht neu sind und auch in vielen Desktop-PCs und Notebooks seit ungefähr 2015 eingebaut sind, aber bei Windows 10 nicht zwingend nötig waren. Zu diesen Voraussetzungen gehört ein Trusted Platform Module (TPM), und zwar nach der 2012 verabschiedeten Spezifikation TPM 2.0.

Bei den meisten Windows-Rechnern aus den vergangenen 4 bis 5 Jahren ist ein solches TPM 2.0 eingebaut und aktiv, wie man leicht herausfinden kann: Der Geräte-Manager (Aufruf über das Start-Suchfeld, via Windows-Taste + X oder mit devmgmt.msc) zeigt ein TPM unter "Sicherheitsgeräte" an. Genauere Informationen liefert die Windows-Systemsteuerung unter "Gerätesicherheit".

Ein TPM 2.0 muss nicht als separater physischer Chip auf dem Mainboard vorhanden sein. Das ist üblicherweise nur bei Business-Notebooks und Bürocomputern mit AMD Ryzen Pro oder Intel vPro der Fall. Bei den allermeisten Systemen mit TPM 2.0 handelt es sich um ein sogenanntes Firmware-TPM (fTPM 2.0). Dabei handelt es sich um Firmware, die auf einem separaten Mikrocontroller-Kern läuft, der im Prozessor, Chipsatz oder System-on-Chip integriert ist.

Prozessoren und Chipsätze mit fTPM 2.0
AMD integriert dazu einen ARM-Kern vom Typ Cortex-A5 in sämtliche Prozessoren, angefangen mit den 2014 vorgestellten Tablet-Chips Beema und Mullins sowie dem Carrizo von 2015. Das fTPM 2.0 gehört zu den Funktionen dieses Platform Security Processor (PSP), später "AMD Secure Processor" genannt.

Bei Desktop-PCs mit AMD-Prozessoren findet man ungefähr seit der 2016 eingeführten Plattform AM4 (Bristol Ridge) fTPMs, sofern der jeweilige Mainboard-Hersteller die Funktion im BIOS eingebaut hat und auch freischaltet.

Bei Intel ist das fTPM 2.0 Teil der Platform Trust Technology (PTT) auf Basis der Converged Security and Management Engine (CSME, früher ME). Je nach Plattform ist eine ME/CSME mit PTT im Chipsatz oder im Prozessor eingebaut; bei Desktop-PCs etwa seit der 2015 eingeführten CPU-Generation Skylake (Core i-6000, Chipsätze der Serie 100). Wie bei AMD-Systemen ist das fTPM aber nur aktivierbar, wenn das BIOS es vorsieht.

TPM-Chips auf dem Mainboard
Seit 2013 gibt es einige Windows-Tablets mit ARM-Chips und Intel Atom Z2000 und fTPM 2.0. 2013 brachte Infineon dann die ersten TPM-2.0-Chips auf den Markt. Diese kamen aber vorwiegend in den bereits erwähnten Business-Notebooks (Baureihen Lenovo ThinkPad, Dell Latitude, HP Elite) und vPro-Bürocomputern zum Einsatz, aber nicht in "Consumer"-Rechnern für Privatleute.

Manche Mainboards haben Pfostenstecker, um eine kleine Platine mit einem TPM-Chip nachzurüsten. Dafür gibt es aber leider keinen allgemeinen Standard und je nach Board nutzt das TPM entweder die Low-Pincount-(LPC-)Schnittstelle oder das Serial Peripheral Interface (SPI), in seltenen Fällen auch I²C. Das BIOS muss das TPM aber auch erkennen, also auf ein TPM vorbereitet sein. Leider findet sich dazu oft keine Dokumentation.

Die Trusted Computing Group (TCG) führt auf ihrer Website eine Liste zertifizierter TPMs.

Die älteren TPM-1.2-Chips gibt es nur als diskrete Chips, nicht als fTPM. Im Vergleich zu TPM 2.0 haben sie unter anderem den Nachteil, dass die Spezifikation nur RSA und den veralteten SHA-1-Algorithmus verlangt; AES ist optional. In einigen (f)TPM 2.0 wurde die Sicherheitslücke TPM-Fail entdeckt.

Vorhandenes TPM aktivieren
Falls Windows kein TPM erkennt, ist es möglicherweise per BIOS abgeschaltet. Bei vielen (aber längst nicht allen) PCs und Notebooks kann man es dann im BIOS-Setup reaktivieren. Die dazu nötigen Optionen findet man oft in Menüs namens "Security" oder "Security Chip".

TPM-Funktionen
Bleibt die Frage, wozu Windows 11 das TPM 2.0 genau nutzt. Das dokumentiert Microsoft jedoch bisher nicht. Der prominenteste TPM-Einsatzzweck unter Windows war bisher die Laufwerksverschlüsselung BitLocker der Pro- und Enterprise-Versionen von Windows. Dabei lässt sich ein TPM nutzen, um den Schlüssel für die Verschlüsselung an die Plattform zu binden (Key Sealing). Auch für die "Geräteverschlüsselung" (Device Encryption) nutzt Windows ein TPM; dabei geht es aber um eine Art BitLocker für den aufgelöteten Flash-Speicher in Tablets.

Quelle: Heise
0 Kommentare




« [ 28 | 29 | 30 | 31 | 32 | 33 | 34 | 35 | 36 ] »

S-Design   A1-VBcode   VB Archiv  VB-Helper   D3n1s.Net   BOT-Trap.de