[Win11要的TPM 2.0不一定是獨立晶片,你的CPU固件可能已經支持][ [eet-china]][2021-07-06]
有人曾說,是軟體行業推動了硬體行業的發展。要運行包含越來越多代碼的大型作業系統,你需要處理能力強勁的CPU;要裝下體積越來越大的APP,你需要更大的NAND Flash;要玩上帶各種視覺特效的遊戲,你就得跟礦工搶顯卡去……
上月底,微軟正式發佈了Windows 11作業系統,不少喜歡嘗鮮的用戶打算“就地升級”時卻遇到了麻煩,他們的電腦少了一樣必須的硬體支援—— TPM(Trusted Platform Module, 可信賴平臺模組)2.0。
什麼是 TPM?為什麼安裝 Windows 11 會需要它?老電腦沒有這個東西還能用Windows 11嗎?這是小夥伴們問的最多的幾個問題。
微軟企業和作業系統安全總監大衛·韋斯頓(David Weston)在 Windows 安全博客上解釋過:“TPM 是一種晶片,它可以集成到 PC 的主機板上,也可以單獨添加到 CPU 中。其目的是保護加密金鑰、用戶憑據等敏感性資料,使得惡意軟體和攻擊者無法訪問或篡改這些資料。”
如此看來,在嶄新的使用者介面(UI)、Android 應用程式支援(WSA 子系統)、手寫筆交互等體驗刷新之外,微軟這次更加注重Windows 11能夠為用戶安全帶來改進。強制要求TPM,也是微軟多年來一直在推進的重大硬體更新之一。
不同于其他安全防護軟體,TPM 晶片可以為使用者提供硬體級的資料保護,它不但適用於 BitLocker 等 Windows 功能加密磁片,也能防止針對密碼的字典攻擊。符合TPM的晶片首先必須具有產生加解密金鑰的功能,此外還必須能夠進行高速的資料加密和解密,以及充當保護BIOS和作業系統不被修改的輔助處理器。
關於微軟大力推廣TPM晶片的理由,還有一個,那就是防止和打擊盜版。
雅達利公司創建者之一的(Nolan Bushnell)曾在2008年時預言,遊戲產業面臨的盜版氾濫問題,在過不久將隨著新型加密晶片的逐步普及而成為歷史。
“一種名為TPM的加密晶片即將被使用在今後的大部分電腦主機板上。”布希內爾說道:“這就意味著遊戲產業將迎來一種全新的、絕對安全的加密方式,它無法在網路上被破解也不存在註冊碼被散播的危險,它將允許我們在那些盜版極為嚴重的地區開拓巨大的新市場。”
布希內爾認為,電影和音樂的盜版很難被阻止,因為只要是“能看、能聽的就可以拷貝”。然而電子遊戲的情況則完全不同,由於這類產品與代碼的緊密聯繫性,使用TPM晶片將能夠完全阻止盜版遊戲的運行。
“一旦TPM晶片的普及率達到足夠高的水準,我們就可以開始看到在亞洲,印度等盜版氾濫地區正版軟體收入的逐步增長,而這在以前是幾乎是不可想像的。”
這也是微軟希望看到的,盜版軟體不但影響了他們的營收,更給整個行業帶來了一大筆真金白銀的損失。2014年微軟網路犯罪中心的副總顧問兼執行董事大衛-費恩(David Finn)在一篇博文中寫道,“經由盜版軟體入侵的惡意程式給企業造成的打擊尤其嚴重。今年,IDC公司預計,企業將會花費1270億美元來處理安全問題,3640億美元來處理資料失竊。”
TPM晶片並不是新鮮事物
由此可見,TPM 晶片並不是什麼新鮮事物。
早在1999年10月,多家IT巨頭就聯合發起成立可信賴運算平臺聯盟(Trusted Computing Platform Alliance,TCPA),初期加入者有康柏、HP、IBM、英特爾、微軟等,該聯盟致力於促成新一代具有安全且可信賴的硬體運算平臺。
2003年3月,TCPA增加了諾基亞、索尼等廠家的加入,並改組為可信賴計算組織(Trusted Computing Group,TCG),希望從跨平臺和操作環境的硬體和軟體兩方面,制定可信賴電腦相關標準和規範,並提出了TPM規範。
最先響應號召的是廣大筆記本廠商,他們早早地內置了TPM功能,但更多的是防患於未然,畢竟當時支援TPM的作業系統還沒有出現,OEM廠商都是採用協力廠商軟體來實現TPM的部分功能。
直到2007年,Windows Vista正式發佈之後,TPM安全晶片才開始發揮其幕後英雄的作用,大量的系統安全功能通過其來實現。
在 2011 年,TPM 1.2 晶片已廣泛存在於各類商業用途的主機中。考慮到各種網路釣魚、勒索軟體、供應鏈和物聯網漏洞,這對於企業用戶來說是極為必要的安全手段。而且每個單獨的 TPM 都具有矽製造期間初始化的唯一簽名,可提高信任/安全效率。每個 TPM 都必須擁有一個所有者才能使用。TPM 用戶必須親自到場才能獲得所有權。在此過程結束且 TPM 擁有唯一所有者後,TPM 將被啟動。
“我們發現,83% 的企業經歷過固件攻擊,只有 29% 的企業有分配資源來保護它們的關鍵資料。”韋斯頓對當時企業用戶採用TPM的背景這樣描述道。
但微軟的目標不只是企業使用者,他們想把 TPM 晶片應用到每一台 PC 上,借助這種現代硬體的信任根(root-of-trust)來幫助抵禦常見和複雜的攻擊,比如勒索軟體和重量級駭客組織的複雜攻擊。
獨立晶片和基於固件的TPM有何不同?
2015年, Windows 10 發佈以後,微軟開始要求 OEM 廠商在硬體上提供TPM 晶片支援,不過這一要求並不是強制性的。TPM 2.0晶片也是從這一年開始在一些筆記本上出現,雖然傳統上來講,TPM是焊接到電腦主機板的離散晶片,但英特爾、AMD均在後續較新的處理器層面做了固件支持,除非特別老舊的設備才需要加裝TPM 2.0專用模組。
TPM模組通常是一種小眾的主機板配件,微星、華碩等OEM廠商均有生產,但只有少數桌上型電腦主機板有對應的20-1腳座,並且由於“國安”原因在網上幾乎買不到。據悉最近因為Windows 11的發佈導致TPM模組價格上漲不少,達到了幾十到上百美元不等。加裝之後,能夠拯救H77、Z97、AMD FM2等老平臺。
TPM安全晶片的原廠也不少,大部分是國外廠商,這是由於國外對於TPM安全晶片的研發、製造起步較早。主要廠家有英飛淩(Infineon)、意法半導體(ST)以及Atmel(2016年被Microchip收購)。
中國臺灣廠商華邦電子(收購了美國國家半導體公司旗下PC部門)也是主力廠商之一,不過大陸廠商這方面的研發起步較晚,大家比較熟悉的是聯想自家的“恒智”晶片以及國民技術、兆日科技的產品。目前市面上的國行產品大部分搭載的是國民技術的TPM晶片。
這裡還有個小故事,聯想研究院在2003年就開始了TPM晶片的自研,但直到2005年合併了IBM的PC事業部後才正式宣佈。當時的恒智TPM晶片採用了SoC設計,內置32位處理器,採用0.25微米工藝,達到了當時的國際先進水準。藉由“安全晶片”涉及國家安全的概念和IBM 的品牌效應,聯想開始叫板當時的PC龍頭惠普,這當年也被稱為“TPM門”事件,下面我們會談到。
獨立 TPM 作為隔離的、單獨的功能晶片實施,並且所有必需的計算資源都包含在獨立物理晶片包中。獨立 TPM 完全控制專用內部資源(例如易失性記憶體、非易失性記憶體和加密邏輯。),它是訪問和利用這些資源的唯一功能。
基於固件的 TPM (英特爾叫PTT,AMD叫fTPM) 則有很大不同,它不是使用獨立晶片來工作,而是利用計算設備中的其他資源和環境(如 SoC、CPU 或其它類似計算環境)工作,同時仍然提供類似於離散 TPM 晶片的邏輯分離。
基於固件的 TPM 沒有自己的專用存儲。它依賴於作業系統和平臺服務,以訪問平臺內的存儲。沒有專用存儲的一種含義是存在簽注金鑰 (EK) 證書。獨立TPM 製造商可將 TPM 存儲中裝有 EK 證書,以用於 TPM 簽注金鑰的獨立 TPM 設備交付給平臺製造商,但這對於固件 TPM 無法實現。固件 TPM 供應商通過製造商的特定流程為最終使用者提供證書。要獲得系統的 EK 證書,平臺所有者需要聯繫該平臺的晶片組/CPU 供應商
此外,還需要 TCG 認證的獨立 TPM,以滿足合規性和安全要求,包括強化晶片及其與智慧卡類似的內部資源。TCG合規性可證明TPM正確實施了TCG的規格。TCG認證所需的硬化使經認證的獨立TPM免受更複雜的物理攻擊。
| 歡迎光臨 伊莉討論區 (http://a401.file-static.com/) | Powered by Discuz! |