可信平台模塊 (TPM)技術旨在提供基於硬件的安全相關功能。TPM 芯片是一種安全的加密處理器,旨在執行加密操作。該芯片包含多重物理安全機制使其具有防篡改功能,惡意軟件無法篡改TPM的安全功能。使用 TPM 技術的一些優點是:
- 生成、存儲和限制加密密鑰的使用
- 通過使用 TPM 的唯一 RSA 密鑰將其用於設備身份驗證,該密鑰被燒入芯片
- 通過採取和存儲引導過程的安全測量來幫助確保平台完整性
最常見的 TPM 功能用於系統完整性測量以及密鑰創建和使用。在系統啟動過程中,加載的啟動代碼(包括固件和操作系統組件)可以被測量並記錄在 TPM 中。完整性測量可用作系統啟動方式的證據,並確保僅在使用正確的軟件啟動系統時才使用基於 TPM 的密鑰。
可以通過多種方式配置基於 TPM 的密鑰。一種選擇是使基於 TPM 的密鑰在 TPM 之外不可用。這有利於減輕網絡釣魚攻擊,因為它可以防止在沒有 TPM 的情況下複製和使用密鑰。基於 TPM 的密鑰也可以配置為需要授權值才能使用它們。如果發生太多不正確的授權猜測,TPM 將激活其字典攻擊邏輯並阻止進一步的授權值猜測。
從 Windows 10 和 Windows 11 開始,操作系統會自動初始化並取得 TPM 的所有權。這意味著在大多數情況下,我們建議您避免通過 TPM 管理控制台TPM.msc配置 TPM 。
TPM 2.0 需要 UEFI 固件。具有舊版 BIOS 和 TPM 2.0 的設備無法按預期工作。