Tabellen med krypteringsalgoritmer nedan innehåller en sammanfattning; En mer omfattande lista över TPM-algoritmer finns i TCG-algoritmregister. Listan över obligatoriska algoritmer för TPM 2.0 i en persondator definieras i den senaste TPM-profilen för datorklientplattformar.
Algoritmens typ |
Algoritmens namn |
TPM 1.2 |
TPM 2.0 |
---|---|---|---|
Asymmetrisk |
RSA 1024 |
Ja |
Valfri |
|
RSA 2048 |
Ja |
Ja |
|
ECC P256 |
Nej |
Ja |
|
ECC BN256 |
Nej |
Ja |
Symmetrisk |
AES 128 |
Valfri |
Ja |
|
AES 256 |
Valfri |
Valfri |
Hash |
SHA-1 |
Ja |
Ja |
|
SHA-2 256 |
Nej |
Ja |
HMAC |
SHA-1 |
Ja |
Ja |
|
SHA-2 256 |
Nej |
Ja |
Tabell 1: TPM 1.2 jämfört med 2.0
TPM 1.2 har stöd för auktorisering för en enda ”ägare”, med en RSA 2048b-bekräftelsenyckel (EK) för signering/attestering och en enda RSA 2048b-lagringsrotnyckel (SRK) för kryptering. Det innebär att en enda användare eller entitet (”ägare”) har kontroll över TPM-funktionerna för både signering/attestering och kryptering. I allmänhet är SRK överordnad för alla nycklar som skapas i TPM 1.2. TPM 1.2 specificerades som en valfri enhet (se artikeln Trusted Computing Group The Case for Turning on Trusted Platform Modules for more information regarding the meaning of "opt-in" as it applie to TPM).
TPM 2.0 har samma funktioner som representeras av EK för signering/attestering och SRK för kryptering som i 1.2, men kontrollen är uppdelad i två olika hierarkier i 2.0, bekräftelsehierarki (EH) och lagringshierarki (SH). Utöver EH och SH, har TPM 2.0 även en Plattformshierarki (PH) för underhållsfunktioner, samt en Null-hierarki. Varje hierarki har en egen unik ”ägare” för auktorisering. Därför stöder TPM 2.0 fyra auktoriseringar som motsvarar den enda TPM 1.2-ägaren.
I TPM 2.0 är den nya plattformshierarkin avsedd att användas av plattformstillverkare. Lagrings- och bekräftelsehierarkierna och Null-hierarkin används av operativsystem- och OS-aktuella program. TPM 2.0 har specificerats på ett sätt som gör kontroll och hantering mindre omständlig än med 1.2. TPM 2.0 kan stödja RSA- och ECC-algoritmer för bekräftelsenycklar och SRK:er.
Funktion eller program |
TPM 1.2 |
TPM 2.0 |
---|---|---|
DDP | ST – OTP-klient |
Ja |
Nej* |
DDP | Kryptering |
Ja |
Ja |
Intel® Trusted Execution Technology ™ |
Ja |
Ja |
Microsoft BitLocker™ |
Ja |
Ja |
Microsoft Virtual Smart Card |
Ja |
Ja |
Microsoft Credential Guard™ |
Ja |
Ja |
Microsoft Passport™ |
Ja |
Ja |
TCG Measured Boot |
Ja |
Ja |
UEFI Secure Boot |
Ja |
Ja |
Microsoft Device Guard ™ |
Ja |
Ja |
Tabell 2: TPM 1.2 jämfört med 2,0 – kompatibla program och funktioner
En TPM som baseras på fast programvara (fTPM) är en TPM som fungerar med hjälp av resurserna och kontexten hos en multifunktionell databehandlingsenhet (t.ex. SoC, CPU och andra liknande databehandlingsmiljöer).
En diskret TPM implementeras som en isolerad, separat funktionskrets, med alla nödvändiga datorresurser som finns i det separata fysiska kretspaketet. En diskret TPM har full kontroll över dedikerade interna resurser (t.ex. flyktigt minne, beständigt minne och kryptografisk logik), och är den enda funktion som kommer åt och använder dessa resurser.
En TPM baserad på fast programvara har inte egen dedikerad lagring. Den är beroende av att operativsystem- och plattformstjänster ger åtkomst till lagring på plattformen. En av konsekvenserna av att inte ha dedikerad lagring är att ett bekräftelsenyckelcertifikat (EK) måste användas. Diskreta TPM-enheter kan levereras av TPM-tillverkaren till plattformstillverkaren med ett EK-certifikat installerat i TPM-lagringen för TPM-bekräftelsenyckeln. Det är inte möjligt med TPM som baseras på fast programvara. TPM-leverantörer av fast programvara gör certifikat tillgängliga för slutanvändare via tillverkarspecifika processer. För att införskaffa EK-certifikatet för en dator måste plattformsägare kontakta kretsuppsättnings-/CPU-leverantören för den plattformen
Dessutom krävs en TCG-certifierad diskret TPM för att uppfylla efterlevnads- och säkerhetskrav, inklusive härdning av kretsen och dess interna resurser som liknar smartkort. TCG-överensstämmelse verifierar att TPM implementerar TCG-specifikationerna korrekt. Härdning som krävs av TCG-certifiering gör att en certifierad diskret TPM kan skydda sig mot mer komplicerade fysiska attacker.
Operativsystem |
TPM 1.2 |
TPM 2.0 |
---|---|---|
Windows 7 |
Ja |
Nej (1) |
Windows 8 |
Ja |
Ja (2) |
Windows 8.1 |
Ja |
Ja (2) |
Windows 10 |
Ja |
Ja |
RHEL |
Ja |
Ja (3)(4) |
Ubuntu |
Ja |
Ja (3)(5) |
Tabell 3: Operativsystemsleverantörssupport
Operativsystem |
TPM 1.2 |
TPM 2.0 |
---|---|---|
Windows 7 |
Ja |
Nej |
Windows 8 |
Ja |
Nej (5) |
Windows 8.1 |
Ja |
Nej (5) |
Windows 10 |
Ja |
Ja (6) |
RHEL |
Nej (7) |
Ja (8) |
Ubuntu 14.04 |
Nej (7) |
Nej |
Ubuntu 16.04 |
Nej (7) |
Ja (9) |
Tabell 4: Stöd för operativsystemet Dell Commercial Platform
Här är några rekommenderade artiklar om detta ämne som kan vara av intresse för dig.