Principais diferenças e recursos do TPM 1.2 versus 2.0
Summary: Aprenda as principais diferenças entre o TPM 1.2 e o TPM 2.0, incluindo suporte criptográfico, diferenças de comportamento e aplicativos compatíveis. Entenda como o TPM discreto e o TPM de firmware diferem e explore a compatibilidade do TPM com vários sistemas operacionais. ...
Instructions
TPM 1.2 em comparação ao TPM 2.0 — suporte criptográfico
A tabela de algoritmos de criptografia abaixo apresenta um resumo. Para obter uma lista mais abrangente de algoritmos TPM, consulte o Registro de algoritmo TCG. 
| Tipo de algoritmo |
Nome do algoritmo |
TPM 1.2 |
TPM 2.0 |
|---|---|---|---|
| Assimétrico |
RSA 1024 |
Sim |
Opcional |
|
|
RSA 2048 |
Sim |
Sim |
|
|
ECC P256 |
Não |
Sim |
|
|
ECC BN256 |
Não |
Sim |
| Simétrico |
AES 128 |
Opcional |
Sim |
|
|
AES 256 |
Opcional |
Opcional |
| Hash |
SHA-1 |
Sim |
Sim |
|
|
SHA-2 256 |
Não |
Sim |
| HMAC |
SHA-1 |
Sim |
Sim |
|
|
SHA-2 256 |
Não |
Sim |
Tabela 1: TPM 1.2 vs. 2.0
TPM 1.2 versus TPM 2.0 — diferenças de comportamento
O TPM 1.2 oferece suporte a uma única autorização de "proprietário", com uma Chave de endosso (EK) RSA 2048b para autenticação/atestado e uma única Chave raiz de armazenamento (SRK) RSA 2048b para criptografia. Isso significa que um único usuário ou entidade ("proprietário") tem controle sobre as funções de autenticação/atestado e criptografia do TPM. Em geral, a SRK serve como pai para quaisquer chaves criadas no TPM 1.2. O TPM 1.2 foi especificado como um dispositivo opcional (consulte o artigo do Trusted Computing Group The Case for Turn on Trusted Platform Modules
O TPM 2.0 tem as mesmas funcionalidades representadas pela EK para autenticação/atestado e SRK para criptografia como no 1.2, mas o controle é dividido em duas hierarquias diferentes no 2.0: a Hierarquia de endosso (EH) e a Hierarquia de armazenamento (SH). Além da EH e da SH, o TPM 2.0 também contém uma Hierarquia de Plataforma (PH) para as funções de manutenção, e uma Hierarquia Nula. Cada hierarquia tem seu próprio "proprietário" exclusivo para autorização. Por esse motivo, o TPM 2.0 oferece suporte a quatro autorizações, o que seria análogo ao "proprietário" único do TPM 1.2.
No TPM 2.0, a nova Hierarquia De Plataforma deve ser usada pelos fabricantes de plataforma. As hierarquias de armazenamento e endosso e a hierarquia Nula são usadas pelos aplicativos presentes no sistema operacional e no sistema operacional. O TPM 2.0 foi especificado de uma maneira que torna a descoberta e o gerenciamento menos complicados do que no 1.2. O TPM 2.0 pode dar suporte a algoritmos RSA e ECC para chaves de endosso e SRKs.
TPM 1.2 vs. 2.0 - Aplicativos e recursos compatíveis:
| Recurso ou aplicativo |
TPM 1.2 |
TPM 2.0 |
|---|---|---|
| DDP|ST - Cliente OTP |
Sim |
Não* |
| DDP|Criptografia |
Sim |
Sim |
| Tecnologia Intel® Trusted Execution |
Sim |
Sim |
| Microsoft BitLocker™ |
Sim |
Sim |
| Smart Card Virtual da Microsoft |
Sim |
Sim |
| Microsoft Credential Guard™ |
Sim |
Sim |
| Microsoft Passport™ |
Sim |
Sim |
| Inicialização medida TCG |
Sim |
Sim |
| Inicialização segura UEFI |
Sim |
Sim |
| Microsoft Device Guard |
Sim |
Sim |
Tabela 2: TPM 1.2 vs. 2.0 - Aplicativos e recursos suportados
Além disso, consulte o artigo Computadores Dell que podem fazer upgrade do TPM versão 1.2 para 2.0 da base de conhecimento Dell.
Como o TPM 2.0 discreto difere de um TPM firmware (fTPM)?
Um TPM baseado em firmware (fTPM) é um TPM que opera usando os recursos e o contexto de um dispositivo de computação multifuncional/de recurso (como um SoC, CPU ou outro ambiente de computação semelhante).
Um TPM discreto é implementado como um chip de função/recurso isolado e separado, com todos os recursos de computação necessários contidos no discreto pacote do chip físico. Um TPM discreto tem controle total sobre os recursos internos dedicados (como memória volátil, memória não volátil e lógica criptográfica), e é a única função que acessa e utiliza esses recursos.
Um TPM baseado em firmware não tem seu próprio armazenamento dedicado. Ele conta com os serviços do sistema operacional e da plataforma para obter acesso ao armazenamento dentro da plataforma. Uma das implicações de não ter um armazenamento dedicado envolve a presença de um certificado de Chave de endosso (EK). Dispositivos de TPM discretos podem ser entregues pelo fabricante do TPM ao fabricante da plataforma com um certificado de EK instalado no armazenamento do TPM para a Chave de endosso do TPM. Isso não é possível com um TPM de firmware. Os fornecedores de TPM de firmware disponibilizam os certificados para os usuários finais por meio de processos específicos do fabricante. Para adquirir o certificado EK de um computador, os proprietários da plataforma devem entrar em contato com o fornecedor do chipset/CPU dessa plataforma.
Além disso, exige-se um TPM discreto com certificado TCG
Operating System Support matrix:
Consulte também os artigos da base de conhecimento Dell:
- Processo de upgrade ou downgrade do Trusted Platform Module (TPM) para sistema operacional Windows 10
- Perguntas frequentes sobre o Trusted Platform Module (TPM) para Windows 11
Suporte ao fornecedor do sistema operacional
| Sistema operacional |
TPM 1.2 |
TPM 2.0 |
|---|---|---|
| Windows 7 |
Sim |
Não (1) |
| Windows 8 |
Sim |
Sim (2) |
| Windows 8.1 |
Sim |
Sim (2) |
| Windows 10 |
Sim |
Sim |
| RHEL |
Sim |
Sim (3)(4) |
| Ubuntu |
Sim |
Sim (3)(5) |
Tabela 3: Suporte ao fornecedor do sistema operacional
- O Windows 7 de 64 bits com SP configurada no modo de inicialização UEFI + CSM pode oferecer suporte ao TPM 2.0, compatível com algumas plataformas.
- O Windows 8 foi lançado com suporte para TPM 2.0, mas oferece suporte apenas ao SHA-1.
- Requer o kernel upstream do Linux versão 4.4 ou mais recente. Os fornecedores de distribuição do Linux podem optar por oferecer suporte a backport de kernels mais antigos.
- O Red Hat® Enterprise Linux® 7.3 e posterior têm suporte básico a kernel. O RHEL 7.4 tem uma visualização de tecnologia das ferramentas de espaço do usuário.
- Compatível com o Ubuntu 16.04 e versão posterior.
Suporte do sistema operacional da plataforma comercial da Dell
| Sistema operacional |
TPM 1.2 |
TPM 2.0 |
|---|---|---|
| Windows 7 |
Sim |
Não |
| Windows 8 |
Sim |
Não (5) |
| Windows 8.1 |
Sim |
Não (5) |
| Windows 10 |
Sim |
Sim (6) |
| RHEL |
Não (7) |
Sim (8) |
| Ubuntu 14.04 |
Não (7) |
Não |
| Ubuntu 16.04 |
Não (7) |
Sim (9) |
Tabela 4: Suporte do sistema operacional da plataforma comercial da Dell
- A Dell oferece suporte ao TPM 2.0 com o Windows 8 e 8.1 em um número limitado de tablets e computadores pessoais removíveis compatíveis com o modo em espera conectado da Microsoft.
- O suporte ao TPM 2.0 ficou disponível em todas as Plataformas comerciais no outono de 2016, e o modo TPM de padrão de fábrica no Windows 10 é o TPM 2.0.
- O TPM 1.2 não é oficialmente suportado pela Dell com o Linux, exceto em plataformas IoT selecionadas.
- Requer Red Hat® Enterprise Linux® 7.3 ou posterior. O usuário pode precisar alterar manualmente o modo TPM de 1.2 para 2.0.
- A Dell colaborou com a Canonical no suporte do TPM 2.0 em computadores client que são enviados com o TPM 2.0. Isso exige que o Ubuntu 16.04 seja enviado junto com o computador.
Additional Information
Artigos recomendados
Aqui estão alguns artigos recomendados relacionados a este tópico que podem ser de seu interesse.