TPM 1.2 与 2.0 的主要区别和功能
Summary: 了解 TPM 1.2 和 TPM 2.0 之间的主要区别,包括加密支持、行为差异和支持的应用程序。了解独立 TPM 和固件 TPM 的区别,并探索 TPM 与各种操作系统的兼容性。
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
TPM 1.2 与 TPM 2.0 的对比 — 加密支持
下面的加密算法表提供了汇总;有关 TPM 算法的更全面的列表,请参考 TCG 算法注册表。
| 算法类型 |
算法名称 |
TPM 1.2 |
TPM 2.0 |
|---|---|---|---|
| 非对称 |
RSA 1024 |
Yes |
可选 |
|
|
RSA 2048 |
Yes |
Yes |
|
|
ECC P256 |
否 |
Yes |
|
|
ECC BN256 |
否 |
Yes |
| 对称 |
AES 128 |
可选 |
Yes |
|
|
AES 256 |
可选 |
可选 |
| 哈希 |
SHA-1 |
Yes |
Yes |
|
|
SHA-2 256 |
否 |
Yes |
| HMAC |
SHA-1 |
Yes |
Yes |
|
|
SHA-2 256 |
否 |
Yes |
表 1:TPM 1.2 与 2.0 的对比
TPM 1.2 与 TPM 2.0 的对比 - 行为差异
TPM 1.2 支持单个“所有者”授权,RSA 2048b 签注密钥 (EK) 用于签名/认证,单个 RSA 2048b 存储根密钥 (SRK) 用于加密。这意味着,单个用户或实体(“所有者”)控制 TPM 的签名/认证及加密功能。一般而言,SRK用作在TPM 1.2中创建的任何密钥的父项。TPM 1.2 被指定为选择加入设备(有关适用于 TPM 的“选择加入”含义的详细信息,请参阅可信计算组文章打开可信平台模块
TPM 2.0 的功能与 1.2 中 EK(用于签名/认证)和 SRK(用于加密)代表的功能相同,但控制在 2.0 中拆分为两个不同的层次:签注层次 (EH) 和存储层次 (SH)。除了EH和SH,TPM 2.0还包含用于维护功能的平台层次(PH)和空层次。每个层次都有其自己唯一的用于授权的“所有者”。正因为如此,TPM 2.0 支持 4 个授权,这与单个 TPM1.2“所有者”相似。
在TPM 2.0中,新平台层次用于由平台制造商使用。存储和认可层次结构以及 Null 层次结构由操作系统和操作系统的应用程序使用。TPM 2.0的发现与管理不如1.2繁琐。TPM 2.0 可以支持用于签注密钥和 SRK 的 RSA 和 ECC 算法。
TPM 1.2 与 2.0 — 支持的应用程序和特点:
| 功能或应用程序 |
TPM 1.2 |
TPM 2.0 |
|---|---|---|
| DDP|ST - OTP client |
Yes |
否* |
| DDP|Encryption |
Yes |
Yes |
| 英特尔®可信执行技术 |
Yes |
Yes |
| Microsoft Bitlocker™ |
Yes |
Yes |
| Microsoft Virtual Smart Card |
Yes |
Yes |
| Microsoft Credential Guard™ |
Yes |
Yes |
| Microsoft Passport™ |
Yes |
Yes |
| TCG测量启动 |
Yes |
Yes |
| UEFI安全启动 |
Yes |
Yes |
| Microsoft Device Guard |
Yes |
Yes |
表 2:TPM 1.2与2.0—支持的应用程序和特点
提醒:* DDP |ST 在配置了 TPM 2.0 但现在不使用 TPM 2.0 的计算机上工作。
此外,请参阅戴尔知识库文章 可从 TPM 版本 1.2 升级到 2.0 的戴尔计算机(英文版)。
独立 TPM 2.0 与固件 TPM (fTPM) 有何不同?
基于固件的 TPM (fTPM) 使用多功能计算设备的资源和环境(如 SoC、CPU 或其它类似计算环境)工作。
独立 TPM 作为隔离的、单独的功能芯片实施,并且所有必需的计算资源都包含在独立物理芯片包中。独立 TPM 完全控制专用内部资源(例如易失性存储器、非易失性存储器和加密逻辑),它是访问和利用这些资源的唯一功能。
基于固件的 TPM 没有自己的专用存储。它依赖于操作系统和平台服务,以访问平台内的存储。没有专用存储的一种含义是存在签注密钥 (EK) 证书。TPM 制造商可将 TPM 存储中装有 EK 证书以用于 TPM 签注密钥的独立 TPM 设备交付给平台制造商。这对于固件 TPM 无法实现。固件 TPM 供应商通过制造商的特定流程为最终用户提供证书。要获取计算机的 EK 证书,平台所有者必须联系该平台的芯片组/CPU 供应商。
此外,还需要 TCG 认证的独立 TPM
操作系统支持值表:
此外,请参阅戴尔知识库文章:
操作系统供应商支持
| 操作系统 |
TPM 1.2 |
TPM 2.0 |
|---|---|---|
| Windows 7 |
Yes |
否(1) |
| Windows 8 |
Yes |
是(2) |
| Windows 8.1 |
Yes |
是(2) |
| Windows 10 |
Yes |
Yes |
| RHEL |
Yes |
是 (3) (4) |
| Ubuntu |
Yes |
是 (3) (5) |
表 3:操作系统供应商支持
- 在 UEFI + CSM 启动模式下配置 SP 的 Windows 7(64 位)可以支持 TPM 2.0(在某些平台上受支持)。
- 通过对 TPM 2.0 的支持启动的 Windows 8 仅支持 SHA-1。
- 要求使用 Linux 上行内核版本 4.4 或更高版本。Linux 分发供应商可以选择对旧内核的反向移植支持。
- Red Hat® Enterprise Linux® 7.3 及更高版本具有基本内核支持。RHEL 7.4 具有用户空间工具的技术预览。
- 在 Ubuntu 16.04 和更高版本上受支持。
戴尔商用平台操作系统支持
| 操作系统 |
TPM 1.2 |
TPM 2.0 |
|---|---|---|
| Windows 7 |
Yes |
否 |
| Windows 8 |
Yes |
否 (5) |
| Windows 8.1 |
Yes |
否 (5) |
| Windows 10 |
Yes |
是 (6) |
| RHEL |
否 (7) |
是 (8) |
| Ubuntu 14.04 |
否 (7) |
否 |
| Ubuntu 16.04 |
否 (7) |
是 (9) |
(表 4):戴尔商用平台操作系统支持
- 对于支持 Microsoft Connected Standby 的装有 Windows 8 和 8.1 的限量平板电脑和可拆卸个人计算机,戴尔支持 TPM 2.0。
- 2016 年春季发货的所有商用平台均支持 TPM 2.0,而 Windows 10 上的出厂默认 TPM 模式为 TPM 2.0。
- 除了特定 IoT 平台以外,TPM 1.2 还不受戴尔与 Linux 官方支持。
- 需要 Red Hat® Enterprise Linux® 7.3 或更高版本。用户可能需要将 TPM 模式从 1.2 手动更改为 2.0。
- 戴尔与 Canonical 合作,以在随 TPM 2.0 提供的客户端计算机上提供 TPM 2.0 支持。这就要求 Ubuntu 16.04 随计算机一同提供。
Additional Information
推荐的文章
以下是您可能会感兴趣的与此主题相关的一些推荐文章。
Article Properties
Article Number: 000131631
Article Type: How To
Last Modified: 05 Dec 2024
Version: 9
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.