TPM 1.2 與 2.0 的主要差異與功能
Summary: 瞭解 TPM 1.2 和 TPM 2.0 之間的主要差異,包括密碼編譯支援、行為差異和支援的應用程式。瞭解獨立 TPM 和韌體 TPM 有何不同,並探索 TPM 與各種作業系統的相容性。
Instructions
TPM 1.2 與 TPM 2.0 的比較 - 密碼編譯支援
下表提供摘要的加密演算法,如需更全面的 TPM 演算法清單,請參閱 TCG 演算法登錄檔。
| 演算法類型 |
演算法名稱 |
TPM 1.2 |
TPM 2.0 |
|---|---|---|---|
| 非對稱 |
RSA 1024 |
是 |
選用 |
|
|
RSA 2048 |
是 |
是 |
|
|
ECC P256 |
否 |
是 |
|
|
ECC BN256 |
否 |
是 |
| 對稱 |
AES 128 |
選用 |
是 |
|
|
AES 256 |
選用 |
選用 |
| 雜湊 |
SHA-1 |
是 |
是 |
|
|
SHA-2 256 |
否 |
是 |
| HMAC |
SHA-1 |
是 |
是 |
|
|
SHA-2 256 |
否 |
是 |
表 1:TPM 1.2 與 2.0 的比較
TPM 1.2 與 TPM 2.0 的比較 - 行為差異
TPM 1.2 支援單一「擁有者」授權,以及用於簽署/證明的 RSA 2048b 簽署金鑰 (EK),以及用於加密的單一 RSA 2048b 儲存根金鑰 (SRK)。這表示單一使用者或實體 (「擁有者」) 可同時控制 TPM 的簽章/證明和加密功能。一般來說,SRK 是所有在 TPM 1.2 中建立之金鑰的上層。TPM 1.2 被指定為加入裝置 (請參閱可信賴運算群組文章開啟 可信賴平台模組
TPM 2.0 與 1.2 一樣使用 EK 進行簽署/證明,並使用 SRK 加密,但在 2.0 中,控制分為簽署階層 (EH) 和儲存階層 (SH) 兩個不同的層級。除了 EH 和 SH 之外,TPM 2.0 還包含用於維護功能的平台階層 (PH) 和 Null 階層。每個階層都有專屬的唯一授權「擁有者」。因此,TPM 2.0 支援四個授權,與 TPM 1.2 的「擁有者」類似。
在 TPM 2.0 中,平台製造商應使用新的平台階層。作業系統和作業系統應用程式會使用儲存與背書階層和 Null 階層。TPM 2.0 的指定方式能使探索與管理比 1.2 更加簡便。TPM 2.0 可支援簽署金鑰和 SRK 的 RSA 和 ECC 演算法。
TPM 1.2 與 2.0 的比較 - 支援的應用程式和功能:
| 功能或應用程式 |
TPM 1.2 |
TPM 2.0 |
|---|---|---|
| DDP|ST - OTP 用戶端 |
是 |
否* |
| DDP|Encryption |
是 |
是 |
| Intel® 可信賴的執行技術 |
是 |
是 |
| Microsoft Bitlocker™ |
是 |
是 |
| Microsoft 虛擬智慧卡 |
是 |
是 |
| Microsoft Credential Guard™ |
是 |
是 |
| Microsoft Passport™ |
是 |
是 |
| TCG 測量開機 |
是 |
是 |
| UEFI 安全開機 |
是 |
是 |
| Microsoft裝置保護 |
是 |
是 |
表 2:TPM 1.2 與 2.0 的比較 - 支援的應用程式和功能
此外,請參閱 Dell 知識文章可 從 TPM 1.2 版升級至 2.0 版的 Dell 電腦。
獨立式 TPM 2.0 與韌體 TPM (fTPM) 有何不同?
韌體型 TPM (fTPM) 是使用多功能/功能運算裝置 (例如 SoC、CPU 或其他類似的運算環境) 資源和環境來運作的 TPM。
獨立式 TPM 會以獨立且隔離的功能或功能晶片實作,在獨立的實體晶片封裝內包含所有必要運算資源。獨立式 TPM 可完全控制專用的內部資源 (例如揮發性記憶體、非揮發性記憶體和密碼編譯邏輯),並且是唯一可存取和使用這些資源的功能。
以韌體為基礎的 TPM 則沒有專屬的儲存裝置。它仰賴作業系統和平台服務,以存取平台內的儲存裝置。沒有專用儲存裝置的其中一個影響包括存在簽署金鑰 (EK) 憑證。TPM 製造商在將獨立 TPM 裝置交付給平台製造商時,可將 TPM 簽署金鑰的 EK 憑證安裝在 TPM 儲存裝置內。韌體 TPM 則無法實現此功能。韌體 TPM 廠商會透過製造商的專屬程序,為使用者提供憑證。若要取得電腦的 EK 憑證,平台擁有者必須聯絡該平台的晶片組/CPU 廠商。
此外,必須具備 TCG 認證的獨立 TPM
作業系統支援對照表:
此外,請參閱 Dell 知識文章:
作業系統廠商支援
| 作業系統 |
TPM 1.2 |
TPM 2.0 |
|---|---|---|
| Windows 7 |
是 |
否 (1) |
| Windows 8 |
是 |
是 (2) |
| Windows 8.1 |
是 |
是 (2) |
| Windows 10 |
是 |
是 |
| RHEL |
是 |
是 (3)(4) |
| Ubuntu |
是 |
是 (3)(5) |
表 3:作業系統廠商支援
- 以 UEFI 採用 SP 配置 + CSM 開機模式的 64 位元 Windows 7 可支援 TPM 2.0,在某些平台上支援。
- Windows 8 上市時便支援 TPM 2.0,但僅支援 SHA-1。
- 需要 Linux 上行核心版本 4.4 或更新版本。Linux 經銷廠商可選擇將支援向後包含至較舊的核心。
- Red Hat® Enterprise Linux® 7.3 和更新版本具有基本核心支援。RHEL 7.4 提供使用者空間工具技術預覽。
- 在 Ubuntu 16.04 及更新版本上支援。
Dell 商用平台作業系統支援
| 作業系統 |
TPM 1.2 |
TPM 2.0 |
|---|---|---|
| Windows 7 |
是 |
否 |
| Windows 8 |
是 |
否 (5) |
| Windows 8.1 |
是 |
否 (5) |
| Windows 10 |
是 |
是 (6) |
| RHEL |
否 (7) |
是 (8) |
| Ubuntu 14.04 |
否 (7) |
否 |
| Ubuntu 16.04 |
否 (7) |
是 (9) |
表 4:Dell 商用平台作業系統支援
- 在少量搭載 Windows 8 和 8.1 並支援 Microsoft Connected Standby 的 Dell 平板電腦與可卸離個人電腦上支援 TPM 2.0。
- 在 2016 年春季後,所有商用平台皆提供 TPM 2.0 支援,而 Windows 10 的原廠預設 TPM 模式為 TPM 2.0。
- 除特定 IoT 平臺外,Dell 並未正式在 Linux 上支援 TPM 1.2。
- 需要 Red Hat® Enterprise Linux® 7.3 或更新版本。使用者可能需要手動將 TPM 模式從 1.2 變更為 2.0。
- Dell 與 Canonical 合作,針對隨附 TPM 2.0 的用戶端電腦提供 TPM 2.0 支援。這需要電腦隨附 Ubuntu 16.04。
Additional Information
建議的文章
以下是一些與本主題相關的建議文章,您可能會感興趣。