Número del artículo: 000131631
Funkcje modułów TPM 1.2 i 2.0
Resumen: Funkcje modułu TPM 1.2 i 2.0, moduł TPM 1.2 w porównaniu z modułem TPM 2.0, TPM 1.2 i 2.0 — obsługiwane aplikacje i funkcje, moduł TPM 2.0 różni się od modułu TPM oprogramowania wewnętrznego ...
Contenido del artículo
Instrucciones
TPM 1.2 w porównaniu z TPM 2.0 — obsługa kryptograficzna
Poniższa tabela algorytmów szyfrowania zawiera podsumowanie; aby uzyskać bardziej kompleksową listę algorytmów TPM, należy odnieść się do rejestru algorytmów TCG. 
| Typ algorytmu |
Nazwa algorytmu |
TPM 1.2 |
TPM 2.0 |
|---|---|---|---|
| Asymetryczne |
RSA 1024 |
Tak |
Opcjonalnie |
|
|
RSA 2048 |
Tak |
Tak |
|
|
ECC P256 |
Nie |
Tak |
|
|
ECC BN256 |
Nie |
Tak |
| Symetryczne |
AES 128 |
Opcjonalnie |
Tak |
|
|
AES 256 |
Opcjonalnie |
Opcjonalnie |
| Hash |
SHA-1 |
Tak |
Tak |
|
|
SHA-2 256 |
Nie |
Tak |
| HMAC |
SHA-1 |
Tak |
Tak |
|
|
SHA-2 256 |
Nie |
Tak |
Tabela 1: TPM 1.2 i 2.0
TPM 1.2 w porównaniu z TPM 2.0 — różnice w zachowaniu
Układ TPM 1.2 obsługuje pojedyncze upoważnienie „właściciela” z kluczem poręczenia (EK) RSA 2048b do podpisywania/atestacji i pojedynczym kluczem głównym pamięci (RSK) RSA 2048b (SRK) do szyfrowania. Oznacza to, że jeden użytkownik lub podmiot („właściciel”) ma kontrolę nad funkcjami podpisywania/poświadczania i szyfrowania modułu TPM. Mówiąc ogólnie, SRK pełni funkcję nadrzędną wobec wszelkich kluczy utworzonych w TPM 1.2. Moduł TPM 1.2 został określony jako urządzenie opt-in (więcej informacji na temat znaczenia "opt-in", jak w przypadku modułów
Moduł TPM 2.0 ma te same funkcje reprezentowane przez EK do podpisywania/poświadczania i SRK do szyfrowania, co w 1.2, ale w wersji 2.0 kontrola jest podzielona na dwie różne hierarchie, hierarchię poręczenia (EH) i hierarchię pamięci masowej (SH). Oprócz EH i SH, TPM 2.0 zawiera również hierarchię platformy (PH) dla funkcji konserwacji, a także hierarchię zerową. Każda hierarchia ma unikalnego „właściciela” do autoryzacji. Z tego powodu moduł TPM 2.0 obsługuje cztery autoryzacje, które byłyby analogiczne do pojedynczego "właściciela" modułu TPM 1.2.
W TPM 2.0 nowa hierarchia platformy jest przeznaczona do stosowania przez producentów platform. Hierarchie pamięci masowej i potwierdzeń oraz hierarchia zerowa będą używane przez system operacyjny i aplikacje obecne w systemie operacyjnym. Moduł TPM 2.0 został zdefiniowany tak, aby uczynić wykrywanie i zarządzanie mniej uciążliwymi niż w wersji 1.2. Moduł TPM 2.0 obsługuje algorytmy RSA i ECC dla kluczy poręczenia i SRK.
TPM 1.2 i 2.0 — obsługiwane aplikacje i funkcje:
| Funkcja lub aplikacja |
TPM 1.2 |
TPM 2.0 |
|---|---|---|
| DDP|ST — klient OTP |
Tak |
Nie* |
| DDP|Encryption |
Tak |
Tak |
| Technologia ™ Intel® Trusted Execution |
Tak |
Tak |
| Microsoft BitLocker™ |
Tak |
Tak |
| Microsoft Virtual Smart Card |
Tak |
Tak |
| Microsoft Credential Guard™ |
Tak |
Tak |
| Microsoft Passport™ |
Tak |
Tak |
| TCG Measured Boot |
Tak |
Tak |
| UEFI Secure Boot |
Tak |
Tak |
| Microsoft Device Guard ™ |
Tak |
Tak |
Tabela 2: TPM 1.2 i 2.0 — obsługiwane aplikacje i funkcje
W jaki sposób dyskretny moduł TPM 2.0 różni się od modułu TPM opartego na oprogramowaniu wewnętrznym (fTPM)?
Moduł TPM oparty na oprogramowaniu wewnętrznym (fTPM) to moduł TPM, który działa przy użyciu zasobów i kontekstu wielofunkcyjnego/funkcji urządzenia obliczeniowego (takiego jak SoC, procesor lub inne podobne środowisko obliczeniowe).
Dyskretny moduł TPM jest wdrażany jako izolowany, osobny układ funkcji lub układ funkcji, ze wszystkimi niezbędnymi zasobami obliczeniowymi, które znajdują się w oddzielnym pakiecie. Dyskretny moduł TPM ma pełną kontrolę nad dedykowanymi zasobami wewnętrznymi (takimi jak pamięć ulotna, pamięć nieulotna i logika kryptograficzna) i jest jedyną funkcją, która umożliwia uzyskiwanie dostępu do tych zasobów i korzystanie z nich.
Moduł TPM oparty na oprogramowaniu wewnętrznym nie ma własnej dedykowanej pamięci masowej. Opiera się na systemie operacyjnym i usługach platformy, aby zapewnić dostęp do pamięci masowej w ramach platformy. Jedną z konsekwencji nieposiadania dedykowanej pamięci masowej jest obecność certyfikatu klucza poręczenia (EK). Dyskretne urządzenia TPM mogą być dostarczane przez producenta układów TPM producentowi platformy z certyfikatem EK zainstalowanym w pamięci masowej modułu TPM dla klucza poręczenia modułu TPM. Nie jest to możliwe w przypadku modułu TPM opartego na oprogramowaniu wewnętrznym. Dostawcy modułów TPM oprogramowania wewnętrznego udostępniają certyfikaty użytkownikom końcowym za pośrednictwem procesów specyficznych dla producenta. Aby uzyskać certyfikat EK dla komputera, właściciele platform muszą skontaktować się z dostawcą chipsetu/procesora dla tej platformy
Ponadto dyskretny moduł TPM
Macierz obsługi systemów operacyjnych:
Pomoc techniczna producenta systemu operacyjnego
| System operacyjny |
TPM 1.2 |
TPM 2.0 |
|---|---|---|
| Windows 7 |
Tak |
Nie (1) |
| Windows 8 |
Tak |
Tak (2) |
| Windows 8.1 |
Tak |
Tak (2) |
| Windows 10 |
Tak |
Tak |
| RHEL |
Tak |
Tak (3)(4) |
| System operacyjny Ubuntu |
Tak |
Tak (3)(5) |
Tabela 3: Pomoc techniczna producenta systemu operacyjnego
- System Windows 7 w wersji 64-bitowej z sp skonfigurowanym w trybie rozruchu UEFI + CSM może obsługiwać moduł TPM 2.0, obsługiwany na niektórych platformach.
- System Windows 8 został uruchomiony z obsługą modułu TPM 2.0, ale obsługuje tylko sha-1.
- Wymaga jądra systemu Linux w wersji 4.4 lub nowszej. Dostawcy dystrybucji systemu Linux mogą wybrać opcję wstecznej obsługi starszych jąder.
- System Red Hat® Enterprise Linux® w wersji 7.3 lub nowszej obsługuje podstawowe jądro. System RHEL 7.4 zawiera podgląd techniczny narzędzi przestrzeni użytkownika.
- Obsługa w systemie Ubuntu 16.04 i nowszych wersjach.
Wsparcie systemu operacyjnego dla platform komercyjnych firmy Dell
| System operacyjny |
TPM 1.2 |
TPM 2.0 |
|---|---|---|
| Windows 7 |
Tak |
Nie |
| Windows 8 |
Tak |
Nie (5) |
| Windows 8.1 |
Tak |
Nie (5) |
| Windows 10 |
Tak |
Tak (6) |
| RHEL |
Nie (7) |
Tak (8) |
| Ubuntu 14.04 |
Nie (7) |
Nie |
| Ubuntu 16.04 |
Nie (7) |
Tak (9) |
Tabela 4: Obsługa systemów operacyjnych platform komercyjnych firmy Dell
- Firma Dell obsługuje moduły TPM 2.0 z systemem Windows 8 i 8.1 na ograniczonej liczbie tabletów i odłączalnych komputerów osobistych, które obsługują technologię Microsoft Connected Standby.
- Obsługa modułu TPM 2.0 jest dostępna na wszystkich platformach komercyjnych na wiosnę 2016 r., a fabryczny domyślny tryb TPM w systemie Windows 10 to TPM 2.0.
- Moduł TPM 1.2 nie jest oficjalnie obsługiwany przez urządzenia Dell z systemem Linux, z wyjątkiem wybranych platform IoT.
- Wymaga systemu Red Hat® Enterprise Linux® 7.3 lub nowszego. Użytkownik może być zmuszony do ręcznej zmiany trybu modułu TPM z 1.2 na 2.0.
- Firma Dell nawiązała współpracę z firmą Canonical w zakresie obsługi modułu TPM 2.0 na komputerach klienckich wyposażonych w moduł TPM 2.0. Wymaga to, aby system Ubuntu 16.04 był dostarczany z komputerem.
Información adicional
Polecane artykuły
Poniżej przedstawiono niektóre polecane artykuły dotyczące tego tematu, które mogą Cię zainteresować.
Propiedades del artículo
Fecha de la última publicación
03 ene 2024
Versión
5
Tipo de artículo
How To