Principales différences et fonctionnalités entre TPM 1.2 et 2.0

Comparaison de TPM 1.2 et TPM 2.0 - Prise en charge de la cryptographie

Le tableau des algorithmes de chiffrement ci-dessous fournit un résumé. Pour obtenir une liste plus complète des algorithmes TPM, veuillez vous reporter au registre d’algorithme TCG. La liste des algorithmes obligatoires pour le module TPM 2.0 sur un ordinateur personnel est définie dans le dernier profil TPM de la plate-forme cliente PC.

Tableau 1 : Comparaison des fonctionnalités de TPM 1.2 et TPM 2.0

Comparaison de TPM 1.2 et TPM 2.0 - Différences de comportement

Le module TPM 1.2 prend en charge une seule autorisation « propriétaire », avec une clé EK (Endorsement Key) RSA 2048b pour la signature/l’attestation et une unique clé SRK (Storage Root Key) RSA 2048b pour le chiffrement. Cela signifie qu’un utilisateur ou une entité unique (le « propriétaire ») contrôle les fonctions de signature/attestation et de chiffrement du TPM. En général, la SRK sert de parent pour toutes les clés créées dans le TPM 1.2. Le module TPM 1.2 a été spécifié en tant qu’appareil d’abonnement (voir l’article du Trusted Computing Group Argumentaire en faveur de l’activation des modules de plate-forme sécurisée pour plus d’informations sur la signification du terme « opt-in » tel qu’il s’applique au module TPM).

Le module TPM 2.0 propose les mêmes fonctions que le module TPM 1.2, représentées par l’EK pour la signature/attestation et la SRK pour le chiffrement, mais le contrôle est divisé en deux hiérarchies différentes dans la version 2.0 : la hiérarchie d’autorisation (Endorsement - EH) et la hiérarchie de stockage (SH). En plus de l’EH et de la SH, le TPM 2.0 inclut également une hiérarchie de plateforme (PH) pour les fonctions de maintenance et une hiérarchie nulle. Chaque hiérarchie a son propre « propriétaire » pour l’autorisation. C’est la raison pour laquelle le module TPM 2.0 prend en charge quatre autorisations similaires au « propriétaire » unique du TPM 1.2.

Dans le TPM 2.0, la nouvelle hiérarchie de plateforme est destinée à être utilisée par les fabricants de plateformes. Les hiérarchies de stockage et de validation, ainsi que la hiérarchie Null, sont utilisées par le système d’exploitation et les applications présentes au système d’exploitation. Le TPM 2.0 a été conçu de façon que la découverte et la gestion soient plus faciles que dans le TPM 1.2. Le module TPM 2.0 peut prendre en charge les algorithmes RSA et ECC pour les clés de validation et les clés SRK.

TPM 1.2 et 2.0 - Applications prises en charge et fonctionnalités :

Tableau 2 : TPM 1.2 et 2.0 - Applications prises en charge et fonctionnalités

Consultez également l’article de la base de connaissances Dell Ordinateurs Dell pouvant être mis à niveau du TPM version 1.2 vers 2.0.

Différences entre le TPM 2.0 séparé et le TPM firmware (fTPM) :

Un TPM basé sur un firmware est un TPM qui fonctionne en utilisant les ressources et le contexte d’un appareil de calcul multifonction (tel qu’un SoC, un processeur ou d’autres types d’environnement de calcul similaires).

Un TPM séparé est implémenté comme une puce de fonctions, séparée ou isolée. Toutes les ressources de calcul sont contenues dans le package de la puce physique séparée. Un TPM séparé a un contrôle total sur les ressources internes dédiées (telles que la mémoire volatile, la mémoire non volatile et la logique cryptographique) et c’est la seule fonction qui accède à ces ressources et les utilise.

Un TPM basé sur un firmware ne dispose pas de son système de stockage dédié. Il s’appuie sur un système d’exploitation et sur des services de plate-forme pour fournir l’accès au stockage au sein de la plate-forme. L’absence de stockage dédié implique l’utilisation d’un certificat EK (Endorsement Key). Les appareils TPM séparés peuvent être fournis par le fabricant du module TPM au fabricant de la plate-forme, avec un certificat EK installé dans le stockage TPM pour l’EK TPM. Cela n’est pas possible avec un module TPM firmware. Les fournisseurs de module TPM firmware rendent les certificats accessibles aux utilisateurs finaux via des processus spécifiques de fabricant. Pour obtenir le certificat EK d’un ordinateur, les propriétaires de plate-forme doivent contacter le fournisseur du chipset/processeur de cette plate-forme.

En outre, un module TPM séparé certifié TCG est nécessaire pour répondre aux exigences de conformité et de sécurité, y compris pour le renforcement de la puce et des ressources internes similaires à celles des cartes à puce. La conformité TCG permet de s’assurer que le TPM implémente correctement les spécifications TCG. Le renforcement requis par la certification TCG permet aux TPM séparés certifiés de se protéger contre les attaques physiques complexes.

Operating System Support Matrix :

Consultez également les articles suivants de la base de connaissances Dell :

• Processus de mise à niveau/rétrogradation du module de plate-forme sécurisée (TPM) pour le système d’exploitation Windows 10
• Questions fréquentes sur le module de plate-forme sécurisée TPM (Trusted Platform Module) pour Windows 11

Prise en charge des fournisseurs du système d’exploitation

Tableau 3 : Prise en charge des fournisseurs du système d’exploitation

• Windows 7 64 bits avec SP configuré en mode de démarrage UEFI + CSM peut prendre en charge le module TPM 2.0, sur certaines plates-formes
• Windows 8 avec prise en charge du TPM 2.0, mais ne prend pas en charge SHA-1.
• Nécessite une version de noyau Linux 4.4 en amont ou une version plus récente. Les fournisseurs de distributions Linux peuvent choisir de prendre en charge d’anciens noyaux.
• Red Hat® Enterprise Linux® 7.3 et versions ultérieures disposent d’un support de base du noyau. RHEL 7.4 offre un aperçu technique des outils de l’espace utilisateur.
• Pris en charge sur Ubuntu 16.04 et versions supérieures.

Prise en charge des systèmes d’exploitation de la plate-forme Dell Commercial

Tableau 4 : Prise en charge du système d’exploitation de la plate-forme commerciale Dell

• Dell prend en charge le module TPM 2.0 avec Windows 8 et 8.1 sur un nombre limité de tablettes et d’ordinateurs personnels amovibles qui prennent en charge la veille connectée Microsoft.
• La prise en charge du TPM 2.0 est disponible sur toutes les plates-formes Dell Commercial depuis le printemps 2016, et le mode TPM par défaut sur Windows 10 est TPM 2.0.
• Le TPM 1.2 n’est pas officiellement pris en charge par Dell avec Linux, sauf sur certaines plates-formes IoT.
• Nécessite Red Hat® Enterprise Linux® 7.3 ou version supérieure. L’utilisateur peut avoir besoin de passer manuellement du mode TPM 1.2 au mode TPM 2.0.
• Dell collabore avec Canonical sur la prise en charge du module TPM 2.0 sur les ordinateurs clients livrés avec le module TPM 2.0. Pour cela, Ubuntu 16.04 doit être livré avec l’ordinateur.

Articles recommandés

Voici quelques articles recommandés sur ce sujet qui peuvent vous intéresser.

• Ordinateurs Dell pouvant être mis à niveau de la version TPM 1.2 vers la version 2.0
• Processus de mise à niveau ou de rétrogradation du module TPM (Trusted Platform Module) pour le système d’exploitation Windows 10
• Questions fréquentes sur le module de plate-forme sécurisée TPM (Trusted Platform Module) pour Windows 11