Dell Update Packages ユーザーズガイド

信頼済みプラットフォームモジュール（TPM）は、暗号化キーに関連する基本的なセキュリティ機能を提供するために設計された、暗号化機能を持つセキュアマイクロコントローラです。これはシステムのマザーボード上に取り付けられており、ハードウェアバスを使用してシステムの他のコンポーネントと通信します。BIOS セットアップコマンドを使用して、システムとその TPM の所有権を確立することができます。

TPM は、プラットフォームの構成を値のセットとしてプラットフォーム構成レジスタ（PCR）のセットの中に格納します。従って、例えば、こうしたレジスタの 1 つにはマザーボードの製造元、もう 1 つにはプロセッサの製造元、3 つ目のレジスタにはプラットフォームのファームウェアバージョン、というように構成が格納されます。TPM を組み込んだシステムはプラットフォームの測定値に関連付けられたキーを作成します。このキーは、プラットフォームの測定値がキーの作成時と同じ値である場合にのみアンラップできます。このプロセスは TPM のキーの シールと呼ばれます。復号化は シール解除と呼ばれます。シールされたキーが初めて作成されるとき、TPM は構成値とファイルハッシュのスナップショットを記録します。シールされたキーは、現在のシステム値がスナップショットの記録と一致する場合にのみ シール解除できます。BitLocker はシールされたキーを使用してシステムの整合性を脅かす攻撃を検知します。データは、特定のハードウェアまたはソフトウェア条件が満たされるまでロックされた状態になります。

BitLocker は互換性のある TPM マイクロチップと BIOS が搭載されたシステム用に設計されています。互換性のある TPM はバージョン 1.2 TPM として定義されています。互換性のある BIOS は、TPM および Static Root of Trust Measurement（SRTM）をサポートします。BitLocker は TPM 内のマスター暗号化キーを封印して、前回のセキュア起動時からコード測定値に変更がない場合にのみキーの解放を許可し、コード測定値のいずれかが変更されている場合は、リカバリキーの入力を強制します。1 対多の BIOS アップデートシナリオは、BitLocker がアップデートを停止し、起動完了前にリカバリキーを要求することになります。

BitLocker は、 フルボリューム暗号化および セキュアスタートアップによってシステムに格納されているデータを保護します。BitLocker は、オペレーティングシステムが実行されていないときにシステムが侵害された場合でも、システムに格納されたデータの暗号化された状態が維持されることを確実にし、BitLocker キーが提示されるまでオペレーティングシステムの起動およびドライブの復号化を阻止します。

TPM は BitLocker と連携してシステム起動時の保護を提供します。BitLocker で TPM を使用できるようにするには、TPM を有効化してアクティブにしておく必要があります。起動情報が変更された場合、BitLocker はリカバリモードとなり、データへのアクセスにはリカバリパスワードが必要になります。