Recommandations relatives au Module de plateforme sécurisée (TPM)
Cet article fournit des recommandations pour la technologie de module de plateforme sécurisée (TPM) pour Windows.
Pour consulter une description générale des fonctionnalités du TPM, voir la rubrique Vue d’ensemble de la technologie de module de plateforme sécurisée.
Conception et mise en œuvre du TPM
Traditionnellement, les TPM sont des puces discrètes soudées à la carte mère d’un ordinateur. Ces implémentations permettent au fabricant d’équipement d’origine (OEM) de l’ordinateur d’évaluer et de certifier le TPM séparément du reste du système. Les implémentations TPM discrètes sont courantes. Toutefois, ils peuvent être problématiques pour les appareils intégrés qui sont de petite taille ou qui ont une faible consommation d’énergie. Certaines implémentations plus récentes de TPM intègrent la fonctionnalité TPM dans le même chipset que d’autres composants de la plateforme tout en fournissant une séparation logique semblable à celle des puces de TPM discrètes.
Les TPM sont passifs : ils reçoivent des commandes et renvoient des réponses. Pour tirer pleinement parti des avantages d’un TPM, l’OEM doit intégrer avec soin le matériel système et le microprogramme avec le TPM pour lui envoyer des commandes et réagir à ses réponses. Les TPM ont été conçus à l’origine pour offrir des avantages en matière de sécurité et de confidentialité au propriétaire et aux utilisateurs d’une plateforme, mais les versions plus récentes peuvent offrir des avantages en matière de sécurité et de confidentialité au matériel système lui-même. Toutefois, avant de pouvoir être utilisé pour les scénarios avancés, un TPM doit être approvisionné. Windows provisionne automatiquement un module TPM, mais si l’utilisateur envisage de réinstaller le système d’exploitation, il devra peut-être effacer le module de plateforme sécurisée avant de le réinstaller afin que Windows puisse tirer pleinement parti du module de plateforme sécurisée.
Le Trusted Computing Group (TCG) est l’organisation à but non lucratif qui publie et gère la spécification TPM. Le TCG a pour but d’élaborer, de définir et de promouvoir des normes industrielles mondiales et indépendantes des fournisseurs. Ces normes prennent en charge une racine de confiance basée sur le matériel pour les plateformes informatiques approuvées interopérables. Le TCG publie également la spécification TPM comme norme internationale ISO/IEC 11889, en utilisant le processus de soumission de spécification disponible publiquement que le JTC (Joint Technical Committee) 1 définit entre l’ISO (International Organization for Standardization) et l’IEC (International Electrotechnical Commission).
Les OEM implémentent le TPM en tant que composant dans une plateforme informatique approuvée, par exemple un PC, une tablette ou un téléphone. Les plateformes informatiques approuvées utilisent le module de plateforme sécurisée pour prendre en charge des scénarios de confidentialité et de sécurité que le logiciel seul ne peut pas atteindre. Par exemple, les logiciels seuls ne peuvent pas indiquer de manière fiable si des programmes malveillants sont présents pendant le processus de démarrage du système. L’intégration étroite entre TPM et la plateforme augmente la transparence du processus de démarrage et prend en charge l’évaluation de l’intégralité de l’appareil en permettant une évaluation et un signalement fiables du logiciel qui démarre l’appareil. L’implémentation d’un module de plateforme sécurisée dans le cadre d’une plateforme informatique approuvée fournit une racine matérielle de confiance, c’est-à-dire qu’elle se comporte de manière fiable. Par exemple, si une clé stockée dans un module TPM a des propriétés qui interdisent l’exportation de la clé, cette clé ne peut vraiment pas quitter le TPM.
Le TCG a conçu le TPM comme une solution de sécurité de grande consommation à faible coût qui répond aux exigences des différents segments de clientèle. Il existe des variantes entre les propriétés de sécurité des différentes implémentations de TPM, comme il existe des variantes entre les exigences des clients et des réglementations des différents secteurs. Dans les marchés publics, par exemple, certains gouvernements définissent clairement les exigences de sécurité pour les TPM, alors que d’autres ne le font pas.
Comparaison des versions 1.2 et 2.0 du TPM
À partir d’une norme du secteur, Microsoft a été un leader du secteur dans le déplacement et la normalisation sur TPM 2.0, qui offre de nombreux avantages clés réalisés sur les algorithmes, le chiffrement, la hiérarchie, les clés racines, l’autorisation et la RAM NV.
Quelle est la raison d’être du TPM 2.0 ?
Les produits et systèmes TPM 2.0 offrent des avantages de sécurité importants par rapport au TPM 1.2, notamment :
- La spécification TPM 1.2 permet uniquement l’utilisation du chiffrement RSA et de l’algorithme de hachage SHA-1.
- Pour des raisons de sécurité, certaines entités délaissent cet algorithme. Notamment, le NIST exige que de nombreuses agences fédérales passent à SHA-256 à partir de 2014, et les leaders technologiques, notamment Microsoft et Google, ont supprimé la prise en charge de la signature ou des certificats basés sur SHA-1 en 2017.
- Le TPM 2.0 offre une plus grande souplesse de chiffrement en étant plus flexible en ce qui concerne les algorithmes utilisés.
- Il prend en charge les nouveaux algorithmes, ce qui peut améliorer les performances en matière de signature de lecteurs et de génération de clés. Pour obtenir la liste complète des algorithmes pris en charge, voir le registre des algorithmes du TCG. Certains TPM ne prennent pas en charge tous les algorithmes.
- Pour obtenir la liste des algorithmes pris en charge par Windows dans le fournisseur de stockage des clés de chiffrement de plateforme, voir la rubrique consacrée aux fournisseurs d’algorithmes de chiffrement CNG.
- Le TPM 2.0 a obtenu la normalisation ISO (ISO/IEC 11889:2015).
- L’utilisation du TPM 2.0 peut contribuer à éliminer la nécessité pour les fabricants OEM de faire des exceptions aux configurations standard pour certains pays et régions.
- Le TPM 2.0 offre une expérience plus cohérente entre les différentes implémentations.
- Les implémentations TPM 1.2 varient selon les paramètres de stratégie. Cela peut entraîner des problèmes de prise en charge lorsque les stratégies de verrouillage varient.
- La stratégie de verrouillage du TPM 2.0 est configurée par Windows, ce qui garantit une protection cohérente contre les attaques par dictionnaire.
- Alors que les composants TPM 1.2 sont des composants en silicium discrets, qui sont généralement soudés sur la carte mère, TPM 2.0 est disponible en tant que composant de silicium discret (dTPM) dans un seul package de semi-conducteurs, un composant intégré incorporé dans un ou plusieurs packages de semi-conducteurs - avec d’autres unités logiques dans les mêmes package(s) et en tant que composant basé sur un microprogramme (fTPM) s’exécutant dans un environnement d’exécution fiable (TEE) sur un soC à usage général.
Remarque
Le TPM 2.0 n’est pas pris en charge dans les modes hérités et CSM du BIOS. Les appareils avec le TPM 2.0 doivent avoir leur mode BIOS configuré en tant qu’UEFI natif uniquement. Les options héritage et Module de soutien à la compatibilité (CSM) doivent être désactivées. Pour plus de sécurité, activez la fonctionnalité Démarrage sécurisé.
Un système d'exploitation installé sur du matériel en mode hérité empêchera le système d'exploitation de démarrer lorsque le mode du BIOS sera changé en UEFI. Utilisez l’outil MBR2GPT avant de modifier le mode BIOS qui préparera le système d’exploitation et le disque pour prendre en charge UEFI.
TPM discret, intégré ou microprogramme ?
Il existe trois options d’implémentation pour les TPM :
- Puce TPM discrète en tant que composant distinct dans son propre package de semi-conducteurs.
- Solution TPM intégrée, utilisant du matériel dédié intégré à un ou plusieurs packages de semi-conducteurs avec d’autres composants, mais logiquement séparés des autres composants.
- Solution TPM de microprogramme, exécutant le module de plateforme sécurisée dans le microprogramme dans un mode d’exécution approuvé d’une unité de calcul à usage général.
Windows utilise n’importe quel TPM compatible de la même manière. Microsoft ne se positionne pas sur la façon dont un TPM doit être implémenté et il existe un vaste écosystème de solutions TPM disponibles, qui doivent répondre à tous les besoins.
Dans quelle mesure le TPM est-il important pour les utilisateurs ?
Pour les consommateurs finaux, le module de plateforme sécurisée est en arrière-plan, mais il est toujours pertinent. Le TPM est actuellement utilisé pour Windows Hello et Windows Hello Entreprise. À l’avenir, il sera intégré à de nombreuses autres fonctionnalités de sécurité clés dans Windows. TPM sécurise le code confidentiel, aide à chiffrer les mots de passe et s’appuie sur notre expérience Windows globale pour la sécurité en tant que pilier critique. L’utilisation de Windows sur un système équipé d’un TPM assure une couverture de la sécurité plus étendue et plus complète.
Conformité TPM 2.0 pour Windows
Windows pour les éditions de bureau (Famille, Professionnel, Entreprise et Éducation)
- Depuis le 28 juillet 2016, tous les nouveaux modèles, lignes ou séries d’appareils (ou si vous mettez à jour la configuration matérielle d’un modèle, d’une ligne ou d’une série existante avec une mise à jour majeure, telle que le processeur, les cartes graphiques) doivent implémenter et activer par défaut TPM 2.0 (détails dans la section 3.7 de la page Configuration matérielle minimale requise). L’obligation d’activer le module de plateforme sécurisée 2.0 s’applique uniquement à la fabrication des nouveaux appareils. Pour obtenir des recommandations TPM pour des fonctionnalités Windows spécifiques, voir TPM et fonctionnalités Windows.
IoT Standard
- Le TPM est facultatif sur IOT Standard.
Windows Server 2016
- Le TPM est facultatif pour les références SKU Windows Server, sauf si la référence SKU répond aux autres critères de qualification (AQ) pour le scénario des services Guardian hôtes, auquel cas TPM 2.0 est requis.
TPM et fonctionnalités Windows
Le tableau suivant indique quelles fonctionnalités Windows nécessitent la prise en charge du TPM.
Fonctionnalités Windows | TPM exigé | Prend en charge TPM 1.2 | Prend en charge TPM 2.0 | Détails |
---|---|---|---|---|
Démarrage mesuré | Oui | Oui | Oui | Le démarrage mesuré nécessite TPM 1.2 ou 2.0 et le démarrage sécurisé UEFI. TPM 2.0 est recommandé, car il prend en charge les algorithmes de chiffrement plus récents. TPM 1.2 prend uniquement en charge l’algorithme SHA-1, qui est déprécié. |
BitLocker | Non | Oui | Oui | TPM 1.2 ou 2.0 sont pris en charge, mais TPM 2.0 est recommandé. Le chiffrement d’appareil nécessite une veille moderne , y compris la prise en charge de TPM 2.0 |
Chiffrement de l’appareil | Oui | Non applicable | Oui | Le chiffrement de l’appareil exige la certification Veille moderne/Veille connectée, ce qui nécessite TPM 2.0. |
Contrôle d’application pour les entreprises | Non | Oui | Oui | |
System Guard (DRTM) | Oui | Non | Oui | Le microprogramme TPM 2.0 et UEFI est requis. |
Credential Guard | Non | Oui | Oui | Windows 10, version 1507 (fin de vie à compter de mai 2017) prenait uniquement en charge TPM 2.0 pour Credential Guard. À compter de Windows 10, version 1511, TPM 1.2 et 2.0 sont pris en charge. Associé à System Guard, TPM 2.0 offre une sécurité renforcée pour Credential Guard. Windows 11 nécessite TPM 2.0 par défaut pour faciliter l’activation de cette sécurité renforcée pour les clients. |
Attestation d’intégrité des appareils | Oui | Oui | Oui | TPM 2.0 est recommandé, car il prend en charge les algorithmes de chiffrement plus récents. TPM 1.2 prend uniquement en charge l’algorithme SHA-1, qui est déprécié. |
Windows Hello/Windows Hello Entreprise | Non | Oui | Oui | Microsoft Entra jointure prend en charge les deux versions de TPM, mais nécessite un TPM avec code d’authentification de message de hachage à clé (HMAC) et un certificat de clé d’approbation (EK) pour la prise en charge de l’attestation de clé. TPM 2.0 est recommandé par rapport à TPM 1.2 pour améliorer les performances et la sécurité. Windows Hello en tant qu’authentificateur de plateforme FIDO tire parti de TPM 2.0 pour le stockage de clés. |
Démarrage sécurisé UEFI | Non | Oui | Oui | |
Fournisseur de stockage de clés de chiffrement de la plateforme TPM | Oui | Oui | Oui | |
Carte à puce virtuelle | Oui | Oui | Oui | |
Stockage de certificats | Non | Oui | Oui | Le module TPM est exigé uniquement quand le certificat est stocké dans celui-ci. |
Pilote automatique | Non | Non applicable | Oui | Si vous envisagez de déployer un scénario qui nécessite un module de plateforme sécurisée (par exemple, un gant blanc et un mode de déploiement automatique), le microprogramme TPM 2.0 et UEFI sont requis. |
SecureBIO | Oui | Non | Oui | Le microprogramme TPM 2.0 et UEFI est requis. |
Statut OEM sur la disponibilité système du TPM 2.0 et les composants certifiés
Les clients de la fonction publique et les clients d’entreprise dans les secteurs réglementés peuvent appliquer des normes d’acquisition nécessitant l’utilisation de composants TPM certifiés. Par conséquent, les OEM, qui fournissent les appareils, peuvent être tenus d’utiliser uniquement des composants TPM certifiés sur leurs systèmes professionnels. Pour plus d’informations, contactez votre fournisseur de matériel ou OEM.