Suggerimenti relativi a TPM
Questo articolo fornisce consigli per la tecnologia TPM (Trusted Platform Module) per Windows.
Per una descrizione delle funzionalità di base del TPM, consulta la Panoramica della tecnologia Trusted Platform Module.
Progettazione e implementazione del TPM
Tradizionalmente, i TPM sono chip discreti saldati alla scheda madre di un computer. Tali implementazioni consentono al produttore dell'apparecchiatura originale del computer (OEM) di valutare e certificare il TPM separato dal resto del sistema. Le implementazioni TPM discrete sono comuni. Tuttavia, possono essere problematici per i dispositivi integrati di piccole dimensioni o a basso consumo energetico. Alcune implementazioni TPM più recenti integrano le funzionalità TPM nello stesso chipset di altri componenti della piattaforma, mantenendo comunque una separazione logica simile a quella dei chip TPM separati.
I TPM sono passivi: ricevono comandi e restituiscono le risposte. Per sfruttare al meglio un TPM, l'OEM deve integrare attentamente l'hardware e il firmware del sistema con il TPM per inviare comandi a quest'ultimo e reagire alle sue risposte. I TPM sono stati originariamente progettati per offrire vantaggi in termini di sicurezza e privacy al proprietario e agli utenti di una piattaforma, ma le versioni più recenti possono offrire vantaggi in termini di sicurezza e privacy all'hardware del sistema stesso. Prima che sia possibile usarlo per scenari avanzati, è necessario effettuare il provisioning di un TPM. Windows effettua automaticamente il provisioning di un TPM, ma se l'utente prevede di reinstallare il sistema operativo, potrebbe essere necessario cancellare il TPM prima della reinstallazione in modo che Windows possa sfruttare appieno il TPM.
Trusted Computing Group (TCG) è l'organizzazione no profit che pubblica e mantiene la specifica TPM. Il TCG esiste per sviluppare, definire e promuovere standard globali del settore indipendenti dal fornitore. Questi standard supportano una radice di attendibilità basata su hardware per piattaforme di elaborazione attendibili interoperabili. TCG pubblica inoltre le specifiche TPM attraverso lo standard internazionale 11889 ISO/IEC, usando il processo di invio delle specifiche pubblicamente disponibili definito dal comitato tecnico congiunto 1 tra ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission).
Gli OEM implementano il TPM come componente in una piattaforma di elaborazione attendibile, ad esempio un PC, un tablet o un telefono. Le piattaforme di elaborazione attendibili usano il TPM per supportare scenari di privacy e sicurezza che il solo software non può raggiungere. Ad esempio, il software da solo non può segnalare in modo affidabile se il malware è presente durante il processo di avvio del sistema. La stretta integrazione tra il TPM e la piattaforma aumenta la trasparenza del processo di avvio e supporta la valutazione dell'integrità del dispositivo, rendendo possibile un'affidabile misurazione e segnalazione del software che avvia il dispositivo. L'implementazione di un TPM come parte di una piattaforma di elaborazione attendibile fornisce una radice hardware di attendibilità, ovvero si comporta in modo attendibile. Ad esempio, se una chiave archiviata in un TPM ha proprietà che non consentono l'esportazione della chiave, tale chiave non può lasciare il TPM.
TCG ha progettato il TPM come una soluzione di sicurezza a basso costo e per il mercato di massa, in grado di soddisfare i requisiti di diversi segmenti di clienti. Esistono variazioni nelle proprietà di sicurezza delle diverse implementazioni del TPM, proprio come esistono variazioni nei requisiti dei clienti e normativi per i diversi settori. Negli appalti pubblici, ad esempio, alcuni governi definiscono chiaramente i requisiti di sicurezza per i TPM, mentre altri no.
Confronto tra TPM 1.2 e 2.0
Da uno standard del settore, Microsoft è stato leader del settore nello spostamento e nella standardizzazione su TPM 2.0, che offre molti vantaggi chiave realizzati tra algoritmi, crittografia, gerarchia, chiavi radice, autorizzazione e RAM NV.
Perché TPM 2.0?
I prodotti e i sistemi TPM 2.0 presentano importanti vantaggi per la sicurezza rispetto a TPM 1.2, tra cui:
- La specifica TPM 1.2 consente solo l'uso di RSA e dell'algoritmo di hash SHA-1.
- Per motivi di sicurezza, alcune entità stanno abbandonando SHA-1. In particolare, NIST richiede a molte agenzie federali di passare a SHA-256 a partire dal 2014 e i leader tecnologici, tra cui Microsoft e Google hanno rimosso il supporto per la firma o i certificati basati su SHA-1 nel 2017.
- TPM 2.0 consente maggiore agilità per la crittografia essendo più flessibile rispetto gli algoritmi di crittografia.
- TPM 2.0 supporta algoritmi più recenti, che possono migliorare la firma delle unità e le prestazioni di generazione delle chiavi. Per un elenco completo degli algoritmi supportati, vedi il Registro di sistema algoritmo TCG. Alcuni TPM non supportano tutti gli algoritmi.
- Per un elenco degli algoritmi supportati da Windows nel provider di archiviazione di crittografia della piattaforma, vedi Provider di algoritmi di crittografia CNG.
- TPM 2.0 ha ottenuto la standardizzazione ISO (ISO/IEC 11889:2015).
- L'uso di TPM 2.0 può essere utile per eliminare l'esigenza da parte degli OEM di creare eccezioni per configurazioni standard per determinati paesi e aree geografiche.
- TPM 2.0 offre un'esperienza più coerente tra diverse implementazioni.
- Le implementazioni di TPM 1.2 variano nelle impostazioni dei criteri. Questo può causare problemi di supporto, dal momento che i criteri di blocco cambiano.
- Il criterio di blocco TPM 2.0 è configurato da Windows, assicurando una garanzia di protezione coerente dagli attacchi con dizionario.
- Mentre le parti TPM 1.2 sono componenti di silicio discreti, che in genere vengono saldati sulla scheda madre, TPM 2.0 è disponibile come componente di silicio discreto (dTPM) in un singolo pacchetto semiconduttore, un componente integrato incorporato in uno o più pacchetti semiconduttori, insieme ad altre unità logiche negli stessi pacchetti e come componente basato su firmware (fTPM) in esecuzione in un ambiente di esecuzione attendibile (TEE) in un SoC per utilizzo generico.
Nota
TPM 2.0 non è supportato nelle modalità legacy e CSM del BIOS. I dispositivi con TPM 2.0 devono avere la modalità BIOS configurata solo come UEFI nativo. Le opzioni Legacy e CSM (Compatibility Support Module) devono essere disabilitate. Per una maggiore sicurezza, abilitare la funzionalità di avvio protetto.
Il sistema operativo installato nell'hardware in modalità legacy impedirà l'avvio del sistema operativo quando si cambia la modalità BIOS in UEFI. Prima di modificare la modalità BIOS usare lo strumento MBR2GPT, che preparerà il sistema operativo e il disco per supportare UEFI.
TPM discreto, integrato o firmware?
Sono disponibili tre opzioni di implementazione per i moduli TPM:
- Chip TPM discreto come componente separato nel proprio pacchetto semiconduttore.
- Soluzione TPM integrata, che usa hardware dedicato integrato in uno o più pacchetti semiconduttori insieme, ma logicamente separati da altri componenti.
- Soluzione TPM del firmware, che esegue il TPM nel firmware in modalità esecuzione attendibile di un'unità di calcolo per utilizzo generico.
Windows usa qualsiasi TPM compatibile nello stesso modo. Microsoft non prende posizione sul modo in cui deve essere implementato un TPM e esiste un ampio ecosistema di soluzioni TPM disponibili, che dovrebbe soddisfare tutte le esigenze.
Perché TPM è importante per gli utenti?
Per gli utenti finali, TPM è dietro le quinte, ma è ancora rilevante. TPM viene usato per Windows Hello, Windows Hello for Business e in futuro sarà un componente di molte altre funzionalità di sicurezza cruciali in Windows. TPM protegge il PIN, consente di crittografare le password e si basa sulla storia complessiva dell'esperienza di Windows per la sicurezza come elemento fondamentale. L'uso di Windows in un sistema dotato di un TPM rende possibile un livello più ampio e approfondito di copertura della sicurezza.
Conformità di TPM 2.0 per Windows
Edizioni di Windows per desktop (Home, Pro, Enterprise ed Education)
- Dal 28 luglio 2016, tutti i nuovi modelli di dispositivo, linee o serie (o se si aggiorna la configurazione hardware di un modello, una linea o una serie esistente con un aggiornamento principale, ad esempio CPU, schede grafiche) devono implementare e abilitare per impostazione predefinita TPM 2.0 (dettagli nella sezione 3.7 della pagina Requisiti hardware minimi ). Il requisito per abilitare TPM 2.0 si applica solo per la produzione di nuovi dispositivi. Per i consigli relativi a TPM per funzionalità specifiche di Windows, consultare TPM e funzionalità di Windows.
IoT Core
- TPM è facoltativo in IoT Core.
Windows Server 2016
- TPM è facoltativo per gli SKU di Windows Server, a meno che lo SKU non soddisfi gli altri criteri di qualificazione (AQ) per lo scenario dei servizi sorveglianza host, nel qual caso è necessario TPM 2.0.
TPM e funzionalità di Windows
Nella tabella seguente sono definite le funzionalità di Windows che richiedono il supporto per TPM.
Funzionalità Windows | TPM necessario | TPM 1.2 supportato | TPM 2.0 supportato | Dettagli |
---|---|---|---|---|
Avvio con misurazioni | Sì | Sì | Sì | L'avvio misurato richiede TPM 1.2 o 2.0 e l'avvio protetto UEFI. È consigliabile usare TPM 2.0 perché supporta algoritmi di crittografia più recenti. TPM 1.2 supporta solo l'algoritmo SHA-1, deprecato. |
BitLocker | No | Sì | Sì | TPM 1.2 o 2.0 sono supportati, ma è consigliabile usare TPM 2.0. La crittografia dei dispositivi richiede lo standby moderno , incluso il supporto per TPM 2.0 |
Crittografia dispositivo | Sì | N/D | Sì | Crittografia dispositivo richiede la certificazione Modern Standby/Connected Standby che richiede TPM 2.0. |
Controllo app per le aziende | No | Sì | Sì | |
Protezione del sistema (DRTM) | Sì | No | Sì | È necessario il firmware TPM 2.0 e UEFI. |
Credential Guard | No | Sì | Sì | Windows 10 versione 1507 (ciclo di vita del prodotto a partire da maggio 2017) supporta solo TPM 2.0 per Credential Guard. A partire da Windows 10 versione 1511, TPM 1.2 e 2.0 sono supportati. Associato a Protezione del sistema, TPM 2.0 offre una sicurezza avanzata per Credential Guard. Windows 11 richiede TPM 2.0 per impostazione predefinita per facilitare l'abilitazione di questa sicurezza avanzata per i clienti. |
Attestazione dell'integrità dei dispositivi | Sì | Sì | Sì | È consigliabile usare TPM 2.0 perché supporta algoritmi di crittografia più recenti. TPM 1.2 supporta solo l'algoritmo SHA-1, deprecato. |
Windows Hello/Windows Hello for Business | No | Sì | Sì | Microsoft Entra join supporta entrambe le versioni di TPM, ma richiede TPM con codice HMAC (Keyed Hash Message Authentication Code) e certificato EK (Endorsement Key) per il supporto dell'attestazione della chiave. TPM 2.0 è consigliato su TPM 1.2 per migliorare le prestazioni e la sicurezza. Windows Hello come autenticatore della piattaforma FIDO sfrutta TPM 2.0 per l'archiviazione delle chiavi. |
Avvio protetto UEFI | No | Sì | Sì | |
Provider di archiviazione chiavi del provider di crittografia della piattaforma TMP | Sì | Sì | Sì | |
Smart card virtuale | Sì | Sì | Sì | |
Archiviazione certificati | No | Sì | Sì | TPM è necessario solo quando il certificato viene archiviato nel TPM. |
Autopilota | No | N/D | Sì | Se si intende distribuire uno scenario che richiede TPM (ad esempio il white glove e la modalità di distribuzione automatica), sono necessari il firmware TPM 2.0 e UEFI. |
SecureBIO | Sì | No | Sì | È necessario il firmware TPM 2.0 e UEFI. |
Stato OEM sulla disponibilità del sistema TPM 2.0 e parti certificate
I clienti della Pubblica Amministrazione e aziendali nei settori regolamentati potrebbero avere standard di acquisizione che richiedono l'uso di parti TPM certificate comuni. Di conseguenza, gli OEM che forniscono i dispositivi potrebbero essere tenuti a usare solo componenti TPM certificati nei propri sistemi commerciali. Per ulteriori informazioni, contatta il fornitore di hardware o OEM.