Share via

Suggerimenti relativi a TPM

Questo argomento fornisce consigli per la tecnologia TPM (Trusted Platform Module) per Windows.

Per una descrizione delle funzionalità di base del TPM, consulta la Panoramica della tecnologia Trusted Platform Module.

Progettazione e implementazione del TPM

Tradizionalmente, i TPM sono chip discreti saldati alla scheda madre di un computer. Tali implementazioni consentono al produttore dell'apparecchiatura originale del computer (OEM) di valutare e certificare il TPM separato dal resto del sistema. Le implementazioni TPM discrete sono comuni. Tuttavia, possono essere problematici per i dispositivi integrati di piccole dimensioni o a basso consumo energetico. Alcune implementazioni TPM più recenti integrano le funzionalità TPM nello stesso chipset di altri componenti della piattaforma, mantenendo comunque una separazione logica simile a quella dei chip TPM separati.

I TPM sono passivi: ricevono comandi e restituiscono le risposte. Per sfruttare al meglio un TPM, l'OEM deve integrare attentamente l'hardware e il firmware del sistema con il TPM per inviare comandi a quest'ultimo e reagire alle sue risposte. I TPM sono stati originariamente progettati per offrire vantaggi in termini di sicurezza e privacy al proprietario e agli utenti di una piattaforma, ma le versioni più recenti possono offrire vantaggi in termini di sicurezza e privacy all'hardware del sistema stesso. Prima che sia possibile usarlo per scenari avanzati, è necessario effettuare il provisioning di un TPM. Windows effettua automaticamente il provisioning di un TPM, ma se l'utente prevede di reinstallare il sistema operativo, potrebbe essere necessario cancellare il TPM prima della reinstallazione in modo che Windows possa sfruttare appieno il TPM.

Trusted Computing Group (TCG) è l'organizzazione no profit che pubblica e mantiene la specifica TPM. Il TCG esiste per sviluppare, definire e promuovere standard globali del settore indipendenti dal fornitore. Questi standard supportano una radice di attendibilità basata su hardware per piattaforme di elaborazione attendibili interoperabili. TCG pubblica inoltre le specifiche TPM attraverso lo standard internazionale 11889 ISO/IEC, usando il processo di invio delle specifiche pubblicamente disponibili definito dal comitato tecnico congiunto 1 tra ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission).

Gli OEM implementano il TPM come componente in una piattaforma di elaborazione attendibile, ad esempio un PC, un tablet o un telefono. Una piattaforma di elaborazione attendibile usa il TPM per supportare gli scenari di privacy e sicurezza che il solo software non può realizzare. Il solo software, ad esempio, non può segnalare in modo affidabile se è presente del malware durante il processo di avvio del sistema. La stretta integrazione tra il TPM e la piattaforma aumenta la trasparenza del processo di avvio e supporta la valutazione dell'integrità del dispositivo, rendendo possibile un'affidabile misurazione e segnalazione del software che avvia il dispositivo. L'implementazione di un TPM come parte di una piattaforma di elaborazione attendibile fornisce una radice hardware di attendibilità, ovvero si comporta in modo attendibile. Ad esempio, se una chiave memorizzata in un TPM ha proprietà che non consentono l'esportazione della chiave, tale chiave non può in alcun modo lasciare il TPM.

TCG ha progettato il TPM come una soluzione di sicurezza a basso costo e per il mercato di massa, in grado di soddisfare i requisiti di diversi segmenti di clienti. Esistono variazioni nelle proprietà di sicurezza delle diverse implementazioni del TPM, proprio come esistono variazioni nei requisiti dei clienti e normativi per i diversi settori. Nel settore degli appalti pubblici, ad esempio, alcuni governi hanno chiaramente definito requisiti di sicurezza per i TPM, mentre altri no.

Confronto tra TPM 1.2 e 2.0

Microsoft è stata un'azienda leader a livello di settore nel passaggio e nella standardizzazione su TPM 2.0, che presenta numerosi importanti vantaggi a livello di algoritmi, crittografia, gerarchia, chiavi radice, autorizzazione e RAM non volatile.

Perché TPM 2.0?

I prodotti e i sistemi TPM 2.0 presentano importanti vantaggi per la sicurezza rispetto a TPM 1.2, tra cui:

  • La specifica TPM 1.2 consente solo l'uso di RSA e dell'algoritmo di hash SHA-1.
  • Per motivi di sicurezza, alcune entità stanno abbandonando SHA-1. In particolare, NIST ha richiesto a molte agenzie federali di passare a SHA-256 a partire dal 2014 e aziende leader nel settore della tecnologia, tra cui Microsoft e Google, hanno annunciato che rimuoveranno il supporto per le firme o i certificati basati su SHA-1 nel 2017.
  • TPM 2.0 consente maggiore agilità per la crittografia essendo più flessibile rispetto gli algoritmi di crittografia.
    • TPM 2.0 supporta algoritmi più recenti, che possono migliorare la firma delle unità e le prestazioni di generazione delle chiavi. Per un elenco completo degli algoritmi supportati, vedi il Registro di sistema algoritmo TCG. Alcuni TPM non supportano tutti gli algoritmi.
    • Per un elenco degli algoritmi supportati da Windows nel provider di archiviazione di crittografia della piattaforma, vedi Provider di algoritmi di crittografia CNG.
    • TPM 2.0 ha ottenuto la standardizzazione ISO (ISO/IEC 11889:2015).
    • L'uso di TPM 2.0 può essere utile per eliminare l'esigenza da parte degli OEM di creare eccezioni per configurazioni standard per determinati paesi e aree geografiche.
  • TPM 2.0 offre un'esperienza più coerente tra diverse implementazioni.
    • Le implementazioni di TPM 1.2 variano nelle impostazioni dei criteri. Questo può causare problemi di supporto, dal momento che i criteri di blocco cambiano.
    • Il criterio di blocco TPM 2.0 è configurato da Windows, assicurando una garanzia di protezione coerente dagli attacchi con dizionario.
  • Mentre le parti TPM 1.2 sono componenti di silicio discreti, che in genere vengono saldati sulla scheda madre, TPM 2.0 è disponibile come componente di silicio discreto (dTPM) in un singolo pacchetto semiconduttore, un componente integrato incorporato in uno o più pacchetti semiconduttori, insieme ad altre unità logiche negli stessi pacchetti e come componente basato su firmware (fTPM) in esecuzione in un ambiente di esecuzione attendibile (TEE) in un SoC per utilizzo generico.

Nota

TPM 2.0 non è supportato nelle modalità legacy e CSM del BIOS. I dispositivi con TPM 2.0 devono avere la modalità BIOS configurata solo come UEFI nativo. Le opzioni Legacy e CSM (Compatibility Support Module) devono essere disabilitate. Per una maggiore sicurezza, abilitare la funzionalità di avvio protetto.

Il sistema operativo installato nell'hardware in modalità legacy impedirà l'avvio del sistema operativo quando si cambia la modalità BIOS in UEFI. Prima di modificare la modalità BIOS usare lo strumento MBR2GPT, che preparerà il sistema operativo e il disco per supportare UEFI.

TPM discreto, integrato o firmware?

Sono disponibili tre opzioni di implementazione per i moduli TPM:

  • Chip TPM discreto come componente separato nel proprio pacchetto semiconduttore.
  • Soluzione TPM integrata, che usa hardware dedicato integrato in uno o più pacchetti semiconduttori insieme, ma logicamente separati da altri componenti.
  • Soluzione TPM del firmware, che esegue il TPM nel firmware in modalità esecuzione attendibile di un'unità di calcolo per utilizzo generico.

Windows usa qualsiasi TPM compatibile nello stesso modo. Microsoft non prende posizione sul modo in cui implementare un TPM e esiste un ampio ecosistema di soluzioni TPM disponibili, che dovrebbe soddisfare tutte le esigenze.

Perché TPM è importante per gli utenti?

Per gli utenti finali, TPM è dietro le quinte, ma è ancora rilevante. TPM viene usato per Windows Hello, Windows Hello for Business e in futuro sarà un componente di molte altre funzionalità di sicurezza cruciali in Windows. TPM protegge il PIN, consente di crittografare le password e si basa sulla storia complessiva dell'esperienza di Windows per la sicurezza come elemento fondamentale. L'uso di Windows in un sistema dotato di un TPM rende possibile un livello più ampio e approfondito di copertura della sicurezza.

Conformità di TPM 2.0 per Windows

Edizioni di Windows per desktop (Home, Pro, Enterprise ed Education)

  • Dal 28 luglio 2016, tutti i nuovi modelli di dispositivo, linee o serie (o se si aggiorna la configurazione hardware di un modello, una linea o una serie esistente con un aggiornamento principale, ad esempio CPU, schede grafiche) devono implementare e abilitare per impostazione predefinita TPM 2.0 (dettagli nella sezione 3.7 della pagina Requisiti hardware minimi ). Il requisito per abilitare TPM 2.0 si applica solo per la produzione di nuovi dispositivi. Per i consigli relativi a TPM per funzionalità specifiche di Windows, consultare TPM e funzionalità di Windows.

IoT Core

  • TPM è facoltativo in IoT Core.

Windows Server 2016

  • TPM è facoltativo per gli SKU di Windows Server, a meno che lo SKU non soddisfi gli altri criteri di qualificazione (AQ) per lo scenario dei servizi sorveglianza host, nel qual caso è necessario TPM 2.0.

TPM e funzionalità di Windows

Nella tabella seguente sono definite le funzionalità di Windows che richiedono il supporto per TPM.

Funzionalità Windows TPM necessario TPM 1.2 supportato TPM 2.0 supportato Dettagli
Avvio con misurazioni L'avvio misurato richiede TPM 1.2 o 2.0 e l'avvio protetto UEFI. È consigliabile usare TPM 2.0 perché supporta algoritmi di crittografia più recenti. TPM 1.2 supporta solo l'algoritmo SHA-1 deprecato.
BitLocker No TPM 1.2 o 2.0 sono supportati, ma è consigliabile usare TPM 2.0. La crittografia dei dispositivi richiede lo standby moderno , incluso il supporto per TPM 2.0
Crittografia dispositivo N/D Crittografia dispositivo richiede la certificazione Modern Standby/Connected Standby che richiede TPM 2.0.
controllo delle applicazioni Windows Defender (Device Guard) No
Windows Defender Protezione del sistema (DRTM) No È necessario il firmware TPM 2.0 e UEFI.
Credential Guard No Windows 10 versione 1507 (ciclo di vita del prodotto a partire da maggio 2017) supporta solo TPM 2.0 per Credential Guard. A partire da Windows 10 versione 1511, TPM 1.2 e 2.0 sono supportati. Associato a Windows Defender Protezione del sistema, TPM 2.0 offre una sicurezza avanzata per Credential Guard. Windows 11 richiede TPM 2.0 per impostazione predefinita per facilitare l'abilitazione di questa sicurezza avanzata per i clienti.
Attestazione dell'integrità dei dispositivi È consigliabile usare TPM 2.0 perché supporta algoritmi di crittografia più recenti. TPM 1.2 supporta solo l'algoritmo SHA-1 deprecato.
Windows Hello/Windows Hello for Business No Microsoft Entra join supporta entrambe le versioni di TPM, ma richiede TPM con codice HMAC (Keyed Hash Message Authentication Code) e certificato EK (Endorsement Key) per il supporto dell'attestazione della chiave. TPM 2.0 è consigliato su TPM 1.2 per migliorare le prestazioni e la sicurezza. Windows Hello come autenticatore della piattaforma FIDO sfrutterà TPM 2.0 per l'archiviazione delle chiavi.
Avvio protetto UEFI No
Provider di archiviazione chiavi del provider di crittografia della piattaforma TMP
Smart card virtuale
Archiviazione certificati No TPM è necessario solo quando il certificato viene archiviato nel TPM.
Pilota automatico No N/D Se si intende distribuire uno scenario che richiede TPM (ad esempio il white glove e la modalità di distribuzione automatica), sono necessari il firmware TPM 2.0 e UEFI.
SecureBIO No È necessario il firmware TPM 2.0 e UEFI.

Stato OEM sulla disponibilità del sistema TPM 2.0 e parti certificate

I clienti della Pubblica Amministrazione e aziendali nei settori regolamentati potrebbero avere standard di acquisizione che richiedono l'uso di parti TPM certificate comuni. Di conseguenza, gli OEM che forniscono i dispositivi potrebbero essere tenuti a usare solo componenti TPM certificati nei propri sistemi commerciali. Per ulteriori informazioni, contatta il fornitore di hardware o OEM.