다음을 통해 공유


TPM 권장 사항

이 문서에서는 Windows용 TPM(신뢰할 수 있는 플랫폼 모듈) 기술에 대한 권장 사항을 제공합니다.

TPM의 기본 기능 설명은 신뢰할 수 있는 플랫폼 모듈 기술 개요를 참조하세요.

TPM 디자인 및 구현

일반적으로 TPM은 컴퓨터의 마더보드에 납땜된 불연속 칩입니다. 이러한 구현을 통해 컴퓨터의 OEM(원래 장비 제조업체)은 시스템의 나머지 부분과 별도로 TPM을 평가하고 인증할 수 있습니다. 불연속 TPM 구현은 일반적입니다. 그러나 전력 소비량이 적거나 작은 통합 디바이스의 경우 문제가 될 수 있습니다. 몇몇 최신 TPM 구현 방식은 TPM 기능을 다른 플랫폼 구성 요소와 동일한 칩셋에 통합하면서도 개별 TPM 칩을 사용하는 것처럼 논리적인 분리 구조를 제공합니다.

TPM은 수동적임: TPM은 명령을 수신하고 응답을 반환합니다. TPM의 모든 이점을 이용하려면 OEM은 TPM에게 명령을 보내 TPM 반응에 응답하도록 시스템 하드웨어 및 펌웨어를 TPM과 신중하게 통합해야 합니다. TPM은 원래 플랫폼 소유자와 사용자에게 보안 및 개인 정보 혜택을 제공하도록 설계되었지만 최신 버전은 시스템 하드웨어 자체에 보안 및 개인 정보 혜택을 제공할 수 있습니다. 그러나 TPM을 고급 시나리오에 사용하려면 프로비전해야 합니다. Windows는 TPM을 자동으로 프로비전하지만 사용자가 운영 체제를 다시 설치하려는 경우 Windows가 TPM을 최대한 활용할 수 있도록 다시 설치하기 전에 TPM을 지워야 할 수 있습니다.

TCG(신뢰할 수 있는 컴퓨팅 그룹)는 TPM 사양을 게시하고 유지 관리하는 비영리 조직입니다. TCG는 공급업체 중립적인 글로벌 산업 표준을 개발, 정의 및 홍보하기 위해 존재합니다. 이러한 표준은 상호 운용 가능한 신뢰할 수 있는 컴퓨팅 플랫폼에 대한 하드웨어 기반 신뢰 루트를 지원합니다. 또한 TCG는 JTC 1(합동 기술 위원회 1)이 ISO(국제 표준화 기구)와 IEC(국제 전자기술 위원회)와 함께 정의한 PAS(공개 활용 표준, Publicly Available Specification) 사양 제출 과정을 통해 TPM 사양을 국제 표준 ISO/IEC 11889로 발표했습니다.

OEM은 PC, 태블릿 또는 휴대폰과 같은 신뢰할 수 있는 컴퓨팅 플랫폼에서 TPM을 구성 요소로 구현하고 있습니다. 신뢰할 수 있는 컴퓨팅 플랫폼은 TPM을 사용하여 소프트웨어만으로는 달성할 수 없는 개인 정보 및 보안 시나리오를 지원합니다. 예를 들어 소프트웨어만으로는 시스템 시작 프로세스 중에 맬웨어가 있는지 여부를 안정적으로 보고할 수 없습니다. TPM과 플랫폼을 긴밀히 통합하면 장치를 실행하는 소프트웨어가 안정적으로 상태를 측정하여 보고하기 때문에 시작 프로세스의 투명성이 높아지고 장치 상태를 정확하게 평가합니다. 신뢰할 수 있는 컴퓨팅 플랫폼의 일부로 TPM을 구현하면 신뢰할 수 있는 방식으로 동작하는 트러스트의 하드웨어 루트가 제공됩니다. 예를 들어 TPM에 저장된 키에 키 내보내기를 허용하지 않는 속성이 있는 경우 해당 키는 실제로 TPM을 떠날 수 없습니다.

TCG는 TPM을 다양한 고객층의 요구 사항을 해결하는, 대량 판매용 저가 보안 솔루션으로 설계했습니다. 하지만 고객층이 다양하고 분야마다 규제 요구 사항이 다양한 것처럼 구현하는 TPM마다 보안 속성이 다릅니다. 예를 들어 공공 부문 조달에서 일부 정부는 TPM에 대한 보안 요구 사항을 명확하게 정의하지만 다른 정부는 정의하지 않습니다.

TPM 1.2 및 2.0 비교

업계 표준에서 Microsoft는 알고리즘, 암호화, 계층 구조, 루트 키, 권한 부여 및 NV RAM에서 많은 주요 실현 혜택을 제공하는 TPM 2.0에서 이동하고 표준화하는 업계 선두 주자였습니다.

TPM 2.0의 장점

TPM 2.0 제품 및 시스템에는 TPM 1.2에 비해 다음과 같은 중요한 보안 이점이 있습니다.

  • TPM 1.2 사양은 RSA 및 SHA-1 해시 알고리즘 사용만을 허용합니다.
  • 일부 엔터티는 보안상의 이유로 SHA-1에서 멀리 이동하고 있습니다. 특히 NIST는 2014년 현재 많은 연방 기관이 SHA-256으로 이전해야 하며, Microsoft와 Google을 포함한 기술 리더들은 2017년에 SHA-1 기반 서명 또는 인증서에 대한 지원을 제거했습니다.
  • TPM 2.0은 암호화 알고리즘에 대해 더 유연해짐으로써 보다 뛰어난 암호화 유연성을 가능하게 합니다.
    • TPM 2.0은 드라이브 서명 및 키 생성 성능을 개선할 수 있는 최신 알고리즘을 지원합니다. 지원되는 알고리즘의 전체 목록은 TCG 알고리즘 레지스트리를 참조하세요. 일부 TM은 모든 알고리즘을 지원하지 않습니다.
    • Windows가 지원하는 플랫폼 암호화 저장소 공급자의 알고리즘 목록은 CNG 암호화 알고리즘 공급자를 참조하세요.
    • TPM 2.0은 ISO 표준화를 달성했습니다(ISO/IEC 11889:2015).
    • TPM 2.0을 사용하면 OEM이 특정 국가 및 지역에 표준 구성의 예외를 만들 필요가 없도록 할 수 있습니다.
  • TPM 2.0은 다양한 구현 간에서 보다 일관된 환경을 제공합니다.
    • TPM 1.2 구현은 다른 정책 설정을 나타냅니다. 잠금 정책이 다양하므로 이로 인해 지원 문제가 발생할 수 있습니다.
    • TPM 2.0 잠금 정책은 Windows를 통해 구성되므로 사전 공격(Dictionary Attack)이 확실하고 일관되게 방지됩니다.
  • TPM 1.2 부품은 불연속 실리콘 구성 요소이지만 일반적으로 마더보드에서 납땜되는 TPM 2.0은 단일 반도체 패키지의 불연속(dTPM) 실리콘 구성 요소, 하나 이상의 반도체 패키지에 통합 된 통합 구성 요소( 동일한 패키지의 다른 논리 단위와 함께) 및 범용 SoC에서 신뢰할 수 있는 실행 환경(TEE)에서 실행되는 펌웨어(fTPM) 기반 구성 요소로 사용할 수 있습니다.

참고

TPM 2.0은 BIOS의 레거시 및 CSM 모드에서 지원되지 않습니다. TPM 2.0이 있는 장치는 BIOS 모드가 기본 UEFI로만 구성되어 있어야 합니다. 레거시 및 CSM(호환성 지원 모듈) 옵션을 비활성화해야 합니다. 보안 강화를 위해 보안 부팅 기능을 활성화합니다.

레거시 모드의 하드웨어에 설치된 운영 체제는 BIOS 모드가 UEFI로 변경될 때 OS 부팅을 중지합니다. UEFI를 지원하도록 OS와 디스크를 준비할 BIOS 모드를 변경하기 전에 도구 MBR2GPT를 사용하세요.

불연속, 통합 또는 펌웨어 TPM?

TPM에 대한 세 가지 구현 옵션이 있습니다.

  • 개별 TPM 칩을 자체 반도체 패키지의 별도 구성 요소로 사용합니다.
  • 통합 TPM 솔루션- 하나 이상의 반도체 패키지에 통합된 전용 하드웨어를 다른 구성 요소와 논리적으로 분리합니다.
  • 범용 계산 단위의 신뢰할 수 있는 실행 모드에서 펌웨어에서 TPM을 실행하는 펌웨어 TPM 솔루션입니다.

Windows는 호환 가능한 모든 TPM을 같은 방식으로 사용합니다. Microsoft는 TPM을 구현해야 하는 방식에 대한 입장을 취하지 않으며 모든 요구 사항에 맞는 사용 가능한 TPM 솔루션의 광범위한 에코시스템이 있습니다.

소비자에게 TPM이 중요한가?

최종 소비자의 경우 TPM은 백그라운드에 있지만 여전히 관련이 있습니다. TPM은 Windows Hello, 비즈니스용 Windows Hello에 사용되고, 향후에는 다른 여러 Windows 주요 보안 기능의 구성 요소가 될 것입니다. TPM은 PIN을 보호하고, 암호를 암호화하는 데 도움이 되며, 보안을 위한 전반적인 Windows 환경 스토리를 중요 핵심 요소로 구축합니다. TPM을 갖춘 시스템에서 Windows를 사용하면 보안 범위의 수준이 더 깊고 넓어집니다.

Windows용 TPM 2.0 규정 준수

데스크톱용 Windows 버전(Home, Pro, Enterprise 및 Education)

  • 2016년 7월 28일부터 모든 새 디바이스 모델, 선 또는 시리즈(또는 CPU, 그래픽 카드와 같은 주요 업데이트로 기존 모델, 선 또는 시리즈의 하드웨어 구성을 업데이트하는 경우)는 기본적으로 TPM 2.0( 최소 하드웨어 요구 사항 페이지의 섹션 3.7에 있는 세부 정보)을 구현하고 사용하도록 설정해야 합니다. TPM 2.0을 활성화하기 위한 요구 사항은 새로운 장치의 제조에만 적용됩니다. 특정 Windows 기능에 대한 TPM 추천은 TPM 및 Windows 기능을 참조하세요.

IoT Core

  • TPM은 IoT Core에서 선택적입니다.

Windows Server 2016

  • TPM은 SKU가 호스트 보호 서비스 시나리오에 대한 다른 AQ(자격) 조건을 충족하지 않는 한 Windows Server SKU의 경우 선택 사항입니다. 이 경우 TPM 2.0이 필요합니다.

TPM 및 Windows 기능

다음 표에는 TPM 지원이 필요한 Windows 기능이 정의되어 있습니다.

Windows 기능 TPM 필요 TPM 1.2 지원 TPM 2.0 지원 세부 정보
계획 부팅 측정된 부팅에는 TPM 1.2 또는 2.0 및 UEFI 보안 부팅이 필요합니다. TPM 2.0은 최신 암호화 알고리즘을 지원하므로 권장됩니다. TPM 1.2는 사용되지 않는 SHA-1 알고리즘만 지원합니다.
BitLocker 아니오 TPM 1.2 또는 2.0은 지원되지만 TPM 2.0을 사용하는 것이 좋습니다. 디바이스 암호화에는 TPM 2.0 지원을 포함한 최신 대기 상태 필요
장치 암호화 해당 없음 장치 암호화에는 TPM 2.0이 필요한 최신 대기 상태/연결 대기 상태 인증이 필요합니다.
비즈니스용 앱 제어 아니오
System Guard(DRTM) 아니오 TPM 2.0 및 UEFI 펌웨어가 필요합니다.
Credential Guard 아니요 Windows 10 버전 1507(2017년 5월부로 지원 종료)은 Credential Guard에 대해 TPM 2.0만 지원합니다. Windows 10 버전 1511부터 TPM 1.2 및 2.0이 지원됩니다. System Guard 함께 제공되는 TPM 2.0은 Credential Guard에 대한 향상된 보안을 제공합니다. Windows 11 고객을 위해 이 향상된 보안을 보다 쉽게 사용하도록 설정하려면 기본적으로 TPM 2.0이 필요합니다.
장치 상태 증명 TPM 2.0은 최신 암호화 알고리즘을 지원하므로 권장됩니다. TPM 1.2는 사용되지 않는 SHA-1 알고리즘만 지원합니다.
Windows Hello/비즈니스용 Windows Hello 아니요 Microsoft Entra 조인은 두 버전의 TPM을 모두 지원하지만 키 증명 지원을 위해 키 해시 메시지 인증 코드(HMAC) 및 EK(인증 키) 인증서가 있는 TPM이 필요합니다. TPM 2.0은 성능 및 보안을 향상시키려면 TPM 1.2보다 권장됩니다. FIDO 플랫폼 인증자로 Windows Hello 키 스토리지에 TPM 2.0을 활용합니다.
UEFI 보안 부팅 아니요
TPM 플랫폼 암호화 공급자 키 저장소 공급자
가상 스마트 카드
인증서 저장소 아니요 TPM은 인증서가 TPM에 저장되는 경우에만 필요합니다.
자동 조종 장치 아니오 해당 없음 TPM(예: 흰색 장갑 및 자체 배포 모드)이 필요한 시나리오를 배포하려는 경우 TPM 2.0 및 UEFI 펌웨어가 필요합니다.
SecureBIO 아니오 TPM 2.0 및 UEFI 펌웨어가 필요합니다.

TPM 2.0 시스템 가용성 및 인증된 부품에 대한 OEM 상태

정부 고객 및 규제 대상 산업의 기업 고객은 일반적인 인증 TPM 부품을 사용해야 하는 취득 표준이 있을 수 있습니다. 따라서 장치를 제공하는 OEM은 상업용 클래스 시스템에 인증된 TPM 구성 요소만 사용해야 할 수 있습니다. 자세한 내용은 OEM 또는 하드웨어 공급업체에 문의하세요.