Trusted platform module 2.0 что это такое то? для чего используется?

Как работает TPM в Windows

Улучшить защиту любого приложения, где есть функция шифрования, можно с помощью TPM. Это надёжнее, чем хранить ключи в системной памяти или на диске. Windows упрощает процесс шифрования за счёт компонента ОС под названием Platform Crypto Provider (Поставщик платформы для шифрования). Компонент предоставляет средства шифрования на базе TPM, а разработчикам не нужно вникать в работу модуля.

Вероятно, самая известная программа для шифрования в Windows —BitLocker. Она шифрует диск целиком, за исключением диспетчера загрузки Windows. Когда вы включаете компьютер, диспетчер запускается в обычном режиме. Увидев, что системный диск зашифрован, программа запрашивает ключ расшифровки у TPM. Модуль, признав в диспетчере загрузки доверенный процесс, предоставляет ключ. Ключ открывает доступ к файлам запуска Windows и другим данным, в результате чего компьютер загружается.

Сама по себе процедура может показаться бессмысленной, поскольку расшифровка и загрузка диска происходят автоматически. Это, однако, означает, что единственный способ получить доступ к ПК – это запустить Windows. Если пытаться получить доступ к диску с помощью другой ОС или другого железа, всё, что вы увидите – это нечитаемые зашифрованные данные. Если же TPM обнаружит изменения в коде диспетчера загрузки или в оборудовании, то откажется предоставить ключ и тем самым не даст зловреду внедриться в код запуска.

В целом, это хорошо, что BitLocker использует модуль, чтобы изолировать свой криптографический ключ. Отсюда возникает вопрос: что будет, если, к примеру, хост-компьютер сломается, и вам нужно перенести жёсткий диск на новую систему. Microsoft всё продумала: если диск зашифрован, BitLocker сгенерирует пароль восстановления из 48 символов. С помощью него можно расшифровать весь диск. По понятным причинам, хранить пароль на самом диске небезопасно. Если речь идёт о корпоративных компьютерах, он будет записан в доменные службы Active Directory. Доступ к нему могут получить только администраторы сети. Пароли обычных пользователей хранятся в аккаунтах Microsoft и находятся через поиск по сайту.

BitLocker доступен только в версиях Pro и Enterprise на 10-й и 11-й Windows. Но это не значит, что пользователи Home версии не могут позволить себе те же функции защиты. Они могут включить функцию под названием Device Encryption. Шифрование здесь работает так же, как в BitLocker: главное отличие в том, что Device Encryption менее придирчив к изменениям в железе и программной среде.

Также TPM помогает улучшить работу других элементов защиты. В Windows Enterprise и Education есть технология под названием Device Guard. Она применяется для запуска приложений в защищённой виртуальной среде. Через неё нельзя получить доступ к системному ПО. Credential Guard, в отличие от Device Guard, хранит секретные данные вроде хэшей паролей и учётных данных в виртуальной машине, к которым процессы, протекающие в обычной ОС, не могут получить доступ.

Кроме того, TPM может понадобиться сетевым службам Windows. Так они удостоверятся, что компьютер, что пытается подключиться к серверу, тот же, что был изначально зарегистрирован. Они же проверяют, использует ли ПК BitLocker и другие средства защиты. Так обеспечивается гарантия безопасности на каждый день, а также удалённая поддержка и администрирование.

Разъёмы питания, разъёмы системы охлаждения

Материнская плата была бы всего-навсего дорогой железкой, если бы не блок питания, который подает напряжение и питает все ее элементы, вдыхая в них жизнь. БП преобразует переменное напряжение в постоянное и подает по соответствующим линиям определенный ток, тем самым приводя в работу все элементы материнской платы. Блок питания (кто еще не в курсе что это такое, статья «Вся правда о блоке питания. Скупой платит дважды» Вам в помощь) также подключается к системной плате через специальный разъем, чаще всего это 24–контактный разъём ATX и 4–контактный дополнительный разъём 12 вольт для питания процессора (см. изображение).

Ещё на системной плате есть несколько разъёмов для подключения различных систем охлаждения, которые представляются в виде вентиляторов (в крышке системного блока, на процессоре, чипсетах) и защищают систему от перегревов.

На рисунке представлены разъемы для подключения вентилятора охлаждения корпуса (1) и штекер питания вентилятора процессора (2) (см. изображение).

Криптографическая магия

TPM может хранить данные как в исходном виде, так и в зашифрованном. В последнем случае речь идёт о криптографии с открытым ключом. Такой метод подразумевает наличие пары ключей шифрования, один из которых можно держать в секрете, а другой – в открытом доступе. Зашифровать сообщение может любой, кто владеет общим ключом, а расшифровать тот, у кого имеется секретный ключ. Кроме того, секретный ключ используется, чтобы автоматически генерировать криптографическую хэш-функцию сообщения или файла. Так вы подтвердите использование общего ключа, т. е. то, что он был «подписан» вами и не является подделкой.

Итак, после того, как вы сохраните секретный ключ в TPM, он (ключ) сможет шифровать и расшифровывать файлы, а также создавать подписи. Если же в системе что-то пошло не так или же запрос поступил от неизвестного процесса, TPM просто откажется сотрудничать. Отправлять ключ обратно ключ в ОС нет необходимости, поскольку там его можно отследить. Лучше всего его полностью изолировать, так, чтобы извлечь его было нельзя никаким образом.

Проблемы с TPM

Огромное число пользователей жалуется на то, что требования к железу для Windows 11 излишни: для повседневных задач старый компьютер вполне сгодится для новой ОС. Однако есть те, кто не согласен с самой идеей TPM. Они утверждают, что модуль создаёт ложное чувство безопасности.

Важно понимать, что модуль не защитит от всех типов атак. Они бессилен против кейлоггеров — ПО, следящим за тем, какие клавиши вы нажимаете, когда вводите пароль на клавиатуре

Или от фишинговых писем, адресат которых предлагает ввести учётные данные на мошенническом веб-сайте. Может быть, поэтому Apple не присоединилась к Trusted Computing Group. Вместо этого компания разработала свой чип безопасности T2. Он следит не только за сохранностью ваших идентификационных данных, вроде отпечатка пальцев или пароля, но и контролирует микрофон, камеру и другое оборудование.

Беспокойство также вызывает вероятность того, что модуль может запретить пользователю делать то, что хочется на своём компьютере. К примеру, ОС с помощью TPM может удалённо проверить, действительно ли приложение разработал тот или иной издатель, и отказать в доступе, если оно не соответствует заявленной подписи. Хуже того, доступ к приложению может быть закрыт в любой момент– например, когда разработчик останавливает его поддержку или прекращает продажи.

Такие опасения высказывались в первые годы существования концепции доверенных вычислений. СМИ именовали модуль DRM-чипом, а Ричард Столлман, основатель движения свободного ПО, высмеивал TPM, однажды в шутку назвав его «вероломные вычисления». Сегодня о проблемах подобного рода почти не говорят. Теперь стало понятно, что, по всей вероятности, такие ограничения нужно реализовывать через облачные подписки на ПО, а не с помощью TPM.

Однако здесь не место вступать в эту дискуссию. Одно можно сказать наверняка: несмотря на то, что рост популярности TPM привёл к тому, что требования к безопасности ужесточились, мы не стали жить как при Большом Брате, как многие того боялись. Да, неприятно видеть, как Microsoft лишает огромное число компьютеров последней ОС. Но за стремление корпорации создать новый базовый уровень безопасности и за желание, чтобы грядущее поколение ПК было максимально защищённым, разносить в пух и прах компанию мы всё-таки не станем.

Включить TPM 2.0 на компьютере

Опубликовано, август 2021 г.

Эта статья предназначена для пользователей, которые не могут перейти на Windows 11, так как на их компьютерах в настоящее время не включена TPM 2.0 или компьютер может работать под управлением TPM 2.0, но не настроен для этого. Если вы не знакомы с таким уровнем технических сведений, мы рекомендуем вам ознакомиться со сведениями о поддержке изготовителя компьютера, чтобы получить дополнительные инструкции для вашего устройства.

Большинство компьютеров, которые поставлялись за последние 5 лет, могут работать с модулем надежной платформы версии 2.0 (TPM 2.0). Для запуска системы TPM 2.0 требуется Windows 11, которая является важным элементом для обеспечения безопасности. TPM 2.0 используется в Windows 11 для ряда функций, в том числе для защиты удостоверений Windows Hello BitLocker для защиты данных.

В некоторых случаях компьютеры с возможностью запуска TPM 2.0 не настроены для этого. Если вы хотите учесть, что Windows 11, убедитесь, что на вашем устройстве включена TPM 2.0. Большинство розничных планшетов для компьютеров, используемых людьми, которые используют собственный компьютер, например, по умолчанию отключили TPM, даже если этот компьютер можно включить почти полностью.

Вариант 1. Использование Безопасность Windows приложения

Запуск Параметры > обновления & безопасности > Безопасность Windows > устройств

Если на этом экране нет раздела Процессор безопасности, возможно, на компьютере отключен режим TPM. Дополнительные сведения см. в инструкциях по в том, как включить технологию TPM, или в сведениях о поддержке изготовителя компьютера. чтобы включить TPM. Если вы можете включить TPM, выполните следующий шаг, чтобы убедиться, что это TPM 2.0.

Если в области Процессор безопасности есть параметр Сведений об процессоре безопасности ,выберите его и убедитесь, что версия спецификации 2.0. Если она меньше 2.0, ваше устройство не соответствует требованиям Windows 11.

Вариант 2. Использование консоли управления Майкрософт

Нажмите клавиши + R или нажмите кнопку> выполнить.

Введите «tpm.msc» (не используйте кавычка) и выберите ОК.

Если вы видите сообщение «Не удается найти совместимый TPM», возможно, на компьютере отключена TPM. Дополнительные сведения см. в инструкциях по в том, как включить технологию TPM, см. в инструкциях по ветвию TPM в службе поддержки компьютера. Если вам удастся включить TPM, выполните следующий шаг, чтобы убедиться, что это TPM 2.0.

Если вы видите сообщение о готовности TPM к использованию, проверьте версию спецификации в статье Сведения о изготовителе TPM, чтобы убедиться, что она 2.0. Если она меньше 2.0, ваше устройство не соответствует требованиям Windows 11.

Где лучше всего купить мат.плату?

Если Вам лень ждать новых статей по мат.платам и вы решили уже бежать покупать, то в первую очередь рекомендуем три магазина, примерно с равной степенью качества:

JUST, — пожалуй, лучший выбор с точки зрения соотношения цена-качество SSD (и не только). Вполне внятные цены, хотя ассортимент не всегда идеален с точки зрения разнообразия. Ключевое преимущество, — гарантия, которая действительно позволяет в течении 14 дней поменять товар без всяких вопросов, а уж в случае гарантийных проблем магазин встанет на Вашу сторону и поможет решить любые проблемы. Автор сайта пользуется им уже лет 10 минимум (еще со времен, когда они были частью Ultra Electoronics), чего и Вам советует;
OLDI, — один из старейших магазинов на рынке, как компания существует где-то порядка 20 лет. Приличный выбор, средние цены и один из самых удобных сайтов. В общем и целом приятно работать.

Выбор, традиционно, за Вами. Конечно, всякие там Яндекс.Маркет’ы никто не отменял, но из хороших магазинов я бы рекомендовал именно эти, а не какие-нибудь там МВидео и прочие крупные сети (которые зачастую не просто дороги, но ущербны в плане качества обслуживания, работы гарантийки и пр).

Вспомогательные микросхемы

ЦП и чипсеты ограничены в возможности подключаемых или поддерживаемых устройств, поэтому большинство производителей материнских плат предлагают продукты с дополнительными функциями благодаря использованию других интегральных микросхем. Например, это могут быть дополнительные порты SATA или разъемы для подключения старых устройств.

Наша материнская плата Asus не исключение. Например, микросхема Nuvoton NCT6791D управляет всеми маленькими разъемами, ведущими к вентиляторам, а также датчиками температуры на плате. Процессор Asmedia ASM1083, расположенный рядом с ним, обеспечивает поддержку двух устаревших разъемов PCI, поскольку у чипа Intel Z97 такой возможности нет.

Хоть в чипсете Intel и предусмотрен сетевой адаптер, Asus посчитала практичным добавить на плату независимый сетевой контроллер от той же Intel (I218V), чтобы разгрузить ценные высокоскоростные соединения чипсета. Этот малюсенький квадратик (6мм) управляет тем красным разъёмом Ethernet, который мы видели в блоке ввода/вывода.

Овальная металлическая штука рядом с ним – это кварцевый генератор частоты. Он вырабатывает низкочастотные синхронизирующие сигналы для сетевого контроллера.

По тем же причинам на плату добавлен и независимый звуковой контроллер, в обход имеющемуся в чипсете Intel. Как и в случае, когда пользователь предпочитает дискретную видеокарту взамен встроенного в ЦП видеоконтроллера, резон ещё и в том, что независимый контроллер попросту лучше встроенного в чипсет.

Но не все дополнительные чипы на материнской плате призваны лишь заменить некоторые функции основных процессоров. Многие предназначены для обеспечения работоспособности платы в целом.

Эти маленькие микросхемы – свитчи PCI Express, помогающие процессору и Южному мосту управлять 16-лэйновыми слотами PCIe, распределяя линии по устройствам.

Материнские платы с возможностью разгона процессоров, чипсетов и памяти стали обычным явлением, и многие теперь поставляются с дополнительными микросхемами для управления разгоном. В нашем примере платы, красным прямоугольником выделен собственный чип Asus под названием TPU («процессор TurboV»), который настраивает тактовые частоты и вольтажи наилучшим образом.

Рядом с этим чипом находится маленькая микросхема флэш-памяти Pm25LD512, выделенная синим цветом. Она сохраняет все ваши настройки разгона при выключении компьютера.

На любой материнской плате есть как минимум одна микросхема флэш-памяти, и она предназначена для хранения BIOS (Basic Input/Output System – «базовая система ввода-вывода», операционная система инициализации оборудования, которая запускает все перед загрузкой Windows, Linux, macOS и т.д.).

При включении компьютера, для максимальной производительности содержимое флэш-памяти копируется непосредственно в кэш ЦП или системную память, а затем запускается оттуда. Однако единственное, с чем такой трюк не пройдёт – это время.

Эта материнская плата, как и любая другая, использует батарейку CR2032 для питания простой схемы часов. Конечно, батарейка не вечная, и однажды она придёт в негодность, и тогда материнская плата установит умолчания даты/времени, находящиеся во флэш-памяти.

И раз речь зашла о питании, то тут тоже есть о чём рассказать!

2 Инициализация модуля TPM в Windows

Осталось инициализировать чип в операционной системе. Для этого нужно открыть оснастку управления модулем TPM. Нажмите кнопки Windows+R (откроется окно «Выполнить»), введите в поле ввода tpm.msc и нажмите «Ввод». Запустится оснастка «Управление доверенным платформенным модулем (TPM) на локальном компьютере».

Здесь, кстати, можно почитать дополнительную информацию – что такое TPM, когда его нужно включать и выключать, менять пароль и т.д.. Хороший цикл статей, посвящённый TPM, есть на сайте Microsoft.

В правой части оснастки находится меню действий. Нажмите «Инициализировать TPM…». Если эта возможность не активна, значит, ваш чип уже инициализирован. Если он инициализирован не вами, и вы не знаете пароль владельца, то желательно выполнить сброс и очистку памяти модуля, как описано в предыдущем пункте.

Оснастка для управления чипом TPM

Когда запустится мастер инициализации TPM, он предложит создать пароль. Выберите вариант «Автоматически создать пароль».

Инициализация модуля TPM через оснастку

Программа инициализации модуля TPM сгенерирует пароль. Сохраните его в файле или распечатайте. Теперь нажмите кнопку «Инициализировать» и немного подождите.

Пароль TPM сгенерирован, инициализация

По завершении программа сообщит об успешной инициализации модуля. После завершения инициализации все дальнейшие действия с модулем – отключение, очистка, восстановление данных при сбоях, сброс блокировки – будут возможны только с помощью пароля, который вы только что получили.

Пароль владельца для TPM создан

Теперь действие инициализации стало неактивным, зато появилась возможность отключить TPM, сменить пароль владельца и сбросить блокировку модуля, если это произошло (модуль блокирует сам себя для предотвращения мошенничества или атаки).

Инициализация TPM завершена

Собственно, на этом заканчиваются возможности управления модулем TPM. Все дальнейшие операции, которые будут требовать возможности чипа, будут происходить автоматически – прозрачно для операционной системы и незаметно для вас. Всё это должно быть реализовано в программном обеспечении. В более свежих операционных системах, например Windows 8 и Windows 10, возможности TPM используются более широко, чем в более старых ОС.

Все про BIOS

Как происходит включение компьютерного блока питания?

Включение большинства современных компьютеров осуществляется с помощью коммутации управляющего сигнала PS-ON на землю (минусовой провод). Аналогичным образом осуществляется и перезагрузка компьютера – путем снижения высокого начального напряжения RST до низкого уровня.

У неработающего (выключенного) компьютера вольтаж PS-ON соответствует высокому уровню и равняется +5 вольт (допускается диапазон значений от 2 до 5.25 вольт), у включенного — низок и должен быть в пределах 0-1 вольт.

Характеристики сигнала PSON согласно спецификациям FSP, фирмы-производителя компьютерных блоков питания:

Зависимость состояния блока питания от величины сигнала PSON#:

В нормальных условиях для включения блока питания компьютера требуется замкнуть выводы PS-ON (обычно это зеленый провод) и землю (GND или COM (Common), обычно это черные провода) у 20 или 24-пинового разъема питания материнской платы.

Контакты PS-ON и GND на коннекторах штекерного разъема блока питания, замыкание которых приводит к его включению:

Двадцатичетырехпиновый штекерный разъем ATX-блока питания:

При замыкании контакта PS ON на землю, ее положительный потенциал (U = 5 вольт) должен снизиться до 0-1V и блок питания перейдет в нормальный режим работы.

Для сохранения включенного состояния блока питания контакты PS-ON и GND в современных блоках питания должны быть постоянно замкнуты (используется так называемый SPST switch или, проще говоря, однополюсный выключатель).

PS ON является активным сигналом низкого уровня, который включает все силовые линии блока питания, включая +3.3V, 5V, -5V, -12V и +12 вольт. При пропадании низкого уровня PS-ON должны выключаться все силовые линии блока питания, кроме постоянно формирующегося дежурного напряжения +5 вольт (VSB).

Диаграмма, иллюстрирующая влияние уровня напряжения PS_ON на работу блока питания:

Блок питания можно включить и без материнской платы. Это лучше делать с нагрузкой по линии +5 вольт, с подключением индикатора сигнала Pwr_Ok согласно следующей схеме (для БП с 20-пиновым разъемом):

Для 24-пиновых разъемов при включении лучше обеспечить нагрузку не менее 20 ватт или 10% от номинала для БП мощностью более 600 ватт. В противном случае блок питания будет работать не стабильно.

Проблемы с TPM

Как включить TPM из BIOS

Если вы получили сообщение « Не удается найти совместимый доверенный платформенный модуль» и хотите включить его в BIOS, выполните следующие действия:

Загрузите компьютер и нажмите клавишу входа в BIOS. Это может быть разным для разных компьютеров, но обычно это F2, F12 или DEL .
Найдите слева параметр « Безопасность» и разверните его.
Ищите вариант TPM .
Установите флажок Безопасность TPM, чтобы включить шифрование жесткого диска TPM.
Убедитесь, что флажок Активировать установлен, чтобы убедиться, что параметр TPM работает.
Сохранить и выйти.

Настройки и меню BIOS различаются в зависимости от оборудования, но это приблизительное руководство к тому, где вы, вероятно, найдете опцию.

Как работает TPM?

TPM работает, генерируя пару ключей шифрования, затем надежно хранит часть каждого ключа и обеспечивает обнаружение несанкционированного доступа. Это просто означает, что часть закрытого ключа шифрования хранится в TPM, а не целиком на диске.

Таким образом, если хакер взломает ваш компьютер, он не сможет получить доступ к его содержимому. TPM не позволяет хакерам обойти шифрование для доступа к содержимому диска, даже если они удалили микросхему TPM или попытались получить доступ к диску на другой материнской плате.

Каждый TPM имеет уникальную инициализированную подпись на этапе производства кремния, что повышает его эффективность безопасности. Чтобы TPM можно было использовать, сначала у него должен быть владелец, а пользователь TPM должен физически присутствовать, чтобы стать владельцем. Без этих двух шагов TMP не может быть активирован.

Материнская плата в разрезе

Дабы Вы могли не только быть теоретическими грамотеями (:)), но и могли разобраться в премудростях любой (ну, или практически любой) материнской платы, мы решили заглянуть внутрь системного блока и разобраться, из каких все-таки элементов состоит материнка. Так сказать, продемонстрировать процесс на живом пациенте.

Примечание:
Для многих пользователей все, что находится под компьютерным столом (а тем более, упаси BSOD, внутри системника), так и остается загадкой на всю жизнь, поэтому из-за большой (я бы даже сказал, вселенской) любви к нашим читателям, мы решили приоткрыть шторку в мир «внутренностей» ПК и разложить все по полочкам. Пользуйтесь, уважаемые, все для Вас!

Поехали.

При беглом взгляде на материнской плате можно увидеть великое множество токопроводящих дорожек, конденсаторов, резисторов, транзисторов и прочей электронной начинки. Все это безобразие размещено на специальной подложке – текстолите – и смотрится довольно компактно и одновременно внушительно (см. изображение).

Давайте пробежимся по основным компонентам (известным на сегодняшний момент), которые имеют место быть на материнской плате. Это следующие узлы/разъемы :

Разъем для установки процессора;
Разъем для установки BIOS;
Разъем для установки чипсета;
Разъемы памяти;
Разъемы графической системы;
Разъемы расширения;
Разъемы системы охлаждения;
Разъемы для подключения дисков и приводов;
Разъемы для периферии.

Рассмотрим каждый в отдельности.

Эти ненавистные перемычки!

Последние разъемы, о которых мы поговорим, – это те, которые управляют основной работой материнской платы и подключают дополнительные устройства. На рисунке ниже показан основной блок разъёмов для выключателей, индикаторов и системных динамиков:

Здесь мы имеем:

1 разъём кнопки мягкого выключения
1 разъём кнопки ресета
2 разъёма LED-индикации
1 разъём системных динамиков

«Мягким» выключение питания называется потому, что при нем не происходит простого включения и отключение всей материнской платы. Вместо этого, при замыкании контактов этого разъёма, специальные «недремлющие» узлы платы включают или отключают основное питание платы в зависимости от текущего состояния. То же относится и к кнопке ресета, только в этом случае материнская плата будет всегда выключаться и тут же снова включаться.

Строго говоря, кнопка ресета, индикация и системный динамик не являются критически важными, но они традиционно обеспечивают самое базовое управление и информацию о состоянии системы.

Большинство материнских плат имеют подобный дополнительный блок разъемов, как показано выше. Тут мы имеем следующее (слева направо):

Разъем аудиопанели – если корпус компьютера оснащен дополнительной фронтальной панелью с разъёмами для наушников и микрофона, то с помощью данных разъёмов на плате они подключаются к встроенному аудиоконтроллеру. § Разъем цифрового аудио – то же, что и обычный аудиоразъём, только в стандарте S/PDIF (Sony/Philips Digital Interface), обеспечивающем строго цифровую передачу аудиосигналов без промежуточной аналоговизации.
Перемычка (джампер) сброса BIOS – она позволяет сбросить все настройки BIOS к заводским. За ней также спрятан разъем термозонда. § Разъем криптопроцессора TPM (Trusted Platform Module) – он используется для повышения безопасности материнской платы и системы. § Разъем последовательного порта (COM) – древний интерфейс. Интересно, его кто-нибудь использует вообще? Хоть кто-нибудь?

Остальные подобные разъёмы на этой плате предназначены для подключения кулеров и дополнительных USB портов. Не обязательно каждая материнская плата должна поддерживать все это, но на большинстве из них они есть, как и есть на некоторых платах дополнительные разъёмы, которых на нашей рассматриваемой плате нет – скажем, разъём для RGB-подсветки (VDG).

Как работает TPM в Windows

Разъёмы питания, разъёмы системы охлаждения

Криптографическая магия

Проблемы с TPM

Включить TPM 2.0 на компьютере

Где лучше всего купить мат.плату?

Вспомогательные микросхемы

2 Инициализация модуля TPM в Windows

Как происходит включение компьютерного блока питания?

Проблемы с TPM

Как включить TPM из BIOS

Как работает TPM?

Материнская плата в разрезе

Эти ненавистные перемычки!

Похожие записи:

Похожие записи: