作者 Daisy / 最近一次更新 2024年02月26日

什麼是TPM?

TPM,我們通常稱它為可信平臺模組(Trusted Platform Module),也叫ISO/IEC 11889,是安全加密處理器的國際標準,是一種專用微控制器,它的作用是通過集成的加密密鑰來保護硬體。

1999年,由康柏、HP、IBM、Intel、微軟等多家IT巨頭公司聯合發起成立可信賴運算平臺聯盟(Trusted Computing Platform Alliance,TCPA)。

2003年,諾基亞、索尼等公司加入TPCA,TPCA由此改名可信賴計算組織(Trusted Computing Group,TCG),這些公司希望從跨平臺和作業環境的硬體和軟體,兩方面指定可信賴電腦相關標準和規範,並提出了TPM規範。TPM目前最新版本為2.0。

TPM 在Windows 電腦上有什麼作用?

TPM 具有廣泛的功能。作為硬體保護鍵,它主要用於設備識別、身份驗證、加密和設備完整性驗證。無論 TPM 的作業系統如何,其目的都是確保平台的完整性。當電腦啟動時,它與可信的硬體和軟體組合開始啟動,直到作業系統完全啟動並應用程序開始運行。安裝了 TPM 後,您的 Windows 電腦可以通過一些關鍵功能得到保護:

1. 密鑰的安全存儲:TPM 在專用硬體模塊中安全地存儲加密密鑰、密碼和其他敏感信息。這有助於防止某些類型的攻擊嘗試從軟體或內存中提取此類信息。

2. 基於硬體的加密:TPM 支援基於硬體的加密,可用於執行加密操作,相較於基於軟體的解決方案,這使其對某些類型的攻擊更具抵抗力。

3. 安全啟動:TPM 在安全啟動過程中發揮作用,確保電腦僅從受信任且經過驗證的韌體和作業系統組件啟動。這有助於防止未經授權或惡意代碼在啟動序列期間運行。

4. 遠端驗證:TPM 啟用一種稱為遠端驗證的功能,允許系統向遠端實體證明其完整性。這在需要遠端服務器驗證電腦處於可信狀態之前授予訪問權限的網絡環境中非常有用。

5. 設備身份和身份驗證:TPM 可用於為設備建立唯一身份,有助於身份驗證過程。這可以通過確保僅允許受信任的設備訪問某些資源來增強系統的安全性。

6. BitLocker 磁碟加密:TPM 常與 Windows 中的磁碟加密功能 BitLocker 一起使用。BitLocker 可使用 TPM 存儲加密密鑰,有助於保護電腦硬碟上的數據。

此外,TPM 還可以通過 Microsoft Office 365 授權和 Outlook Exchange 實現平台完整性,確保 TPM 的完整性主要在於韌體和作業系統。統一可延伸韌體介面(UEFI)可以使用 TPM 形成信任鏈。例如,TPM 為可信執行技術(TXT)創建信任鏈,可以遠端證明電腦正在使用指定硬體的軟體。

除了用於啟動過程和硬碟加密外,TPM 還可以加密系統登錄和應用程序軟體登錄。例如,我們常用的 MSN 的登錄信息和密碼可以在傳輸之前由 TPM 加密。這可以有效防止個人信息和密碼被盜取。

TPM老版(1.2)與新版(2.0)的不同

TPM 2.0於2014年4月正式發佈,之後一直都有在對其進行修訂更新,其功能作用也相比之前的TPM 1.2更強大。那麼與老版1.2相比有哪些不同呢,我們從它們的演算法、加密、平臺、密鑰、平臺配置寄存器PCRs、授權做對比,請參考下圖。

對比項

TPM1.2

TPM2.0

演算法

需要SHA-1和RSA

需要SHA-1和SHA-256,廠商可以隨意使用TCG IDs增加新演算法。

加密

需要隨機生成器(random number generator)、公鑰密碼演算法(public-key cryptographic algorithm)、密碼哈希函數(cryptographic hash function)、掩碼生成函數(mask generation function)、數字簽名生成和驗證(digital signature generation and verification)以及直接匿名證明(Direct Anonymous Attestation),還需要生成密鑰。

使用Barreto-Naehrig 256位曲線的亂數生成器( random number generator)、公鑰加密演算法( public-key cryptographic algorithms)、加密哈希函數( cryptographic hash functions)、對稱密鑰演算法(symmetric-key algorithms)、數字簽名生成和驗證( digital signature generation and verification)、掩碼生成函數(mask generation function)。還需密鑰生成和密鑰派生功能。

平臺配置寄存器PCRs

使用PCR恢復unsealing Bitlobker的密鑰,如果系統啟動過程中有任何微小的變化,都需要用戶干預才能恢復。

規範運行多個PCRs banks,一個bank內所有PCR使用相同的演算法進行擴展作業,不同的banks可以分配不同的PCRs,不同的bank擴展作業時相互獨立,互不干擾。

密鑰

只有一個密鑰(EK),出廠時廠商預置在晶片內,更換很困難

分為父子密鑰,主密鑰通過主種子,使用密鑰派生演算法KDF生成;密鑰的存儲以對稱加密為主

根密鑰

一個(SRK RSA-2048)

每個層次結構有多個密鑰和演算法。

授權

HMAC、PCR、位置、物理存在

密碼、HMAC和策略(涵蓋HMAC、PCR、位置和物理存在)、非對稱數字簽名

注:PCRs主要是用來存儲系統啟動和運行過程中度量值,防止度量日誌被篡改。PCRs值不止保證每次系統啟動時執行相同的代碼,其保證以相同的順序執行相同的代碼。

從表格可知TPM 2.0對比TPM 1.2在演算法上面多了一個SHA-256,且在授權方面除了TPM 1.2原有的HMAC、位置、物理存在和PCR外,還添加了基於非對稱數字簽名的授權。TPM 2.0比TPM 1.2在加密和密鑰方面分得更為詳細,也更加安全。

如何檢測電腦上是否有TPM 2.0

微軟宣佈會在10月5日發佈Windows 11,這對於微軟用戶來說是一件十分激動的事情,但是隨之而來的問題也是不少,比如電腦與Windows 11不相容,查看微軟對Windows 11更新要求能夠知道,如果您需要將您的電腦系統更新為Windows 11,那麼您的電腦必須支援TPM 2.0和UEFI安全啟動,因為它們是更新Windows 11的必要條件。

TPM 2.0在2015年開始在少數電腦上投入使用,到2016年正式大量運用於電腦中,如果您需要將您的電腦系統更新為Windows 11,就需要檢查您電腦上是否支援滿足更新Windows 11條件之一的TPM 2.0。如果不存在,您的電腦就無法將系統更新至Windows 11;如果存在,請檢查它是否有被禁用,如果被禁用,請啟用TPM 2.0,實現升級到Windows 11系統。如何檢查電腦上是否支援TPM 2.0呢?請按照下麵兩種方法,檢查電腦上是否有TPM 2.0。

方法一:在運行窗口輸入tpm.msc

1.按住鍵盤上的Windows+R組合鍵,啟動運行窗口。

2.在運行窗口鍵入tpm.msc,然後點擊確定。

更新windows11

3.打開本地電腦可信平臺模組(TPM)管理後,你可能會看到以下兩種情況

一種情況為在本機電腦上的TPM管理模組中顯示由Windows平台設定TPM及其支援並且狀態為:TPM已可使用(代表已啟用)。怎麼查看是不是TPM 2.0版本呢?只需查看TPM 製造廠商資訊中的規格版本值為2.0,那麼就代表您的電腦是支援使用TPM 2.0升級到Windows 11系統的。

更新windows11

一種情況是您的電腦出現提示找不到相容的TPM,這就代表著您電腦不符合升級Windows 11的標準。

安裝windows11

方法二:通過Windows安全應用檢查TPM

1.點擊電腦右下角Windows圖示,選擇設定

2.然後選擇更新與安全性

3.然後選擇Windows安全

4.找到並展開安全設備,查看是否有顯示TPM。

★提示:
如果您沒有找到安全處理器,可能是您的電腦有一個禁用的TPM,出現這樣的情況您需要啟用TPM,或者查看您電腦的製造商支援資訊以此獲取安全處理器的相關資訊。
如果您能夠啟用TPM,那麼請驗證它是否為TPM 2.0。如果TPM的版本低於2.0,您的電腦就不能更新Windows 11。

關於如何將TPM 1.2升級為TPM 2.0請閱讀下麵《如何將TPM 1.2升級為TPM 2.0》的內容。

如何在電腦上啟用TPM 2.0

當電腦支援TPM 2.0,但它是被禁用的,這個時候應該怎麼辦呢?可以按照下麵的方法啟用TPM 2.0。

方法一:在電腦設置上啟用TPM 2.0

1.打開電腦上的設定(Windows+I),然後打開安全與更新,在左菜單欄中點選復原,然後在高級啟動中點擊立即重新啟動

更新windows11

2.點擊完立即重新啟動後,系統會進入選項階段,之後選擇疑難解答

更新windows11

3.選擇進階選項

更新windows11

4.選擇UEFI韌體設定

更新windows11

5.點擊重新開機。

6.重新啟動後,進入BIOS,然後轉到安全設置,這個時候選擇TPM配置選項

更新windows11

7.如果發現TPM 2.0被禁用,啟用它即可,完成啟用TPM後就可以退出設定重新開機電腦。

如何將TPM 1.2升級為TPM 2.0

如果我們檢查出電腦的TPM版本為1.2,那麼電腦是無法將系統更新為Windows 11的,所以我們需要將TPM版本升級為2.0。如何將TPM 1.2版本升級為2.0呢?這個得根據您電腦供應商對TPM做的升級對策,對此您可以在電腦對應的官方網站上尋求幫助。下麵我們將以戴爾為例為你演示如何將電腦上的TPM 1.2更新為2.0。

在戴爾上將TPM 1.2升級為2.0的步驟

1.打開戴爾官方網站,找到戴爾產品支援頁面

2.然後鍵入您的服務標籤或產品型號。

3.點擊驅動程式和下載選項卡。

4.從下拉類別框中選擇安全。

5.查找Dell TPM 2.0韌體更新公用程式。

6.如果列出了戴爾TPM 2.0更新列表,則您就可以運行更新TPM。

如何在沒有TPM 2.0的情況下安裝Windows 11

在前面的內容中,我們講了電腦支援TPM 2.0更新Windows 11的方法。如果我們的電腦不支援TPM 2.0該如何安裝Windows 11呢?我們可以使用安裝碟安裝Windows 11,從安裝碟引導進入安裝Windows 11的流程。這個時候可以選擇覆蓋原系統升級安裝,也就是說我們可以繞過UEFI啟動檢測,達到安裝Windows 11的目的。

總結

我們在本篇文章中為大家解釋了什麼是TPM和升級Windows 11所必須的TPM 2.0的相關資訊,為大家演示了如何檢查並啟用TPM更新Windows 11,以及如何將TPM 1.2升級為2.0版本更新Windows 11的方法。TPM是保護系統安全的重要設備,而TPM 2.0是系統更新為Windows 11必須存在的版本,因此如何檢測您的電腦是否相容Windows 11,並如何啟動TPM請仔細閱讀本文,裏面有您想要的答案。