作者 Daisy / 最近一次更新 2021年09月29日

什麼是TPM

TPM,我們通常稱它為可信平臺模組(Trusted Platform Module),也叫ISO/IEC 11889,是安全加密處理器的國際標準,是一種專用微控制器,它的作用是通過集成的加密密鑰來保護硬體。

1999年,由康柏、HP、IBM、Intel、微軟等多家IT巨頭公司聯合發起成立可信賴運算平臺聯盟(Trusted Computing Platform Alliance,TCPA)。

2003年,諾基亞、索尼等公司加入TPCA,TPCA由此改名可信賴計算組織(Trusted Computing Group,TCG),這些公司希望從跨平臺和作業環境的硬體和軟體,兩方面指定可信賴電腦相關標準和規範,並提出了TPM規範。TPM目前最新版本為2.0。

TPM的作用

TPM作用十分廣泛,作為硬體保護密鑰,主要用於設備識別、身份驗證、加密和設備完整性驗證。下麵是關於TPM的一些重要作用。

保護平臺完整性

無論TPM的作業系統如何,它就是為了確保平臺的完整性。這是為了確保電腦啟動時,從可信硬體和軟體組合開始,一直持續到作業系統完全啟動並且運用程式開始運行。

TPM還可以通過Microsoft Office 365許可和Outlook Exchange實現平臺完整性,而確保TPM的完整性主要在於韌體和作業系統。統一可擴展的韌體介面(UEFI)可以使用TPM形成信任根,比如:TPM為可信執行技術(TXT)創建了一個信任鏈,可以遠程證明電腦正在使用指定的硬體的軟體。

TPM可以全盤也可以為硬碟的任意分割區加密

我們可以使用TPM為我們電腦上的整個硬碟進行加密,也可以為硬碟的任意分割區加密。如果您在電腦上啟用了TPM,那麼您可以將此技術用作保護您電腦存儲設備的密鑰。一些大型軟體公司也利用TPM加密分割區,比如BitLocker。

TPM除了能用於啟動過程和硬碟加密以外,還能對系統登錄、應用軟體登錄等進行加密,比如我們常用的MSN的登錄資訊和密碼,可以通過TPM加密後再進行傳輸。這樣能有效防止我們的個人資訊和密碼被人竊取。

TPM老版(1.2)與新版(2.0)的不同

TPM 2.0於2014年4月正式發佈,之後一直都有在對其進行修訂更新,其功能作用也相比之前的TPM 1.2更強大。那麼與老版1.2相比有哪些不同呢,我們從它們的演算法、加密、平臺、密鑰、平臺配置寄存器PCRs、授權做對比,請參考下圖。

對比項

TPM1.2

TPM2.0

演算法

需要SHA-1和RSA

需要SHA-1和SHA-256,廠商可以隨意使用TCG IDs增加新演算法。

加密

需要隨機生成器(random number generator)、公鑰密碼演算法(public-key cryptographic algorithm)、密碼哈希函數(cryptographic hash function)、掩碼生成函數(mask generation function)、數字簽名生成和驗證(digital signature generation and verification)以及直接匿名證明(Direct Anonymous Attestation),還需要生成密鑰。

使用Barreto-Naehrig 256位曲線的亂數生成器( random number generator)、公鑰加密演算法( public-key cryptographic algorithms)、加密哈希函數( cryptographic hash functions)、對稱密鑰演算法(symmetric-key algorithms)、數字簽名生成和驗證( digital signature generation and verification)、掩碼生成函數(mask generation function)。還需密鑰生成和密鑰派生功能。

平臺配置寄存器PCRs

使用PCR恢復unsealing Bitlobker的密鑰,如果系統啟動過程中有任何微小的變化,都需要用戶干預才能恢復。

規範運行多個PCRs banks,一個bank內所有PCR使用相同的演算法進行擴展作業,不同的banks可以分配不同的PCRs,不同的bank擴展作業時相互獨立,互不干擾。

密鑰

只有一個密鑰(EK),出廠時廠商預置在晶片內,更換很困難

分為父子密鑰,主密鑰通過主種子,使用密鑰派生演算法KDF生成;密鑰的存儲以對稱加密為主

根密鑰

一個(SRK RSA-2048)

每個層次結構有多個密鑰和演算法。

授權

HMAC、PCR、位置、物理存在

密碼、HMAC和策略(涵蓋HMAC、PCR、位置和物理存在)、非對稱數字簽名

注:PCRs主要是用來存儲系統啟動和運行過程中度量值,防止度量日誌被篡改。PCRs值不止保證每次系統啟動時執行相同的代碼,其保證以相同的順序執行相同的代碼。

從表格可知TPM 2.0對比TPM 1.2在演算法上面多了一個SHA-256,且在授權方面除了TPM 1.2原有的HMAC、位置、物理存在和PCR外,還添加了基於非對稱數字簽名的授權。TPM 2.0比TPM 1.2在加密和密鑰方面分得更為詳細,也更加安全。

如何檢測電腦上是否有TPM 2.0

微軟宣佈會在10月5日發佈Windows 11,這對於微軟用戶來說是一件十分激動的事情,但是隨之而來的問題也是不少,比如電腦與Windows 11不相容,查看微軟對Windows 11更新要求能夠知道,如果您需要將您的電腦系統更新為Windows 11,那麼您的電腦必須支援TPM 2.0和UEFI安全啟動,因為它們是更新Windows 11的必要條件。

TPM 2.0在2015年開始在少數電腦上投入使用,到2016年正式大量運用於電腦中,如果您需要將您的電腦系統更新為Windows 11,就需要檢查您電腦上是否支援滿足更新Windows 11條件之一的TPM 2.0。如果不存在,您的電腦就無法將系統更新至Windows 11;如果存在,請檢查它是否有被禁用,如果被禁用,請啟用TPM 2.0,實現升級到Windows 11系統。如何檢查電腦上是否支援TPM 2.0呢?請按照下麵兩種方法,檢查電腦上是否有TPM 2.0。

方法一:在運行窗口輸入tpm.msc

1.按住鍵盤上的Windows+R組合鍵,啟動運行窗口。

2.在運行窗口鍵入tpm.msc,然後點擊確定。

更新windows11

3.打開本地電腦可信平臺模組(TPM)管理後,你可能會看到以下兩種情況

一種情況為在本機電腦上的TPM管理模組中顯示由Windows平台設定TPM及其支援並且狀態為:TPM已可使用(代表已啟用)。怎麼查看是不是TPM 2.0版本呢?只需查看TPM 製造廠商資訊中的規格版本值為2.0,那麼就代表您的電腦是支援使用TPM 2.0升級到Windows 11系統的。

更新windows11

一種情況是您的電腦出現提示找不到相容的TPM,這就代表著您電腦不符合升級Windows 11的標準。

安裝windows11

方法二:通過Windows安全應用檢查TPM

1.點擊電腦右下角Windows圖示,選擇設定

2.然後選擇更新與安全性

3.然後選擇Windows安全

4.找到並展開安全設備,查看是否有顯示TPM。

★提示:
如果您沒有找到安全處理器,可能是您的電腦有一個禁用的TPM,出現這樣的情況您需要啟用TPM,或者查看您電腦的製造商支援資訊以此獲取安全處理器的相關資訊。
如果您能夠啟用TPM,那麼請驗證它是否為TPM 2.0。如果TPM的版本低於2.0,您的電腦就不能更新Windows 11。

關於如何將TPM 1.2升級為TPM 2.0請閱讀下麵《如何將TPM 1.2升級為TPM 2.0》的內容。

如何在電腦上啟用TPM 2.0

當電腦支援TPM 2.0,但它是被禁用的,這個時候應該怎麼辦呢?可以按照下麵的方法啟用TPM 2.0。

方法一:在電腦設置上啟用TPM 2.0

1.打開電腦上的設定(Windows+I),然後打開安全與更新,在左菜單欄中點選復原,然後在高級啟動中點擊立即重新啟動

更新windows11

2.點擊完立即重新啟動後,系統會進入選項階段,之後選擇疑難解答

更新windows11

3.選擇進階選項

更新windows11

4.選擇UEFI韌體設定

更新windows11

5.點擊重新開機。

6.重新啟動後,進入BIOS,然後轉到安全設置,這個時候選擇TPM配置選項

更新windows11

7.如果發現TPM 2.0被禁用,啟用它即可,完成啟用TPM後就可以退出設定重新開機電腦。

如何將TPM 1.2升級為TPM 2.0

如果我們檢查出電腦的TPM版本為1.2,那麼電腦是無法將系統更新為Windows 11的,所以我們需要將TPM版本升級為2.0。如何將TPM 1.2版本升級為2.0呢?這個得根據您電腦供應商對TPM做的升級對策,對此您可以在電腦對應的官方網站上尋求幫助。下麵我們將以戴爾為例為你演示如何將電腦上的TPM 1.2更新為2.0。

在戴爾上將TPM 1.2升級為2.0的步驟

1.打開戴爾官方網站,找到戴爾產品支援頁面

2.然後鍵入您的服務標籤或產品型號。

3.點擊驅動程式和下載選項卡。

4.從下拉類別框中選擇安全。

5.查找Dell TPM 2.0韌體更新公用程式。

6.如果列出了戴爾TPM 2.0更新列表,則您就可以運行更新TPM。

如何在沒有TPM 2.0的情況下安裝Windows 11

在前面的內容中,我們講了電腦支援TPM 2.0更新Windows 11的方法。如果我們的電腦不支援TPM 2.0該如何安裝Windows 11呢?我們可以使用安裝碟安裝Windows 11,從安裝碟引導進入安裝Windows 11的流程。這個時候可以選擇覆蓋原系統升級安裝,也就是說我們可以繞過UEFI啟動檢測,達到安裝Windows 11的目的。

總結

我們在本篇文章中為大家解釋了什麼是TPM和升級Windows 11所必須的TPM 2.0的相關資訊,為大家演示了如何檢查並啟用TPM更新Windows 11,以及如何將TPM 1.2升級為2.0版本更新Windows 11的方法。TPM是保護系統安全的重要設備,而TPM 2.0是系統更新為Windows 11必須存在的版本,因此如何檢測您的電腦是否相容Windows 11,並如何啟動TPM請仔細閱讀本文,裏面有您想要的答案。