Как обновить и очистить прошивку процессора безопасности tpm

Как проверить есть ли TPM на компьютере?

Нажмите сочетание кнопок Win + R и введите tpm.msc. Модуль TPM может находиться в одном из следующих состояний: Готов к использованию, Готов к использованию в режиме ограниченной функциональности и Не готов к использованию. Чтобы воспользоваться большинством функций TPM в Windows 10, модуль TPM должен быть Готов к использованию.

Важно: Если у вас будет модуль, то вы сможете обновить и очистить TPM именно в этих параметрах справа. По этому вы можете не прибегать ниже к пунктам

Но если что пойдет не так, ниже пункты именно для вас.

Примечание: При включении TPM могут быть проблемы с bitlocker, отключите bitlocker при включении модуля TPM.

Соответствие требованиям TPM 2.0 для Windows

Windows для настольных выпусков (Home, Pro, Enterprise и Education)

С 28 июля 2016 г. все новые модели устройств, линии или серии (или при обновлении конфигурации оборудования существующей модели, строки или серии с основным обновлением, например ЦП, графические карты) должны реализовать и включить по умолчанию TPM 2.0 (сведения в разделе 3.7 страницы Минимальные требования к оборудованию). Требование в отношении включения TPM 2.0 распространяется только на новые устройства, которые производятся. Рекомендации TPM в отношении конкретных компонентов Windows см. в разделе TPM и компоненты Windows.

Windows Server 2016

TPM необязательный для Windows серверов, если SKU не отвечает другим критериям квалификации (AQ) для сценария службы host Guardian Services, в этом случае требуется TPM 2.0.

Что такое Trusted Platform Module?

Как правило, данный модуль представляет собой самостоятельный чип, находящийся на материнской плате. Он является своеобразным генератором и одновременно хранилищем ключей шифрования, использующихся в работе систем защиты данных. Например, при работе сканера отпечатка пальцев, при активации функции распознавания лиц или при шифровании данных на жестком диске.

Обратите внимание, что недалеко от опции, отвечающей за активацию TPM устройства, всегда присутствует опция очистки хранилища уже сгенерированных ключей – Clear TPM

Пользоваться ей стоит с особой осторожностью. Ведь если удалить ключи, участвующие в активных опциях защиты и шифрования данных, то можно потерять доступ к этим данным и функциям

Ведь если удалить ключи, участвующие в активных опциях защиты и шифрования данных, то можно потерять доступ к этим данным и функциям

Пользоваться ей стоит с особой осторожностью. Ведь если удалить ключи, участвующие в активных опциях защиты и шифрования данных, то можно потерять доступ к этим данным и функциям

Обычно для TPM Device доступно два значения:

1. Enabled или Available, что значит включена или доступна;
2. Disabled или Hidden, означающие отключение или скрытие.

Почти всегда по умолчанию параметр TPM Device активирован (enabled/available). Для исключения возникновения проблем с доступом к различным защищенным данным отключать его лучше не стоит.

Станьте владельцем папки Ngc и удалите её

Ещё один простой способ устранить сбой TPM заключается в удалении папки Ngc. Её можно найти на диске C:\, но для удаления требуется быть владельцем папки. Вот как это можно сделать:

1. Откройте проводник и перейдите:

C:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft

1. Найдите папку Ngc и нажмите на неё правой кнопкой мыши, затем выберите «Свойства».
2. На вкладке «Безопасность» нажмите «Дополнительно».
3. В разделе «Владелец» нажмите «Изменить». Для этого вам потребуются права администратора.
4. В текстовом поле введите имя пользователя локальной учётной записи (которую вы используете в этот момент) и нажмите «Проверить имена».
5. Нажмите ОК. Установите флажок «Заменить владельца подконтейнеров и объектов».
6. Нажмите OK.
7. Дважды нажмите, чтобы открыть папку Ngc и удалить все её содержимое.
8. Перезагрузите компьютер.

Удаление учётных данных приложения из диспетчера учётных данных

Этот вариант применим для пользователей, которые сталкиваются с проблемой при запуске приложений Microsoft, таких как Outlook или Microsoft Office. Метод включает в себя удаление учётных данных соответствующего приложения с помощью диспетчера учётных данных:

1. Нажмите кнопку «Пуск» и введите в поиск «диспетчер учётных данных». Откройте соответствующее окно.
2. Нажмите «Учётные данные Windows».
3. В разделе «Общие учётные данные» выберите все учётные данные Microsoft Office и нажмите стрелку вправо, чтобы развернуть их.
4. Затем нажмите «Удалить» рядом с «Редактировать».
5. Удаляйте данные по одному за раз.
6. Перезагрузите компьютер.

Вход с использованием новой учетной записи локального пользователя

Если ни одно из вышеупомянутых решений не работает, все, что вы можете сделать, это создать новую учетную запись пользователя и использовать ее для входа в Windows и Microsoft Office. Это легко сделать в приложении «Настройки Windows»:

1. Нажмите кнопку « Пуск» и выберите « Настройки» .
2. На панели настроек нажмите « Учетные записи» .
3. На панели навигации слева нажмите Семья и другие пользователи .
4. В разделе « Другие пользователи» нажмите « Добавить кого-нибудь на этот компьютер» .
5. В мастере создания пользователей нажмите «У меня нет данных для входа этого пользователя».
6. В следующем окне выберите «Добавить пользователя без учетной записи Microsoft».
7. Заполните все поля и нажмите ОК.
8. Перезагрузите компьютер и войдите в систему, используя только что созданную учетную запись пользователя.

Need help on whether to clear TPM on not

I was doing reset my Windows 10 Dell 5559 laptop to factory Setting.

got this message after screen had stuck on 99% during reset the message displayed is

«A configuration change was requested to clear this computer’s TPM (Trusted Platform Module)

WARNING: Clearing erases information stored on the TPM. You will lose all created keys and access to data encrypted by these keys.

Press F12 or Volume Up to clear the TPM Press ESC or Volume Down to reject the change request and continue»

I tried a lot to know what it is actually ,but failed to understand

I just don’t know whether to press F12 or ESC, and what if I press ESC is it ok? (please advise , the laptop is running since 8 hours.)

Do you have anything encrypted on it ? Do you have any keys stored on the computer that you need and havent either written down, or stored on a USB stick ?

If you can say no to these 2 questions, its safe to press F12, if not press esc and everythign just goes back to the way it was.

Do you have anything encrypted on it ? Do you have any keys stored on the computer that you need and havent either written down, or stored on a USB stick ?

If you can say no to these 2 questions, its safe to press F12, if not press esc and everythign just goes back to the way it was.

The situation is like this:- I bought Dell i7 6th Gen laptop on 27th, today I am about to return it as it has some scratches on it( seller agreed on it) so I decided to do reset in windows 10 , but stuck to above error

I have no personal data on it, I just want to restore this laptop to factory setting ( to a screen which appears the first moment you switched ON the brand new laptop asking for Country and language)

What if I press ESC here, will it restore to factory setting?

New Member

Dheeraj

New Member

Clearing the TPM will not remove a windows license. Windows 10 at least does not utilize the TPM for licensing purposes.

I should know, I switched one out completely just recently.

Wolfs2424

New Member

Would no exept my password. Worked perfectly, took 4 hours exactly for me. after witch I got this message:

«A configuration change was requested to clear this computer’s TPM (Trusted Platform Module)

WARNING: Clearing erases information stored on the TPM. You will lose all created keys and encrypted data and stored keys. Press F12 or Volume Up to clear the TPM Press ESC or Volume Down to reject the change request and continue»)

I pressed F12 and Installing windows shows on screen, it took another 30 minutes. If you have anything incripted or special keys that will be erased to factory as well. (Total time of 4 hours 30 minutes). By the way my computer was new and would not let me log in.

Восемь столпов TPM

В основе Total Productive Maintenance лежит восемь принципов, или столпов.

Восемь столпов TPM

Столпы	Результаты внедрения
Автономное обслуживание Ответственность за повседневный уход за оборудованием — чистку, смазку, проверку — лежит на операторах.	операторы относятся к станкам, как к своим собственным операторы лучше разбираются в оборудовании оборудование всегда чистое и смазанное проблемы вовремя обнаруживаются сервисный персонал занимается более сложными задачами
Плановое обслуживание Оборудование обслуживается по графику, который составляется на основе прогнозируемого или расчетного показателя отказов.	меньше внеплановых простоев оборудование обслуживается во время планового простоя на складе хранится меньше запасных частей, т.к. быстроизнашивающиеся и часто ломающиеся детали всегда на контроле
Качественное обслуживание Выявление и предупреждение ошибок встраивается в производственный процесс. Повторяющиеся причины дефектов устраняются с помощью анализа коренных причин.	проблемы качества решаются устранением коренных причин дефектов меньше дефектов затраты ниже благодаря раннему выявлению дефектов
Непрерывное улучшение / Кайдзен Малые группы сотрудников проактивно работают вместе, чтобы добиться регулярного постепенного улучшения работы оборудования.	повторяющиеся проблемы быстро выявляются и решаются кросс-функциональными командами потенциал сотрудников компании работает как единый двигатель постоянного улучшения
Раннее управление оборудованием Знания и опыт, полученные при TPM существующего оборудования, используются при разработке нового снаряжения.	новое оборудование быстро достигает плановых показателей производительности из-за меньшего числа проблем при запуске обслуживание нового оборудования проще и надежнее
Обучение сотрудников Проводятся тренинги и семинары для операторов, сервисного персонала и линейных менеджеров, чтобы заполнить пробелы в знаниях, необходимых для достижения целей TPM.	операторы развивают навык ежедневного ухода за оборудованием и выявления неисправностей сервисный персонал изучает техники проактивного и предупреждающего обслуживания менеджеры обучаются принципам TPM, и развитию персонала
Безопасность, здоровье, окружающая среда На производстве создается безопасная и здоровая рабочая среда.	риски для здоровья и безопасности ликвидируются на рабочих местах отсутствуют аварии
TPM в офисах Техники TPM применяются к административным функциям.	потери в административных функциях устраняются производство поддерживается через улучшенную работу админперсонала

Azure AD: Windows Hello для бизнеса и один вход не работают

У вас есть Azure Active Directory клиентский компьютер с Azure Active Directory Azure AD, который не может правильно проверить подлинность. Вы испытываете один или несколько следующих симптомов:

• Windows Hello для бизнеса не работает.
• Условный доступ не удается.
• Один вход (SSO) не работает.

Кроме того, компьютер регистрит запись для event ID 1026, которая напоминает следующее:

Причина

Это событие указывает на то, что TPM не готов или имеет некоторые параметры, которые препятствуют доступу к клавишам TPM.

Кроме того, поведение указывает на то, что клиентский компьютер не может получить основной маркер обновления (PRT).

Разрешение

Чтобы проверить состояние PRT, используйте команду dsregcmd/status для сбора информации. В выпуске средства убедитесь, что состояние пользователя или состояние SSO содержит атрибут AzureAdPrt. Если значение этого атрибута нет, PRT не был выдан. Это может указывать на то, что компьютер не может представить сертификат для проверки подлинности.

Чтобы устранить эту проблему, выполните следующие действия для устранения неполадок TPM:

1. Откройте консоль управления TPM (tpm.msc). Для этого выберите Начнитеи введите tpm.msc в поле Поиск.
2. Если вы видите уведомление, чтобы разблокировать TPM или сбросить блокировку, выполните эти инструкции.
3. Если вы не видите такого уведомления, просмотрите параметры BIOS компьютера для любых параметров, которые можно использовать для сброса или отключения блокировки.
4. Обратитесь к поставщику оборудования, чтобы определить, есть ли известное решение проблемы.

5. Если вы все еще не можете разрешить проблему, очистить и повторно инициализировать TPM. Чтобы сделать это, следуйте инструкциям в все ключи от TPM .

   Предупреждение

   Очистка TPM может привести к потере данных.

Преимущества использования компьютера с TPM

Как указано в Windows, есть много преимуществ работы на машине с установленной микросхемой TPM

Во многих из наши обычный личные процедуры это будет важно, но это также будет важно, если мы будем использовать более продвинутые или фирменные функции. Например, если мы договариваемся с администрацией о том, что требуются сертификаты, электронные подписи или другие криптографические решения, защитите значения PIN-кодов для использования сертификата

Он также защищает компьютер от атак, поскольку в случае опасности закрытый ключ, связанный с сертификатом, не может быть скопирован с устройства.

Использование компьютера с TPM поможет нам получить такую ​​же безопасность с физическими смарт-картами, без необходимости иметь для них считыватель

И, как мы видели, это также будет важно в том случае, если мы используем такие приложения, как BitLocker или Windows Hello для компаний. Короче говоря, уверенность в том, что нашим зашифрованным данным ничего не угрожает, всегда дает дополнительное спокойствие, и именно поэтому Microsoft хотела обеспечить, чтобы производители, которые хотят использовать Windows 10, устанавливали эту технологию

Преимущества TPM 2.0

Продукты и системы на основе TPM 2.0 имеют важные преимущества безопасности по сравнению TPM 1.2, в том числе:

• Спецификации TPM 1.2 позволяют использовать только RSA и алгоритм хэширования SHA-1.

• В целях безопасности некоторые организации перестают использовать SHA-1. В частности, Национальный институт стандартов и технологий США (NIST) потребовал от многих федеральных агентств перейти на использование SHA-256, начиная с 2014 года, а технологические лидеры, включая Майкрософт и Google, объявили о прекращении с 2017 года поддержки подписывания и сертификатов на основе SHA-1.

• TPM 2.0 обеспечивает большую криптографическую гибкость, так как позволяет более гибко работать с криптографическими алгоритмами.

  • TPM 2.0 поддерживает новые алгоритмы, что может повысить производительность подписи дисков и создания ключей. Полный список поддерживаемых алгоритмов см. в разделе Реестр алгоритмов TCG. Некоторые TPMs не поддерживают все алгоритмы.

  • Список доступных алгоритмов, которые Windows поддерживает в поставщике хранилища платформы шифрования, см. в разделе Поставщики алгоритмов шифрования CNG.

    

    

    

    

    

    

    

    

    

    

  • TPM 2.0 получил стандартизацию ISO (ISO/IEC 11889:2015).

  • Использование TPM 2.0 поможет исключить необходимость внесения изготовителями оборудования исключений в стандартные конфигурации для продажи устройств в некоторых странах и регионах.

• TPM 2.0 предоставляет более согласованное взаимодействие при всем разнообразии внедрения.

  • Реализации TPM 1.2 различаются параметрами политики. Это может привести к проблемам с технической поддержкой в связи с различиями политик блокировки.

  • Политика блокировки TPM 2.0 настраивается Windows для гарантированной защиты от согласованных атак перебором по словарю.

• Хотя части TPM 1.2 являются дискретными компонентами кремния, TPM 2.0, как правило, припоя на материнской доске, доступен в качестве **** дискретного кремниевого компонента (dTPM) в одном полупроводниковом пакете, интегрированного компонента, включенного в один или несколько полупроводниковых пакетов , наряду с другими логическими единицами в том же пакете (s) и компонентом на основе прошивки (fTPM), работающим в доверяемой среде выполнения (TEE) для общей цели SoC.

Примечание

TPM 2.0 не поддерживается в устаревших и CSM-режимах BIOS. Устройства с TPM 2.0 должны иметь режим BIOS, настроенный только как UEFI. Параметры модуля поддержки legacy и compatibility (CSM) должны быть отключены. Дополнительные функции безопасности Включить функцию безопасной загрузки.

Установленная операционная система на оборудовании в устаревшем режиме остановит загрузку ОС при смене режима BIOS на UEFI. Используйте средство MBR2GPT перед изменением режима BIOS, который подготовит ОС и диск для поддержки UEFI.

2Инициализация модуля TPM в Windows

Осталось инициализировать чип в операционной системе. Для этого нужно открыть оснастку управления модулем TPM. Нажмите кнопки Windows+R (откроется окно «Выполнить»), введите в поле ввода tpm.msc и нажмите «Ввод». Запустится оснастка «Управление доверенным платформенным модулем (TPM) на локальном компьютере».

Здесь, кстати, можно почитать дополнительную информацию – что такое TPM, когда его нужно включать и выключать, менять пароль и т.д.. Хороший цикл статей, посвящённый TPM, есть на сайте Microsoft.

В правой части оснастки находится меню действий. Нажмите «Инициализировать TPM…». Если эта возможность не активна, значит, ваш чип уже инициализирован. Если он инициализирован не вами, и вы не знаете пароль владельца, то желательно выполнить сброс и очистку памяти модуля, как описано в предыдущем пункте.

Оснастка для управления чипом TPM

Когда запустится мастер инициализации TPM, он предложит создать пароль. Выберите вариант «Автоматически создать пароль».

Инициализация модуля TPM через оснастку

Программа инициализации модуля TPM сгенерирует пароль. Сохраните его в файле или распечатайте. Теперь нажмите кнопку «Инициализировать» и немного подождите.

Пароль TPM сгенерирован, инициализация

По завершении программа сообщит об успешной инициализации модуля. После завершения инициализации все дальнейшие действия с модулем – отключение, очистка, восстановление данных при сбоях, сброс блокировки – будут возможны только с помощью пароля, который вы только что получили.

Пароль владельца для TPM создан

Теперь действие инициализации стало неактивным, зато появилась возможность отключить TPM, сменить пароль владельца и сбросить блокировку модуля, если это произошло (модуль блокирует сам себя для предотвращения мошенничества или атаки).

Инициализация TPM завершена

Собственно, на этом заканчиваются возможности управления модулем TPM. Все дальнейшие операции, которые будут требовать возможности чипа, будут происходить автоматически – прозрачно для операционной системы и незаметно для вас. Всё это должно быть реализовано в программном обеспечении. В более свежих операционных системах, например Windows 8 и Windows 10, возможности TPM используются более широко, чем в более старых ОС.

Как очистить TPM

Очистить TPM можно разными способами, например, в BIOS (выбрав опцию Clear Security Chip) .

И непосредственно из работающей операционной системы. Для этого в запущенной от имени администратора PowerShell выполняем простую команду clear-tpm .

Также вы можете зайти в Центр безопасности Защитника Windows 10, выбрать там раздел «Безопасность устройства», зайти в дополнительные настройки обработчика безопасности и нажать там кнопку очистки TPM.

В более ранних версиях Windows выполнить эту процедуру можно из интерфейса оснастки управления доверенным модулем, выбрав в правой колонке опцию «Очистить TPM».

1Включение модуля TPM в BIOS компьютера

Для включения модуля зайдите в BIOS и перейдите в раздел, связанный с безопасностью. Хотя BIOS может существенно отличаться на разных компьютерах, как правило, раздел с настройками безопасности называется «Security». В этом разделе должна быть опция, которая называется «Security Chip».

Настройки безопасности в BIOS

Модуль может находиться в трёх состояниях:

• Выключен (Disabled).
• Включён и не задействован (Inactive).
• Включён и задействован (Active).

В первом случае он не будет виден в операционной системе, во втором – он будет виден, но система не будет его использовать, а в третьем – чип виден и будет использоваться системой. Установите состояние «активен».

Тут же в настройках можно очистить старые ключи, сгенерированные чипом.

Очистка памяти чипа TPM

Очистка TPM может пригодиться, если вы, например, захотите продать свой компьютер. Учтите, что стерев ключи, вы не сможете восстановить данные, закодированные этими ключами (если, конечно, вы шифруете свой жёсткий диск).

Теперь сохраните изменения («Save and Exit» или клавиша F10) и перезагрузите компьютер.

После загрузки компьютера откройте диспетчер устройств и убедитесь, что доверенный модуль появился в списке устройств. Он должен находиться в разделе «Устройства безопасности».

Чип TPM в диспетчере устройств Windows

Windows Hello для бизнеса

Windows Hello для бизнеса обеспечивает различные варианты проверки подлинности, предназначенные для замены паролей, которые могут быть трудны для запоминания и легко могут быть скомпрометированы. Кроме того, при использовании решений по принципу «имя пользователя — пароль» часто для проверки подлинности на различных устройствах и в различных службах выбираются одинаковые комбинации имени пользователя и пароля; если эти учетные данные станут кому-либо известны, они будут скомпрометированы во многих местах. Windows Hello для бизнеса готовит устройства поочередно и объединяет информацию, указанную на каждом устройстве (т.е. криптографический ключ) с дополнительной информацией для проверки подлинности пользователей. В системе с доверенным платформенным модулем модуль может защитить ключ. Если в системе отсутствует TPM, ключ защищают программные средства. В качестве дополнительных данных, которые пользователь должен предоставить, может служить значение PIN-кода или, если в системе установлено необходимое оборудование, биометрические сведения, такие как отпечаток пальца или распознавание лиц. Для защиты личных данных биометрическая информация используется только на заданном устройстве, у которого имеется доступ к специальному ключу: эти данные не передаются на другие устройства.

Для внедрения новой технологии проверки подлинности необходимо, чтобы поставщик удостоверений и организации развернули и начали применять эту технологию. Windows Hello для бизнеса позволяет пользователям проводить проверку подлинности со своей существующей учетной записью Майкрософт, учетной записью Active Directory, учетной записью Microsoft Azure Active Directory или даже использовать для этого службы поставщика удостоверений от сторонних разработчиков или службы проверяющей стороны, которые поддерживают проверку подлинности Fast ID Online V2.0.

Поставщики удостоверений могут различными способами обрабатывать учетные данные на клиентских устройствах. Например, организация может подготовить только устройства с TPM, чтобы иметь уверенность в том, что TPM защищает учетные данные. Для того чтобы система была способна отличить TPM от вредоносной программы, действующей как TPM, требуются следующие свойства TPM (см. рис. 1):

• Ключ подтверждения. Производитель TPM может создать в модуле специальный ключ, который называется ключ подтверждения. В сертификате ключа подтверждения, подписанного производителем, говорится, что ключ подтверждения присутствует в TPM, который сделал производитель. Решения могут использовать этот сертификат с TPM с содержащимся в нем ключом подтверждения, который подтверждает, что в сценарии действительно задействован TPM от конкретного производителя TPM (а не вредоносная программа, имитирующая TPM).

• Ключ удостоверения проверки. В целях защиты личных данных в большинстве сценариев TPM не используется ключ подтверждения. Вместо этого в них используются ключи удостоверения подлинности, и ЦС применяет ключ удостоверения подлинности и его сертификат для подтверждения того факта, что в реальном TPM действительно имеется один или несколько ключей удостоверения подлинности. ЦС удостоверений выпускает сертификаты ключей удостоверения подлинности. Несколько ЦС удостоверений, как правило, рассматривают один и тот же сертификат ключа подтверждения, который может определить TPM как уникальный, но создано может быть любое количество сертификатов ключей удостоверения подлинности в целях ограничения распространения информации в другие сценарии.

Рисунок 1. Управление криптографическим ключом TPM

При использовании Windows Hello для бизнеса Майкрософт может выполнять роль ЦС для проверки подлинности. Службы Майкрософт могут выдавать сертификат ключа удостоверения подлинности для каждого устройства, пользователя и поставщика удостоверения, чтобы гарантировать защиту личных данных и помочь поставщикам удостоверений обеспечить выполнение требований TPM на устройстве перед тем, как будут подготовлены учетные данные Windows Hello для бизнеса.

Проектирование и реализация доверенного платформенного модуля

Традиционно TPMs являются дискретными чипами, припайными в материнскую доску компьютера. Некоторые реализации позволяют поставщикам оборудования оценивать и сертифицировать TPM отдельно от остальной системы. Дискретные реализации TPM являются распространенными. Однако они могут быть проблематичными для интегрированных устройств с небольшим или низким энергопотреблением. В некоторых более новых реализациях TPM функциональные возможности TPM интегрируются в тот же набор микросхем, который используют другие платформенные компоненты, обеспечивая при этом логическое разделение, аналогичное изолированным микросхемам TPM.

Модули TPM являются пассивными: они получают команды и возвращают ответы. Чтобы предоставить доступ ко всем преимуществам TPM, поставщик оборудования должен аккуратно интегрировать модуль TPM в системное оборудование и встроенное ПО. Это позволит модулю отправлять команды и получать ответы. Модули TPM изначально были разработаны для обеспечения безопасности и конфиденциальности владельца и пользователей платформы, однако более новые версии обеспечивают безопасность и конфиденциальность непосредственно самого системного оборудования. Однако перед использованием в расширенных сценариях модуль TPM необходимо подготовить к работе. Windows автоматически предусматривает TPM, но если пользователь планирует переустановить операционную систему, ему может потребоваться очистить TPM перед переустановки, чтобы Windows могли в полной мере использовать TPM.

Trusted Computing Group (TCG) — некоммерческая организация, которая публикует и поддерживает спецификации доверенного платформенного модуля. TCG существует для разработки, определения и продвижения нейтральных поставщиков глобальных отраслевых стандартов. Эти стандарты поддерживают корневую поддержку доверия на основе оборудования для взаимозаменяемых надежных вычислительных платформ. TCG также публикует спецификации TPM в виде международного стандарта ISO/IEC 11889 с использованием процесса предоставления общедоступной спецификации, которую определяет Совместный технический комитет 1, куда входят представители Международной организации стандартизации (ISO) и Международной электротехнической комиссии (IEC).

Поставщики оборудования внедряют модуль TPM в качестве компонента в доверенную вычислительную платформу например компьютер, планшет или телефон. Доверенные вычислительные платформы используют TPM, для обеспечения безопасности и конфиденциальности, достичь которых с использованием одного лишь программного обеспечения невозможно. Например, само по себе программное обеспечение не может достоверно сообщить о наличии вредоносного ПО при запуске системы. Тесная интеграция между TPM и платформой повышает прозрачность процесса загрузки и поддерживает оценку работоспособности устройства, позволяя надежно измерять и регистрировать программное обеспечение, которое запускает устройство. Реализация TPM в составе доверенной вычислительной платформы формирует аппаратное ядро доверия, что означает, что поведение оборудования является доверенным. Например, если ключ, хранящийся в TPM, имеет свойства, которые запрещают экспорт ключа, этот ключ не может покидать TPM.

Организация TCG разработала TPM в качестве недорогого массового решения безопасности, которое соответствует требованиям различных клиентских сегментов. Свойства безопасности различаются в зависимости от реализации TPM так же, как в зависимости от сектора различаются требования клиентов и регулирующих органов. Например, при государственных закупках некоторые правительства четко определяют требования к безопасности модулей TPM, а некоторые — нет.

Программные библиотеки TPM

Чтобы использовать TPM, пользователю нужна программная библиотека, которая взаимодействует с TPM и предоставляет более удобный API, чем необработанная связь TPM. В настоящее время существует несколько таких библиотек TPM 2.0 с открытым исходным кодом. Некоторые из них также поддерживают TPM 1.2, но в основном чипы TPM 1.2 теперь устарели, а современная разработка сосредоточена на TPM 2.0.

Как правило, библиотека TPM предоставляет API с однозначными сопоставлениями с командами TPM. Спецификация TCG называет этот уровень Системным API (SAPI). Таким образом, пользователь имеет больший контроль над операциями TPM, однако сложность высока. Поэтому большинство библиотек также предлагают богатый API для вызова сложных операций TPM и скрытия некоторой сложности. В спецификации TCG эти два уровня называются Enhanced System API (ESAPI) и Feature API (FAPI).

В настоящее время существует только один стек, соответствующий спецификации TCG. Все другие доступные библиотеки TPM с открытым исходным кодом используют собственную форму расширенного API.

Сводка существующих библиотек TPM с открытым исходным кодом

Библиотеки TPM	API	TPM 2.0	TPM 1.2	Аттестационный сервер или пример	Microsoft Windows	Linux	Оголенный метал
tpm2-tss	SAPI, ESAPI и FAPI из спецификации TCG	да	Нет	Нет, но есть отдельный проект *	да	да	Может быть**
ibmtss	Сопоставление 1: 1 с командами TPM + богатый API (мягкий слой сверху)	да	Частичное	Да, «IBM ACS»	да	да	Нет
идти-тпм	Сопоставление 1: 1 с командами TPM + богатый API (мягкий слой сверху)	да	Частичное	Да, «Go-аттестация»	да	да	Нет
волк	Сопоставление 1: 1 с командами TPM + богатый API (оболочки)	да	Нет	Да, примеры есть в библиотеке	да	да	да
TSS.MSR	Сопоставление 1: 1 с командами TPM + богатый API (оболочки)	да	Нет	Да, примеры есть в библиотеке	да	Да***	Нет

(*) Существует отдельный проект Фраунгофера «CHARRA», который использует библиотеку tpm2-tss для удаленной аттестации. Другие стеки имеют сопутствующие серверы аттестации или непосредственно включают примеры для аттестации. IBM предлагает свой сервер удаленной аттестации с открытым исходным кодом под названием «IBM ACS» на SourceForge, а у Google «Go-Attestation» доступен на GitHub, в то время как «wolfTPM» предлагает примеры временной и локальной аттестации непосредственно в своем открытом коде, также на GitHub.

(**) Существует примечание по применению о примере проекта для 32-разрядной SoC AURIX с использованием библиотеки tpm2-tss.

(***) Требуются дополнительные библиотеки (dotnet) для работы в Linux.

Эти библиотеки TPM иногда также называют стеками TPM, поскольку они предоставляют интерфейс для взаимодействия разработчика или пользователя с TPM. Как видно из таблицы, стеки TPM абстрагируются от операционной системы и транспортного уровня, поэтому пользователь может переносить одно приложение между платформами. Например, используя API стека TPM, пользователь будет таким же образом взаимодействовать с TPM, независимо от того, подключен ли физический чип через интерфейс SPI, I2C или LPC к хост-системе.

Как обойти Windows 11 TPM официальным способом Microsoft

Зная, что некоторые пользователи захотят установить Windows 11 в системах, которые не соответствуют всем требованиям к оборудованию, Microsoft предоставила взлом реестра, который их несколько ослабляет. Используя этот прием, вы можете установить его в системе с TPM не ниже 1.2 и неподдерживаемым процессором. Тем не менее, мы рекомендуем приведенные выше сценарии, потому что они не требуют наличия какого-либо TPM.

1. Откройте Regedit.

2. Перейдите к HKEY_LOCAL_MACHINE \ SYSTEM \ Setup \ MoSetup.

3. Создайте значение DWORD (32-разрядное) с именем AllowUpgradesWithUnsupportedTPMOrCPU, если оно еще не существует.

4. Установите для AllowUpgradesWithUnsupportedTPMOrCPU значение 1.

5. Закройте regedit и перезагрузите компьютер. Теперь у вас должна быть возможность обновиться до Windows 11 из Windows 10 с помощью установочного носителя (при условии, что вы его создали).

голоса

Рейтинг статьи

Насколько опасен TPM 2.0 — «встроенный бэкдор» в Windows 8.1

Xakep #251. Укрепляем VeraCrypt

Немецкие эксперты предупреждают правительство, что переход на операционную систему Windows 8.1 несет в себе «неприемлемый риск». Дело в том, что компьютеры с этой ОС поддерживают функцию Trusted Computing с установкой чипа Trusted Platform Module (TPM).

Если раньше поддержка TPM была опциональной и отключаемой, то с переходом на спецификации TPM 2.0 этот стандарт станет обязательным для всех устройств под Windows 8.1 и функция не подлежит дезактивации.

Trusted Platform Module (TPM) — криптопроцессор, в котором хранятся криптографические ключи для защиты информации. Библиотека TPM в операционной системе предназначена для проверки цифровой подписи программ, для установки апдейтов в дистанционном режиме и т.д. Фактически, компьютер с TPM 2.0 нельзя рассматривать как устройство, находящееся под полным контролем пользователя..

Спецификации TPM разработаны некоммерческой организацией Trusted Computing Group, в которую входят только американские компании AMD, Cisco, Hewlett-Packard, IBM, Intel, Microsoft и Wave Systems.

Немецкое издание Die Zeit получила в свое распоряжение внутренние документы правительства Германии, которые содержат оценку безопасности TPM 2.0 со стороны независимых экспертов. Они предупреждают, что TPM можно рассматривать как бэкдор и есть большая вероятность, что доступ к криптографическим ключам имеет Агентство национальной безопасности.

Недавно компания Microsoft объявила, что с января 2015 года поддержка стандарта TPM 2.0 станет обязательной для всех сертифицированных устройств Windows. В конце июня были скорректированы документы для сертификации, в соответствии с новыми требованиями на 2014 и 2015 годы.

UPD 23.08.2013. Федеральное управление по информационной безопасности Германии опубликовало официальное заявление, в котором опровергло информацию о том, что ее эксперты когда-либо предупреждали кого-либо об опасности установки Windows 8, хотя и признали наличие некоторых сомнений относительно связки Windows 8 с аппаратным обеспечением TPM 2.0.