TPM-Empfehlungen

  • Artikel

Dieses Thema enthält Empfehlungen für die TPM (Trusted Platform Module)-Technologie für Windows 10.

Übersicht

Die TPM (Trusted Platform Module)-Technologie stellt hardwarebasierte, sicherheitsbezogene Funktionen bereit. Das TPM verfügt über einen sicherheitsbezogenen Krypto-Prozessor zur Ausführung kryptografischer Vorgänge auf unterschiedlichen Geräten und mit verschiedenen Formfaktoren. Es umfasst mehrere physische Sicherheitsmechanismen, die Schadsoftware daran hindern, die Sicherheitsfunktionen des TPMs zu manipulieren. Die wichtigsten Vorteile der TPM-Technologie bestehen in ihren Möglichkeiten. Sie können:

  1. geschützte Kryptografieschlüssel generieren, speichern und verwenden
  2. TPM-Technologie für die Plattformgeräteauthentifizierung nutzen. Sie verwenden dazu einen eindeutigen Endorsement Key (EK) und
  3. die Plattformintegrität verbessern, indem Sicherheitsmessungen vorgenommen und gespeichert werden.

Die häufigsten TPM-Funktionen werden für Messungen der Systemintegrität sowie für die Erstellung und Verwendung von Schlüsseln verwendet. Während des Systemstarts kann der geladene Startcode (einschließlich Firmware- und Betriebssystemkomponenten) gemessen und im TPM aufgezeichnet werden. Mithilfe der Integritätsmessungen kann nachgewiesen werden, wie ein System gestartet wurde. Darüber hinaus stellen sie sicher, dass ein TPM-basierter Schlüssel erst verwendet wird, nachdem das System mit der richtigen Software gestartet wurde.

In den Spezifikationen der Trusted Computing Group (TCG) sind unterschiedliche TPM-Versionen definiert.

Hinweis  

Einige Informationen beziehen sich auf die Vorabversion, die vor der kommerziellen Freigabe grundlegend geändert werden kann. Microsoft übernimmt keine Garantie, weder ausdrücklich noch stillschweigend, für die hier bereitgestellten Informationen.

 

Vergleich zwischen TPM 1.2 und 2.0

Microsoft war branchenweit führend bei der Umstellung und Standardisierung auf TPM 2.0. Wie aus der folgenden Tabelle ersichtlich, bietet TPM 2.0 viele wichtige Vorteile in Bezug auf Algorithmen, Kryptografie, Hierarchie, Stammschlüssel, Autorisierung und NV-RAM.

Gründe für TPM 2.0

TPM 2.0-Produkte und -Systeme bieten wesentliche Sicherheitsvorteile gegenüber TPM 1.2. Einige Beispiele:

  • Die TPM 1.2-Spezifikation lässt nur die Verwendung des RSA- und SHA-1-Hashalgorithmus zu.
  • Aus Sicherheitsgründen rücken einige Entitäten inzwischen von SHA-1 ab. Insbesondere das NIST (National Institute of Standards and Technology) hat viele öffentliche Behörden 2014 dazu veranlasst, auf SHA-256 umzusteigen, und Technologieführer wie Microsoft und Google haben angekündigt, dass sie SHA-1-basierte Signaturen oder Zertifikate ab 2017 nicht mehr unterstützen werden.
  • TPM 2.0 ermöglicht eine höhere kryptografische Agilität durch die flexiblere Unterstützung kryptografischer Algorithmen.
    • TPM 2.0 unterstützt neben SHA-256 auch ECC, wobei der letztere Standard die Leistung bei der Signierung und Schlüsselgenerierung wesentlich steigert.
    • TPM 2.0 wurde nach ISO standardisiert (ISO/IEC 11889:2015).
    • TPM 2.0 kann Vorteile für OEMs bringen, das diese für bestimmte Länder und Regionen keine Ausnahmen von Standardkonfigurationen mehr bereitstellen müssen.
  • TPM 2.0 bietet eine einheitliche Benutzererfahrung über verschiedene Implementierungen.
    • TPM 1.2-Implementierungen in diskreten und firmwarebasierten Lösungen weisen abweichende Richtlinieneinstellungen auf. Abweichende Sperrrichtlinien können die Unterstützung erschweren.
    • Die standardisierte TPM 2.0-Richtlinienanforderung sorgt geräteübergreifend für eine einheitliche Sperrerfahrung, sodass Windows eine bessere End-to-End-Benutzererfahrung bieten kann.
  • Während es sich bei TPM 1.2 um separate Siliziumchips handelte, die in der Regel auf der Hauptplatine festgelötet waren, ist TPM 2.0 als diskrete (dTPM) Siliziumkomponente und als Firmware (fTPM)-basierte Komponente verfügbar, die in einer vertrauenswürdigen Ausführungsumgebung (Trusted Execution Environment, TEE) auf dem Haupt-SoC des Systems ausgeführt wird:
    • Bei Intel-Chips ist dies die Intel Management Engine (ME) oder die Converged Security Engine (CSE).
    • Bei AMD-Chips ist dies der AMD Security Processor.
    • Bei ARM-Chips ist dies eine Trustzone Trusted Application (TA).
    • Bei einem firmwarebasierten TPM für Windows-Desktopsysteme stellt der Prozessorhersteller den OEMs die firmwarebasierte TPM-Implementierung zusammen mit anderer Chipfirmware bereit.

Diskretes oder firmwarebasiertes TPM?

Diskrete TPMs und Firmware-TPMs werden von Windows auf die gleiche Weise verwendet. Aus funktioneller Sicht macht es für Windows keinen Unterschied, welche dieser Optionen verwendet wird.

Was die Sicherheit angeht, weisen das diskrete TPM und das Firmware-TPM die gleichen Merkmale auf.

  • Beide verwenden eine hardwarebasierte sichere Ausführungsumgebung.
  • Beide verwenden Firmware für Teile der TPM-Funktionalität.
  • Beide sind mit manipulationssicheren Funktionen ausgestattet.
  • Beide haben jeweils charakteristische Sicherheitseinschränkungen/-risiken.

Weitere Informationen finden Sie unter fTPM: eine firmwarebasierte TPM 2.0-Implementierung.

Zukünftige TPM 2.0-Kompatibilität für Windows 10

Alle ausgelieferten Windows 10-Geräte gleich welchen SKU-Typs müssen ab dem 28. Juli 2016 diskretes oder firmwarebasiertes TPM 2.0 verwenden. Diese Anforderung wird durch unser Programm für die Windows-Hardwarezertifizierung durchgesetzt.

Windows 10-Desktopeditionen (Home, Pro, Enterprise und Education)

  • Für Windows 10 gilt wie für Windows 8, dass alle verbundenen Standbysysteme TPM 2.0-Unterstützung enthalten müssen.
  • Wenn in Windows 10 oder höher ein SoC mit integriertem fTPM2.0 verwendet wird, muss das Gerät mit fTPM FW-Unterstützung oder diskretem TPM 1.2 oder 2.0 ausgeliefert werden.
  • Ab dem 28. Juli 2016 müssen alle Windows 10-Desktopgeräte über eine TPM 2.0-Implementierung verfügen und TPM-fähig sein.

Windows 10 Mobile

  • Alle mit Windows 10 Mobile ausgelieferten Geräte müssen über eine TPM 2.0-Implementierung verfügen und TPM-fähig sein.

IoT Core

  • TPM ist optional für IoT Core erhältlich.

Windows Server 2016 Technical Preview

  • TPM ist optional für Windows Server-SKUs erhältlich, es sei denn, die SKU erfüllt die zusätzlichen Qualifizierungskriterien für das Host Guardian Services-Szenario, das TPM 2.0 erforderlich macht.

TPM und Windows-Features

In der folgenden Tabelle sind die Windows-Features aufgeführt, die TPM-Unterstützung erfordern. Einige Features gelten nicht für Windows 7/8/8.1 und sind entsprechend gekennzeichnet.

Windows-Features Windows 7/8/8.1 TPM 1.2 Windows 10 TPM 1.2 Windows 10 TPM 2.0 Details
Kontrollierter Start Erforderlich Erforderlich Erforderlich Der kontrollierte Start erfordert TPM 1.2 oder 2.0 und den sicheren UEFI-Start.
Bitlocker Erforderlich Erforderlich Erforderlich TPM 1.2 oder höher oder ein USB-Wechselspeichergerät, z. B. ein USB-Speicherstick, ist erforderlich.
Passport: AADJ-Domänenbeitritt n/v Erforderlich Erforderlich Unterstützt beide TPM-Versionen, erfordert jedoch TPM mit HMAC- und EK-Zertifikat für die Unterstützung des Schlüsselnachweises.
Passport: MSA oder lokales Konto n/v Nicht erforderlich Erforderlich TPM 2.0 mit HMAC- und EK-Zertifikat ist für die Unterstützung des Schlüsselnachweises erforderlich.
Geräteverschlüsselung n/v Nicht erforderlich Erforderlich TPM 2.0 ist für alle InstantGo-Geräte erforderlich.
Device Guard/Konfigurierbare Codeintegrität n/v Optional Optional
Credential Guard n/v Erforderlich Erforderlich Für Windows 10, Version 1511, wird TPM 1.2 oder 2.0 dringend empfohlen. Wenn Sie kein TPM installiert haben, ist Credential Guard trotzdem aktiviert, die Schlüssel zum Verschlüsseln von Credential Guard werden jedoch nicht durch das TPM geschützt.
Nachweis über Geräteintegrität n/v Nicht erforderlich Erforderlich
Windows Hello n/v Nicht erforderlich Nicht erforderlich
Sicherer UEFI-Start Nicht erforderlich Nicht erforderlich Nicht erforderlich
Plattform-Schlüsselspeicheranbieter n/v Erforderlich Erforderlich
Virtuelle Smartcard n/v Erforderlich Erforderlich
Zertifikatspeicher (TPM-gebunden) n/v Erforderlich Erforderlich

 

Chipsatzoptionen für TPM 2.0

Es gibt viele Hersteller von diskreten TPMs und Firmware-TPMs.

DiskretesTPM

Hersteller
  • Infineon
  • Nuvoton
  • NationZ
  • ST Micro

 

Firmware-TPM

Hersteller Chipsatz
AMD
  • Mullins
  • Beema
  • Carrizo
Intel
  • Clovertrail
  • Haswell
  • Broadwell
  • Skylake
  • Baytrail
Qualcomm
  • MSM8994
  • MSM8992
  • MSM8952
  • MSM8909
  • MSM8208

 

OEM-Feedback und Status zur TPM 2.0-Systemverfügbarkeit

Zertifizierte TPM-Komponenten

Regierungsbehörden und Unternehmenskunden in regulierten Branchen unterliegen möglicherweise Erwerbsstandards, die die Nutzung gängiger zertifizierter TPM-Komponenten voraussetzen. Die OEM-Lieferanten von Geräten können deshalb verpflichtet werden, kommerziell nutzbare Systeme nur mit zertifizierten TPM-Komponenten auszuliefern. Anbieter von diskretem TPM 2.0 streben die Zertifizierung für Ende 2015 an.

Unterstützung für Windows 7 32-Bit

Obwohl Windows 7 veröffentlicht wurde, bevor die TPM 2.0-Spezifikation bzw. verwandte Produkte in Umlauf kamen, hat Microsoft das Betriebssystem Windows 7 64-Bit nachträglich mit TPM 2.0-Unterstützung ausgestattet und im Sommer 2014 als herunterladbaren Windows-Hotfix für UEFI-basierte Windows 7-Systeme verfügbar gemacht. Microsoft plant derzeit keine Backport-Unterstützung für Windows 7 32-Bit.