Рекомендации по доверенному платформенному модулюTPM recommendations

Относится к:Applies to

  • Windows 10Windows10
  • Windows Server2016Windows Server 2016

В этом разделе приводятся рекомендации по технологии доверенного платформенного модуля (TPM) для Windows10.This topic provides recommendations for Trusted Platform Module (TPM) technology for Windows10.

Описание основных функций доверенного платформенного модуля см. в разделе Обзор технологии доверенного платформенного модуля.For a basic feature description of TPM, see the Trusted Platform Module Technology Overview.

Проектирование и реализация доверенного платформенного модуляTPM design and implementation

Традиционно доверенные платформенные модули (TPM) представляют собой отдельные микросхемы, впаянные в материнскую плату компьютера.Traditionally, TPMs have been discrete chips soldered to a computer’s motherboard. Некоторые реализации позволяют поставщикам оборудования оценивать и сертифицировать TPM отдельно от остальной системы.Such implementations allow the computer’s original equipment manufacturer (OEM) to evaluate and certify the TPM separate from the rest of the system. Хотя отдельные реализации TPM все еще распространены, их использование является проблематичным на тех встроенных устройствах, которые отличаются небольшими размерами или низким энергопотреблением.Although discrete TPM implementations are still common, they can be problematic for integrated devices that are small or have low power consumption. В некоторых более новых реализациях TPM функциональные возможности TPM интегрируются в тот же набор микросхем, который используют другие платформенные компоненты, обеспечивая при этом логическое разделение, аналогичное изолированным микросхемам TPM.Some newer TPM implementations integrate TPM functionality into the same chipset as other platform components while still providing logical separation similar to discrete TPM chips.

Модули TPM являются пассивными: они получают команды и возвращают ответы.TPMs are passive: they receive commands and return responses. Чтобы предоставить доступ ко всем преимуществам TPM, поставщик оборудования должен аккуратно интегрировать модуль TPM в системное оборудование и встроенное ПО. Это позволит модулю отправлять команды и получать ответы.To realize the full benefit of a TPM, the OEM must carefully integrate system hardware and firmware with the TPM to send it commands and react to its responses. Модули TPM изначально были разработаны для обеспечения безопасности и конфиденциальности владельца и пользователей платформы, однако более новые версии обеспечивают безопасность и конфиденциальность непосредственно самого системного оборудования.TPMs were originally designed to provide security and privacy benefits to a platform’s owner and users, but newer versions can provide security and privacy benefits to the system hardware itself. Однако перед использованием в расширенных сценариях модуль TPM необходимо подготовить к работе.Before it can be used for advanced scenarios, however, a TPM must be provisioned. Windows 10 автоматически настраивает TPM, но если пользователи планируют переустановить операционную систему, может потребоваться очистить TPM перед переустановкой, чтобы система могла воспользоваться всеми преимуществами TPM.Windows 10 automatically provisions a TPM, but if the user is planning to reinstall the operating system, he or she may need to clear the TPM before reinstalling so that Windows can take full advantage of the TPM.

Trusted Computing Group (TCG) — некоммерческая организация, которая публикует и поддерживает спецификации доверенного платформенного модуля.The Trusted Computing Group (TCG) is the nonprofit organization that publishes and maintains the TPM specification. Целью TCG является разработка, определение и продвижение нейтральных по отношению к поставщикам, глобальных отраслевых стандартов, которые поддерживают аппаратный корень доверия для взаимодействующих доверенных вычислительных платформ.The TCG exists to develop, define, and promote vendor-neutral, global industry standards that support a hardware-based root of trust for interoperable trusted computing platforms. TCG также публикует спецификации TPM в виде международного стандарта ISO/IEC 11889 с использованием процесса предоставления общедоступной спецификации, которую определяет Совместный технический комитет 1, куда входят представители Международной организации стандартизации (ISO) и Международной электротехнической комиссии (IEC).The TCG also publishes the TPM specification as the international standard ISO/IEC 11889, using the Publicly Available Specification Submission Process that the Joint Technical Committee 1 defines between the International Organization for Standardization (ISO) and the International Electrotechnical Commission (IEC).

Поставщики оборудования внедряют модуль TPM в качестве компонента в доверенную вычислительную платформу например компьютер, планшет или телефон.OEMs implement the TPM as a component in a trusted computing platform, such as a PC, tablet, or phone. Доверенные вычислительные платформы используют TPM, для обеспечения безопасности и конфиденциальности, достичь которых с использованием одного лишь программного обеспечения невозможно.Trusted computing platforms use the TPM to support privacy and security scenarios that software alone cannot achieve. Например, само по себе программное обеспечение не может достоверно сообщить о наличии вредоносного ПО при запуске системы.For example, software alone cannot reliably report whether malware is present during the system startup process. Тесная интеграция между TPM и платформой повышает прозрачность процесса загрузки и поддерживает оценку работоспособности устройства, позволяя надежно измерять и регистрировать программное обеспечение, которое запускает устройство.The close integration between TPM and platform increases the transparency of the startup process and supports evaluating device health by enabling reliable measuring and reporting of the software that starts the device. Реализация TPM в составе доверенной вычислительной платформы формирует аппаратное ядро доверия, что означает, что поведение оборудования является доверенным.Implementation of a TPM as part of a trusted computing platform provides a hardware root of trust—that is, it behaves in a trusted way. Например, если ключ, хранящийся в TPM, имеет свойства, которые запрещают экспорт ключа, этот ключ не может покидать TPM.For example, if a key stored in a TPM has properties that disallow exporting the key, that key truly cannot leave the TPM.

Организация TCG разработала TPM в качестве недорогого массового решения безопасности, которое соответствует требованиям различных клиентских сегментов.The TCG designed the TPM as a low-cost, mass-market security solution that addresses the requirements of different customer segments. Свойства безопасности различаются в зависимости от реализации TPM так же, как в зависимости от сектора различаются требования клиентов и регулирующих органов.There are variations in the security properties of different TPM implementations just as there are variations in customer and regulatory requirements for different sectors. Например, при государственных закупках некоторые правительства четко определяют требования к безопасности модулей TPM, а некоторые — нет.In public-sector procurement, for example, some governments have clearly defined security requirements for TPMs whereas others do not.

Сравнение TPM версии 1.2 и 2.0TPM 1.2 vs. 2.0 comparison

С точки зрения отраслевых стандартов, корпорация Майкрософт остается лидером по стандартизации и переходу на модули TPM 2.0, которые имеют ряд ключевых преимуществ в области алгоритмов, криптографии, иерархии, корневых ключей, авторизации и энергонезависимой оперативной памяти.From an industry standard, Microsoft has been an industry leader in moving and standardizing on TPM 2.0, which has many key realized benefits across algorithms, crypto, hierarchy, root keys, authorization and NV RAM.

Преимущества TPM 2.0Why TPM 2.0?

Продукты и системы на основе TPM 2.0 имеют важные преимущества безопасности по сравнению TPM 1.2, в том числе:TPM 2.0 products and systems have important security advantages over TPM 1.2, including:

  • Спецификации TPM 1.2 позволяют использовать только RSA и алгоритм хэширования SHA-1.The TPM 1.2 spec only allows for the use of RSA and the SHA-1 hashing algorithm.

  • В целях безопасности некоторые организации перестают использовать SHA-1.For security reasons, some entities are moving away from SHA-1. В частности, Национальный институт стандартов и технологий США (NIST) потребовал от многих федеральных агентств перейти на использование SHA-256, начиная с 2014 года, а технологические лидеры, включая Майкрософт и Google, объявили о прекращении с 2017 года поддержки подписывания и сертификатов на основе SHA-1.Notably, NIST has required many federal agencies to move to SHA-256 as of 2014, and technology leaders, including Microsoft and Google have announced they will remove support for SHA-1 based signing or certificates in 2017.

  • TPM 2.0 обеспечивает большую криптографическую гибкость, так как позволяет более гибко работать с криптографическими алгоритмами.TPM 2.0 enables greater crypto agility by being more flexible with respect to cryptographic algorithms.

    • TPM 2.0 поддерживает новые алгоритмы, что может повысить производительность подписи дисков и создания ключей.TPM 2.0 supports newer algorithms, which can improve drive signing and key generation performance. Полный список поддерживаемых алгоритмов см. в разделе Реестр алгоритмов TCG.For the full list of supported algorithms, see the TCG Algorithm Registry. Некоторые доверенные платформенные модули поддерживают не все алгоритмы.Some TPMs do not support all algorithms.

    • Список доступных алгоритмов, которые Windows поддерживает в поставщике хранилища платформы шифрования, см. в разделе Поставщики алгоритмов шифрования CNG.For the list of algorithms that Windows supports in the platform cryptographic storage provider, see CNG Cryptographic Algorithm Providers.

    • TPM 2.0 получил стандартизацию ISO (ISO/IEC 11889:2015).TPM 2.0 achieved ISO standardization (ISO/IEC 11889:2015).

    • Использование TPM 2.0 поможет исключить необходимость внесения изготовителями оборудования исключений в стандартные конфигурации для продажи устройств в некоторых странах и регионах.Use of TPM 2.0 may help eliminate the need for OEMs to make exception to standard configurations for certain countries and regions.

  • TPM 2.0 предоставляет более согласованное взаимодействие при всем разнообразии внедрения.TPM 2.0 offers a more consistent experience across different implementations.

    • Реализации TPM 1.2 различаются параметрами политики.TPM 1.2 implementations vary in policy settings. Это может привести к проблемам с технической поддержкой в связи с различиями политик блокировки.This may result in support issues as lockout policies vary.

    • Политика блокировки TPM 2.0 настраивается Windows для гарантированной защиты от согласованных атак перебором по словарю.TPM 2.0 lockout policy is configured by Windows, ensuring a consistent dictionary attack protection guarantee.

  • Части TPM 1.2 — это дискретные кремниевые компоненты, которые обычно припаяны к системной плате, но модуль TPM 2.0 доступен как дискретный (dTPM) компонент в простом полупроводниковом корпусе, интегрированный компонент в одном или нескольких полупроводниковых корпусах (вместе с другими логическими модулями в одном корпусу) и как компонент на основе встроенного ПО (fTPM), который работает в доверенной среде выполнения (TEE) в системе на кристалле (SoC) общего назначения.While TPM 1.2 parts are discrete silicon components which are typically soldered on the motherboard, TPM 2.0 is available as a discrete (dTPM) silicon component in a single semiconductor package, an integrated component incorporated in one or more semiconductor packages - alongside other logic units in the same package(s) - and as a firmware (fTPM) based component running in a trusted execution environment (TEE) on a general purpose SoC.

Примечание

Доверенный платформенный модуль 2,0 не поддерживается в режимах Legacy и CSM в BIOS.TPM 2.0 is not supported in Legacy and CSM Modes of the BIOS. Устройства с доверенным платформенным модулем 2,0 должны иметь режим BIOS, настроенный как собственный UEFI.Devices with TPM 2.0 must have their BIOS mode configured as Native UEFI only. Параметры модуля поддержки Legacy и совместимости (CSM) должны быть отключены.The Legacy and Compatibility Support Module (CSM) options must be disabled. Для дополнительной защиты включите функцию безопасной загрузки.For added security Enable the Secure Boot feature.

Установленная операционная система на оборудовании в устаревшем режиме будет прерывать загрузку операционной системы при смене режима BIOS на UEFI.Installed Operating System on hardware in legacy mode will stop the OS from booting when the BIOS mode is changed to UEFI. Используйте средство MBR2GPT перед изменением режима BIOS, чтобы подготовить операционную систему и диск для поддержки UEFI.Use the tool MBR2GPT before changing the BIOS mode which will prepare the OS and the disk to support UEFI.

Дискретный, интегрированный TPM или TPM в виде встроенного ПО?Discrete, Integrated or Firmware TPM?

Существует три варианта реализации TPM:There are three implementation options for TPMs:

  • дискретная микросхема TPM как отдельный компонент в собственном полупроводниковом корпусе;Discrete TPM chip as a separate component in its own semiconductor package

  • интегрированное решение TPM, использующее специальное оборудование, интегрированное в один или несколько полупроводниковых корпусов, но логически отделенное от других компонентов;Integrated TPM solution, using dedicated hardware integrated into one or more semiconductor packages alongside, but logically separate from, other components

  • решение TPM на основе встроенного ПО, работающее в режиме доверенного выполнения вычислительного модуля общего назначения.Firmware TPM solution, running the TPM in firmware in a Trusted Execution mode of a general purpose computation unit

Windows использует любой совместимый модуль TPM одинаково.Windows uses any compatible TPM in the same way. Корпорация Майкрософт не отдает предпочтения тем или иным видам реализации TPM. Существует развитая экосистема доступных решений TPM, которые удовлетворяют всем потребностям.Microsoft does not take a position on which way a TPM should be implemented and there is a wide ecosystem of available TPM solutions which should suit all needs.

Имеет ли модуль TPM какое-либо значение для потребителей?Is there any importance for TPM for consumers?

Для конечных потребителей TPM не заметен, но по-прежнему очень важен.For end consumers, TPM is behind the scenes but is still very relevant. TPM используется для Windows Hello, Windows Hello для бизнеса и, в будущем, станет компонентом многих других ключевых функций обеспечения безопасности в Windows.TPM is used for Windows Hello, Windows Hello for Business and in the future, will be a component of many other key security features in Windows. TPM защищает PIN-код, позволяет шифровать пароли и служит залогом безопасности при взаимодействии пользователей с Windows 10.TPM secures the PIN, helps encrypt passwords, and builds on our overall Windows 10 experience story for security as a critical pillar. Использование Windows на системе с доверенным платформенным модулем TPM обеспечивает более глубокий и широкий уровень обеспечения безопасности.Using Windows on a system with a TPM enables a deeper and broader level of security coverage.

Windows 10 и соответствие модуля TPM 2.0 нормативным требованиямTPM 2.0 Compliance for Windows 10

Windows10 для настольных выпусков (домашняя, профессиональная, Корпоративная и для образовательных учреждений)Windows10 for desktop editions (Home, Pro, Enterprise, and Education)

  • С 28 июля 2016 г. все новые модели, линейки и серии устройств (или если вы значительно обновляете конфигурацию оборудования существующей модели, линии или серии, например меняете ЦП или графическую карту) должны иметь включенный по умолчанию модуль TPM 2.0 (сведения см. в разделе 3.7 на странице Минимальные требования к оборудованию).Since July 28, 2016, all new device models, lines or series (or if you are updating the hardware configuration of a existing model, line or series with a major update, such as CPU, graphic cards) must implement and enable by default TPM 2.0 (details in section 3.7 of the Minimum hardware requirements page). Требование в отношении включения TPM 2.0 распространяется только на новые устройства, которые производятся.The requirement to enable TPM 2.0 only applies to the manufacturing of new devices. Рекомендации TPM в отношении конкретных компонентов Windows см. в разделе TPM и компоненты Windows.For TPM recommendations for specific Windows features, see TPM and Windows Features.

IoT БазоваяIoT Core

  • TPM не является обязательным компонентом IoT Базовая.TPM is optional on IoT Core.

Windows Server2016Windows Server2016

  • Доверенный платформенный модуль не является обязательным компонентом SKU Windows Server, если только SKU не должно соответствовать дополнительным квалификационным критериям (AQ) для сценария Host Guardian Services, в случае чего наличие TPM 2.0 является обязательным.TPM is optional for Windows Server SKUs unless the SKU meets the additional qualification (AQ) criteria for the Host Guardian Services scenario in which case TPM 2.0 is required.

TPM и компоненты WindowsTPM and Windows Features

В следующей таблице указано, какие компоненты Windows нуждаются в поддержке доверенного платформенного модуля.The following table defines which Windows features require TPM support.

Компоненты WindowsWindows Features Требуется протокол TPMTPM Required Поддерживает TPM 1.2Supports TPM 1.2 Поддерживает TPM 2.0Supports TPM 2.0 СведенияDetails
Измеряемая загрузкаMeasured Boot ДаYes ДаYes ДаYes Для измеряемой загрузки требуется TPM 1.2 или 2.0 и безопасная загрузка UEFI.Measured Boot requires TPM 1.2 or 2.0 and UEFI Secure Boot
BitLockerBitLocker НетNo ДаYes ДаYes Поддерживаются доверенные платформенные модули 1,2 или 2,0, но рекомендуется использовать доверенный платформенный модуль 2,0.TPM 1.2 or 2.0 are supported but TPM 2.0 is recommended. Для автоматического шифрования устройств требуется современный режим Standby , включая поддержку доверенного платформенного модуля 2,0Automatic Device Encryption requires Modern Standby including TPM 2.0 support
Шифрование устройстваDevice Encryption ДаYes Н/ДN/A ДаYes Для шифрования устройства требуется сертификация текущего режима ожидания/режима ожидания с подключением, для которой необходим модуль TPM 2.0.Device Encryption requires Modern Standby/Connected Standby certification, which requires TPM 2.0.
Элемент управления приложением "Защитник Windows" (Device Guard)Windows Defender Application Control (Device Guard) НетNo ДаYes ДаYes
System Guard в Защитнике WindowsWindows Defender System Guard ДаYes НетNo ДаYes
Credential GuardCredential Guard НетNo ДаYes ДаYes Windows 10 версии 1507 (срок службы завершился в мае 2017 года) поддерживала только TPM 2.0 для Credential Guard.Windows 10, version 1507 (End of Life as of May 2017) only supported TPM 2.0 for Credential Guard. Начиная с Windows 10 версии 1511, поддерживаются TPM 1.2 и 2.0.Beginning with Windows 10, version 1511, TPM 1.2 and 2.0 are supported.
Аттестация работоспособности устройстваDevice Health Attestation ДаYes ДаYes ДаYes
Windows Hello/Windows Hello для бизнесаWindows Hello/Windows Hello for Business НетNo ДаYes ДаYes Присоединение к Azure AD поддерживает обе версии TPM, но требует использования кода проверки подлинности сообщения с использованием хэширования с ключом (HMAC) и сертификата ключа подтверждения (EK) для поддержки аттестации ключей.Azure AD join supports both versions of TPM, but requires TPM with keyed-hash message authentication code (HMAC) and Endorsement Key (EK) certificate for key attestation support.
Безопасная загрузка UEFIUEFI Secure Boot НетNo ДаYes ДаYes
Поставщик хранилища ключей поставщика шифрования платформы TPMTPM Platform Crypto Provider Key Storage Provider ДаYes ДаYes ДаYes
Виртуальная смарт-картаVirtual Smart Card ДаYes ДаYes ДаYes
Хранилище сертификатовCertificate storage НетNo ДаYes ДаYes Модуль TPM требуется только в случае хранения в нем сертификата.TPM is only required when the certificate is stored in the TPM.
AutoPilotAutopilot НетNo Н/ДN/A ДаYes Если вы планируете развернуть сценарий, для которого требуется доверенный платформенный модуль (например, белый Glove и режим автоматического развертывания), необходимо использовать встроенное по TPM 2,0 и UEFI.If you intend to deploy a scenario which requires TPM (such as white glove and self-deploying mode), then TPM 2.0 and UEFI firmware are required.
SecureBIOSecureBIO ДаYes НетNo ДаYes Требуется встроенное по для TPM 2,0 и UEFI.TPM 2.0 and UEFI firmware is required.
DRTMDRTM ДаYes НетNo ДаYes Требуется встроенное по для TPM 2,0 и UEFI.TPM 2.0 and UEFI firmware is required.

Состояние OEM касательно доступности систем TPM 2.0 и сертифицированных компонентовOEM Status on TPM 2.0 system availability and certified parts

Пользователи государственных учреждений и корпоративные клиенты в регулируемых отраслях могут руководствоваться стандартами покупки, которые требуют использования общих сертифицированных компонентов TPM.Government customers and enterprise customers in regulated industries may have acquisition standards that require use of common certified TPM parts. В результате изготовители оборудования, которые предоставляют устройства, могут столкнуться с необходимостью использования только сертифицированных компонентов TPM в системах коммерческого уровня.As a result, OEMs, who provide the devices, may be required to use only certified TPM components on their commercial class systems. За дополнительными сведениями обратитесь к OEM или поставщику данного оборудования.For more information, contact your OEM or hardware vendor.

Статьи по темеRelated topics