Trusted Platform Module (TPM)
Что такое Trusted Platform Module (TPM)?
Trusted Platform Module (TPM)Стандартизированный микрочип безопасности, припаянный к материнской плате или реализованный в прошивке; обеспечивает аппаратный корень доверия, аттестацию и измеренную загрузку.
TPM — стандартизированный TCG криптопроцессор, дающий аппаратный корень доверия для конечных устройств. Текущий стандарт — TPM 2.0, реализуемый в виде отдельной микросхемы (dTPM), прошивки (fTPM) или виртуально (vTPM). Возможности: генерация и запечатывание ключей, подпись RSA/ECC, измеренная загрузка через PCR, монотонные счётчики, удалённая аттестация. ОС опираются на TPM для BitLocker, Windows Hello, FileVault, dm-verity, LUKS и идентичности устройства. TPM 2.0 обязателен в Windows 11. Ограничения: атаки по побочным каналам на устаревшие прошивки, sniffing шины SPI, ограниченная защита при физическом доступе.
● Примеры
- 01
BitLocker запечатывает ключ шифрования диска в PCR TPM, и диск разблокируется только на доверенной загрузке.
- 02
Облачная ВМ использует vTPM для удалённой аттестации сервису confidential compute.
● Частые вопросы
Что такое Trusted Platform Module (TPM)?
Стандартизированный микрочип безопасности, припаянный к материнской плате или реализованный в прошивке; обеспечивает аппаратный корень доверия, аттестацию и измеренную загрузку. Относится к категории Криптография в кибербезопасности.
Что означает Trusted Platform Module (TPM)?
Стандартизированный микрочип безопасности, припаянный к материнской плате или реализованный в прошивке; обеспечивает аппаратный корень доверия, аттестацию и измеренную загрузку.
Как работает Trusted Platform Module (TPM)?
TPM — стандартизированный TCG криптопроцессор, дающий аппаратный корень доверия для конечных устройств. Текущий стандарт — TPM 2.0, реализуемый в виде отдельной микросхемы (dTPM), прошивки (fTPM) или виртуально (vTPM). Возможности: генерация и запечатывание ключей, подпись RSA/ECC, измеренная загрузка через PCR, монотонные счётчики, удалённая аттестация. ОС опираются на TPM для BitLocker, Windows Hello, FileVault, dm-verity, LUKS и идентичности устройства. TPM 2.0 обязателен в Windows 11. Ограничения: атаки по побочным каналам на устаревшие прошивки, sniffing шины SPI, ограниченная защита при физическом доступе.
Как защититься от Trusted Platform Module (TPM)?
Защита от Trusted Platform Module (TPM) обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Trusted Platform Module (TPM)?
Распространённые альтернативные названия: TPM 2.0.
● Связанные термины
- cryptography№ 981
Secure Boot
Возможность UEFI: проверяет криптографическую подпись каждого компонента загрузки и отказывается запускать загрузчик, ядро или драйвер без подписи доверенного издателя.
- cryptography№ 461
Аппаратный модуль безопасности (HSM)
Защищённое от вскрытия устройство, генерирующее, хранящее и использующее криптографические ключи, не раскрывая операционной системе сам ключевой материал.
- cryptography№ 462
Аппаратный токен
Физическое устройство, хранящее криптографические секреты и выполняющее операции аутентификации; применяется как фактор владения в MFA.
- cryptography№ 248
Криптографический ключ
Секретное или открытое значение высокой энтропии, параметризующее криптографический алгоритм для шифрования, расшифрования, подписи или аутентификации данных.
- cryptography№ 419
FIPS 140 / FIPS 140-3
Федеральный стандарт США, поддерживаемый NIST: задаёт требования безопасности к криптографическим модулям и их сертификации в аккредитованных лабораториях.
- cryptography№ 1260
YubiKey
Семейство аппаратных ключей безопасности Yubico с поддержкой FIDO2, WebAuthn, U2F, PIV-смарткарт, OpenPGP и OTP для устойчивой к фишингу аутентификации.
● См. также
- № 829PKCS#11