可信平台模块(TPM)
可信平台模块(TPM) 是什么?
可信平台模块(TPM)由 TCG 标准化的安全芯片,焊接在主板上或以固件方式实现,提供基于硬件的密钥存储、远程证明与度量启动。
TPM 是 TCG 标准化的安全协处理器,为终端安全提供硬件信任根。当前标准为 TPM 2.0,有独立芯片(dTPM)、固件实现(fTPM)与虚拟化(vTPM)等形态。其能力包括密钥生成与密封、RSA/ECC 签名、基于 PCR 的度量启动、单调计数器以及远程证明。操作系统借助 TPM 锚定 BitLocker、Windows Hello、FileVault、dm-verity、LUKS 及设备身份。Windows 11 要求支持 TPM 2.0。局限性包括旧固件的旁路攻击、对未加密 SPI 总线的 TPM 嗅探攻击,以及在物理接触者面前防护有限。
● 示例
- 01
BitLocker 将磁盘加密密钥封装到 TPM PCR,只有在受信任启动路径时才解锁。
- 02
云虚拟机使用 vTPM 配合机密计算服务进行远程证明。
● 常见问题
可信平台模块(TPM) 是什么?
由 TCG 标准化的安全芯片,焊接在主板上或以固件方式实现,提供基于硬件的密钥存储、远程证明与度量启动。 它属于网络安全的 密码学 分类。
可信平台模块(TPM) 是什么意思?
由 TCG 标准化的安全芯片,焊接在主板上或以固件方式实现,提供基于硬件的密钥存储、远程证明与度量启动。
可信平台模块(TPM) 是如何工作的?
TPM 是 TCG 标准化的安全协处理器,为终端安全提供硬件信任根。当前标准为 TPM 2.0,有独立芯片(dTPM)、固件实现(fTPM)与虚拟化(vTPM)等形态。其能力包括密钥生成与密封、RSA/ECC 签名、基于 PCR 的度量启动、单调计数器以及远程证明。操作系统借助 TPM 锚定 BitLocker、Windows Hello、FileVault、dm-verity、LUKS 及设备身份。Windows 11 要求支持 TPM 2.0。局限性包括旧固件的旁路攻击、对未加密 SPI 总线的 TPM 嗅探攻击,以及在物理接触者面前防护有限。
如何防御 可信平台模块(TPM)?
针对 可信平台模块(TPM) 的防御通常结合技术控制与运营实践,详见上方完整定义。
可信平台模块(TPM) 还有哪些其他名称?
常见的别称包括: TPM 2.0。
● 相关术语
- cryptography№ 981
安全启动(Secure Boot)
UEFI 提供的功能,会校验每个启动组件的加密签名,拒绝运行未由可信权威签名的引导程序、内核或驱动。
- cryptography№ 461
硬件安全模块(HSM)
防篡改的硬件设备,在不向操作系统暴露原始密钥材料的前提下生成、保管并使用加密密钥。
- cryptography№ 462
硬件令牌(Hardware Token)
存储加密密钥并执行认证操作的物理设备,在多因素认证中作为持有因素使用。
- cryptography№ 248
密码学密钥
高熵的秘密或公开值,用于参数化加密算法,以加密、解密、签名或认证数据。
- cryptography№ 419
FIPS 140 / FIPS 140-3
由 NIST 维护的美国联邦标准,规定加密模块的安全要求,并通过授权实验室进行认证。
- cryptography№ 1260
YubiKey
Yubico 推出的硬件安全密钥系列,支持 FIDO2、WebAuthn、U2F、PIV 智能卡、OpenPGP 及 OTP 等协议,实现抗钓鱼认证。
● 参见
- № 829PKCS#11