Постараюсь коротко объяснить что это такое, зачем он нужен, какие преимущества он даёт и зачем Microsoft в принципе решили начать его требовать.
Что такое вообще TPM? Если коротко, то изначально TPM это специальный выделенный чип на материнской плате ноутбука или ПК. Его предназначение это хранение и работа с криптографическим материалом.
Если упростить, то типичный криптомодуль, которым является TPM, может делать всего несколько операций:
- Генерировать и хранить секретные ключи
- Шифровать и расшифровывать любые данные
- Подписывать и верифицировать запросы на электронную подпись
Отсюда следует, что подобные криптомодули не могут физически выдать вам секретный ключ или ключи.
Тут-то мы и получаем основное преимущество. Обычно все секретные ключи хранятся непосредственно в файловой системе вашего ПК, где-то на диске C:\, а в случае с TPM они генерируются и хранятся исключительно внутри него.
Отсюда следует простой вывод: любой софт, исполняемый с правами администратора может при желании украсть любые ключики с вашего ПК, о существовании, которых вы даже не подозреваете.
При использовании TPM такой трюк не пройдет. Что-то расшифровать, подписать -- пожалуйста, но сам ключ не отдаст.
Возможно кто-то из вас по работе встречался с красными "флешками" Рутокен. Это и есть типичный криптомодуль, правда переносной. Он обладает теми же качествами, что я перечислил выше.
Внимательный читатель может задаться вопросом: а зачем злоумышленику тогда сам секретный ключ, если он сможет просто просить модуль расшифровать или подписать что ему нужно?
Причин по сути две:
- Обладание ключом позволит производить операции с ним, даже когда ваш компьютер выключен или не подключен к интернету. Украл ключ, отправил куда надо и можно забыть о жертве, она уже в кармане.
- Современные TPM при запросе на операцию расшифровывания или подписи обычно требуют действие от пользователя. В Windows для этого предусмотрена технология Windows Hello. Таким образом как только какое-то приложение хочет к примеру расшифровать (или подписать) вашим ключом какое-то сообщение, Windows сначала запросит PIN, пароль или биометрическую информацию (отпечаток пальца или скан лица). Прошу заметить, что описанная защита реализована аппаратно на уровне TPM и её нельзя обойти на софтверном уровне.
Примеры использования
Хорошо, а на практике зачем этот TPM нужен? Жили без него раньше и не тужили.
Давайте приведу очевидный пример использования криптомодуля в современной технике. За пример я возьму современный смартфон, потому что практически во всех современных смартфонах есть выделенный для этого чип.
Все мы скорее всего, так или иначе пользуемся онлайн-банкингом и думаю все имели дело с биометрической авторизацией при входе в приложение.
Объясню на пальцах как работает механизм входа:
- Приложение делает запрос на сервер и просит прислать сервер случайную строку.
- Телефон делает запрос в криптомодуль с просьбой подписать электронной подписью эту случайную строку.
- Криптомодуль отвечает, что без биометрической авторизации никакой подписи не будет.
- Пользователь прикладывает палец / показывает лицо и в случае успеха криптомодуль возвращает готовую подпись.
- Приложение делает повторный запрос на сервер и прикладывает подпись.
- Сервер верифицирует, что подпись выписана именно вашим криптомодулем (который был зарегистрирован у них на сервере во время регистрации в приложении).
Как можно увидеть, приложение всё это время не имеет ни малейшего понятия о секретном ключе, хранимом внутри чипа. Безопасно? Безопасно. Кстати напомню, в Windows 11 можно будет запускать Android-приложения, которые скорее всего смогут также как и на смартфонах пользоваться TPM.
Второй пример: BitLocker. Эта технология позволяет полностью зашифровать системный раздел, при этом учитывая аппаратное ускорение AES-шифрования в современных процессорах и быстрые SSD диски, производительность в таких системах практически не падает. На многих современных ноутбуках с предустановленной Windows 10, BitLocker включен по умолчанию.
Как можно понять ключ для расшифровки хранится не в ФС вашего ПК, а опять же в TPM. Безопасно? Безопасно. Можно даже попросить BitLocker запрашивать PIN или пароль ещё до запуска операционной системы.
Третий пример: passwordless authentication или по-русски беспарольная аутентификация. То есть вход на необходимые ресурсы без пароля. В качестве механизма верификации, что вы это вы, используется механизм, похожий на описанный в первом примере с онлайн-банкингом.
WebAuthn позволит вам регистрироваться и входить на сайтах исключительно с помощью логина
На данный момент уже все браузеры поддерживают WebAuthn API для работы со стандартом FIDO2. Этот API позволит вам регистрироваться и входить на сайтах исключительно с помощью логина и секретных ключей, которые хранятся в TPM или на специальном аппаратном токене (как правило в виде USB-флешки). Разумеется не помешает поставить на учетную запись и классический пароль, но согласитесь, вход исключительно с помощью логина звучит весьма заманчиво? А самое интересное, что при использовании криптомодуля такой механизм авторизации куда безопасней любого пароля.
Проверить как работает технология WebAuthn можно прямо сейчас на демосайте. Для работы требуется настроенный Windows Hello с биометрией.
Кстати, современные ноутбуки сейчас вовсю оснащаются Windows Hello, а именно камерами с поддержкой распознавания лица и дактилоскопическими сканерами. Поэтому приход WebAuthn пришелся как раз кстати.
Требование TPM в новой версии Windows выглядит последовательным шагом со стороны Microsoft. Ведь они требуют TPM 2.0 на борту любой машины, на которую предустанавливается Windows 10 аж с июля 2016 года. По большому счету это касается всех ноутбуков, моноблоков и ПК с Windows 10 из коробки, которые были произведены позже этой даты. Спустя 5 лет релиз новой ОС выглядит как идеальный момент для этого изменения.
Остальным пользователям в большинстве случаев понадобится просто включить fTPM (Firmware TPM или Intel PTT). Это TPM, который эмулируется вашим процессором AMD или Intel. То есть ключи будут хранится не в специальном чипе, а где-то внутри микросхемы UEFI. И да, это всё ещё намного безопасней, чем где-то в файловой системе.
Поэтому отставить панику. Если ваш компьютер 2012-2013 года выпуска и позже, то с очень высокой вероятностью у вас всё в порядке и максимум потребуется пара манипуляций в BIOS в вашей материнской платы.
Надеюсь было интересно, спрашивайте вопросы, поправляйте, если где приврал или опечатался.
Ждём сборку от Васяна с удалённым хламом винды, отключенной телеметрией и без проверки TPM, как обычно
2021г: идёт
Marat Ibragimov: ждёт левую сборку винды
Попробуйте установить на 2 идентичные виртуалки оригинальный образ и обрезанную сборку. Попользуйтесь полчаса и той и той, и вы вксьма удивитесь, что по итогу потребление памяти будет идентичным, разница лишь в занимаемой ПЗУ, потребление ОЗУ будет примерно равным, а учитывая вероятность получить что-нибудь не работающее в итоге на порезанной сборке - оно вам надо?
При чем эти Васяны своего же "хлама" добавят
Так уже есть, просто на флешку в папку с образом закинь 1 файлик и всё
Комментарий недоступен
146% в комплекте идет процедура миграции с материнки на материнку.
При создании ключа можно сделать бэкап и сохранить его на флешку. Но после импорта ключа в TPM обратно его не вытащить, да. Поэтому бэкап нужно будет хранить очень осторожно.
Никто не заставляет тебя шифровать свои данные
Диски по умолчанию не шифруются. Bitlocker выключен по умолчанию всегда. Ничего не потеряется. TPM используется только в организациях. С чего ты решил что винда что то шифрует. Это для её внутренней безопасности используется начиная с Windows 10.
Майнер шоли? Как можно повредить материнку? Ноут уронить разве что.
но куча процессоров 2015 и моложе не поддерживаются
если смотреть на список майкрософт
Список неправильный. Спокойно ставится на "неподдерживаемые" процы. Главное правильно настроенный биос
Комментарий недоступен
Комментарий недоступен
К счастью это опционально, насколько я знаю.
Но по факту основное его применение это DRM. Битлокер и с USB ключами работает. Так что для пользователя он ничего положительного не дает. И не все системы 2015 го года поддерживат. У меня мамка 2020го, и только разьем для модуля имеется.
Сейчас возможно.
В статье я специально привел пример с онлайн-банкингом, но вы его будто игнорируете :(
У меня мамка 2020го, и только разьем для модуля имеется.В твоём случае поможет fTPM.
Комментарий недоступен
Нахуй все эти электронные ключи, ничего хорошего они не несли и не несут
Они несут хорошее для МС.
Больше контроля над пекой со стороны МС и меньше контроля со стороны владельца пеки.
Разве это не хорошо?
ключи fTPM хранятся не внутри процессора (это как вообще?), а в микросхеме UEFI т.к. именно она обладает возможностью записи и имеет автономное питание.
А что будет, если батарейка на материнской плате сядет или надо будет сбросить параметры Биос? Ключи тогда тоже навернутся?
Спасибо, скорее всего вы правы.
А не может, какая-то прога, которая твой фэйс и всю биометрию, украсть и выдать это за запрос для ключа при авторизации?
Нет.
API Windows, Android и iOS не выдает никакой информации о лице или отпечатке. Оно просто одобряет запрос на запрошенную криптографическую операцию.
Подобные действия возможны только в результате значительного перелопачивания ОС.
Как специалист по информационной безопасности, могу на 100% заверить, что у сторонних разработчиков таких данных нет и не будет. А вот Microsoft, Apple, Google и разработчики телефонов Android такие данные в теории могут собирать :)
Всё ещё непонятно зачем какому-нибудь алексу, который отродясь не ставил пароль на винду, нужен этот TPM. На корпоративных машинах он безусловно нужен и используется. Ну так зачем прямо со всех его требовать, когда его могут ставить и использовать лишь те кому надо?
Чтобы компьютеры миллионов этих алексов не стали зомби в чьём-то ботнете, и не ломали сервисы майкростофт.
Ребят, спасибо за статью и комменты. С огромным интересом прочитал. Как будто на хабр в лучшие годы попал :)
Лёгким движением руки ваш ПЕКА превращается...
Превращается...
В закрытую систему типа х-бокса.
Где ты не покопаешься в потрошках системы, не поставишь тот софт, который не одобрила мс и вообще перестанешь управлять происходящим на своей пеке.
Пишу с вин-7, кстати. Полёт стабильный.
Шапочку из фольги не забудь только снять
Комментарий недоступен
Можно конечно, как и любым ЭП. Это ж по сути уникальный идентификатор тебя любимого.
Кстати и с читингом.
А ещё TPM может использоваться для современных систем защиты ПО, ака Denuvo. Более того, эта фича уже использовалась в релизах игр в MS Store (Halo 4, например), когда файлы игры шифруются ключом недоступным пользователю. А теперь он будет совсем-совсем недоступным ).
Да, такое возможно. Но всё таки пиратство это плохо, разве нет? :)
Предчувствую гемор при упдейте компа или при покупке нового
Это бэк дор для ФБР и ЦРУ ха ха ха в связи с участившимися хакерскими атаками русских хакеров. Через этот чип который невозможно удалить или заблочить русских хакеров будут вычислять на раз-два... ха ха ха
Как ни странно - это может оказаться чем-то реальным, а не только теорией заговора от поехавших энелошников.
Потому что для лицензирования в большинстве стран устройства шифрования, в нём обязана быть дверь для спецслужб. А вот в каком-нибудь проекте шифрования с открытим исходным кодом - такой лазейки не будет.
Навязывая этот чип всем, Майки вытесняют прочие средства шифрования, прозрачные, с открытым исходным кодом и гарантированно стойкие.
Продвигая закрытую систему, которую никто не проверит на стойкость.
Если не путаю то раньше к нам железо с TPM не возили официально. Мы для тестирования софта возили из Америки.
Комментарий недоступен
Комментарий недоступен
Что-то вроде того. Вообще она это давно освоила, но надеюсь Windows 11 будет первой Windows где это будет обязательным требованием.
Аналог Т2 это Pluton
Херня какаето. Раньше без етого пмс жили и норм.
Он нам на хххуй не нужон, ТПП вашшш!
Жаль что мой проц не поддерживается, хотя относительно свежий, ну ничего, посижу на десятке..
Добавят не переживай.
Мой i5 2400 даже десяткой не поддерживается, сижу на ней почти со старта)
Так что даже если и не добавят в поддерживаемые, есть шанс что все будет работать.
Комментарий недоступен
Секретные ключи это конечно хорошо и очень мне нужны (нет), но может кто-нибудь в двух словах объяснить, в чем вообще смысл обновляться сейчас? С десяткой это был дх12, а тут что?
Тут как и всегда: майки будут искусственно рушить совместимость со своими старыми операционками.
Из известного:
1. Все визуалстудии оч не любят собирать код под старые операционки. Без танцев с бубнами не соберёшь. Говорю как человек, работавший на студиях.
Следствие из этого - большинство новых программ (не только игр) не будет совместимо со старыми операционками. Не потому что их авторы так хотят, а потому что они пользуются визуалстудией а она вот так собирает.
2. Все продукты принадлежащий майкам будут пересобраны так, что откажутся работать на старых операционках. Например все игры стима тех студий, которые купили майки, сегодня запускаются только под вин-10.
3. Будет давление на производителей железа и сделки с ними: чтобы новое железо не заводилось под старыми операционками. Например новые процы и материнки не позволяют установить на себя винду-7.
Короче, найдут на тебя управу.
Обновишься, куда ж ты денешься.
Комментарий недоступен
да включи в биосе програмный и всё
у меня asus z370 tuf pro gaming, bios 2603 (последний, с resizable bar), core i7-8700. хоть убейте, но я не нашел в bios/uefi чего надо включить, чтобы их утилита определила совместимость с win11 :-(
Тебе нужен блок PCH-FW. Нашел в документации:
3.6.6 PCH-FW Configurationhttps://www.bhphotovideo.com/lit_files/398637.pdf
This item allows you to configure the firmware TPM.
Я так понимаю она нужна только чтобы закручивать гайки с крякнутыми играми, в таком случае майки могут идти нахуй
Спасибо за заметку, было интересно узнать об этом ТРМ в сжатом виде. Тупой вопрос только, который интересует многих - как будет в таком случае работать КМС активация или как вообще может быть это связанно.
Да всё будет работать как раньше. Microsoft ещё с релиза Windows 10 на вопрос лицензий закрывают глаза и не ведут активной борьбы, потому что уж лучше пользователь-пират, чем не пользователь вовсе :)
Технологические гиганты давно не продажей софта занимаются, а продажей сервисов.
Я смотрю, чем больше свобод, тем сложнее шифрование и безопасность. Мне, тупому, интересно, если я все свои ключи,логины,пароли сертификаты буду хранить в чипе в виде ключика электронного или чета такого, то че будет, если я захочу продать свой компец другому лицу. Все примеры использования, перечисленные в статье, накроются медным тазом? Все идентификации, биометрии банкинг?
Комментарий недоступен
Да, они действительно накроются. Поэтому нужно позаботиться о бэкапах.
В статье я не написал об этом явно, но TPM помимо генерации ключа непосредственно внутри самого себя, поддерживает как правило обыкновенный импорт. То есть на этапе включения условного BitLocker ПК генерирует ключ, просит тебя сделать бэкап на флешку, бумуга или куда тебе больше нравится, а далее один раз импортирует этот ключ в TPM. Больше его оттуда уже не достать.
В случае с авторизацией на сайтах через WebAuthn рекомендуется на пару с авторизацией через TPM или аппаратный токен, установить пароль так сказать "на всякий случай" или привязать к аккаунту другие устройства, чтобы не потерять аккаунт в случай утери устройства.
По поводу очистки. Насколько я знаю, её не требуется производить обязательно. В случае переустановки Windows, TPM перестанет осуществлять операции без идентификатора с которым он был активирован при первой установке и скорее всего реинициализирует себя заново.
Извини что увожу вопрос в сторону, но разработчики пека и операционки тебе такую возможность предоставили в явном виде в тексте лицензии?
Вовсе не факт что ты имеешь право на перепродажу.
Комментарий недоступен
Спасибо, забыл про теги!
Тогда вопрос. Если взять SSDшник зашифрованный битлокером и тупо физически перенести его в другой комп. Получается, если шифровалось с TMP, то на другом ПК он уже не расшифруется. А если было шифрование без TPM - то просто ввел пароль и пользуешься на новом ПК как раньше. Так?
Даже с TPM BitLocker требует сделать бэкап. Поэтому даже при переносе SSD можно будет восстановить данные.
Я в этом комменте больше писал:
https://dtf.ru/hard/776138-windows-11-trebuet-tpm-zachem?comment=11346624
Комментарий недоступен
А что с ним не так? Все Ryzen поддерживаются.
Основная проблема в том, что идея то неплохая, только слишком рано еще. Нужно 2-3 года было еще подождать. Грубо говоря до Windows 11.1 И поддержку Win 10 не до 25-года, а до 27-28.
Ну еще куча корпоративных клиентов сидит на Win7, они на 10-ку не переехали, а у нее поддержка до 25 года. Они хотят поставить их всех перед выбором - сидеть без поддержки (да, для них поддержка будет продлена, как с Win7, XP и т.д. было, но все же) или менять ВСЕ железо?
Покажу раз уж народ думает что у них TPM 2.0 нету. Как я и говорил TPM я находил даже в компьютере 5 летней давности
Но она всё равно проходит через операционную систему. Когда в системе найдут дыру, то хацкеры вовсю смогут посылать запрос в чип и отдавать ему команду от ОС о том, что пользователь нажал на кнопку.
Хотя, конечно, если мы имеем такой доступ к системе то тут уже ничего не спасёт.
...Кроме отдельной мини-системы запроса, которая будет связываться напрямую с чипом, и не иметь абсолютно никакой связи с компьютером, кроме питания. Что-то типа маленького чб дисплея, который будет высвечивать запрос на авторизацию, и две кнопки: подтвердить и отказать. Даже можно сделать это без дополнительного контроллера дисплея, чтобы совсем дёшево было: когда поступает запрос, то загорается лампочка, и модуль ждёт подтверждения от пользователя.
Некоторые TPM физически требуют биометрию без обработки со стороны ОС. Ещё данный риск решают выделенные аппаратные токены, которые требуют физическое прикосновение при совершении операции:
https://www.yubico.com/products/
Включаю TPM в bios, ниже написано no device found. Загружаюсь, захожу в tpm.msc, ничего нет. Плата: ASUS P9D-X. Проц: E3-1270 v3
Думаю эта плата старовата для эмуляции Firmware TPM, только докупать отдельно :\
Попробовал проверить на своем ноутбуке HP Envy 360 15-bq101ur, ноут 2018-19 года, с Win Hello. TPM - пишет спецификацию 2.0, UEFI и SecureBoot тоже включены. В биосе все тоже вроде как пишет как Enabled. Могут быть идеи, куда копать, если программка от майкрософта показывает неготовность к Win11? Остальные требования как-то все подходят.
Вот это действительно странно. Я бы на самом деле не парился пока и дождался новостей ближе к релизу. Если у вас всё действительно включено и работает, то скорее всего апдейт сможете спокойно накатить.
Доброго дня! Сегодня столкнулся с приколом - PC Heals сообщила, что моя система не готова к обновлению до Вин11. У меня челюсть отвисла, потом захлопнулась. Почитал статьи, оказалось в BIOS надо было было Инэйблить Секюрити опшонс. Нашел, инэйблил, PC Heals поздравил меня с готовностью автоматически обновиться, когда будет готова новая версия Винды. Но, осталась пара вопросов: 1 - В статьях пишут, что TPM надо ещё как то инициализировать через настройки системы, я ничего такого не делал и не пытался, раз ПО Майкрософт подтверждает готовность, вопрос - надо ли это делать и прилетит мне обновление автоматом, если этого не сделать?; 2 - Тут в обсуждении заметил момент, что при замене материнки, на которой собственно находится чип TPM, я не смогу запустить систему, потому как у меня нет уже того самого кода/суперпароля, который хранится на этом чипе этой материнской платы (до этого десятку переустанавливал с заменой и матплат и ССД и видеокарт, всё проходило на ура при вводе моего логина пароля учетной записи, вопрос - такая схема будет работоспособна или как?
спасибо Майкрософт хоть за то, что пользователи узнали о штучке в их железках)
Отсюда следует, что подобные криптомодули не могут физически выдать вам секретный ключ или ключи.
Ок.
Теперь, если материнка сдохла - просто переставить жесткий диск в другую не получится. А если используешь BitLocker, то и данные "тю-тю"?
Отвечал уже не раз :)
1. Переставить получится. Ничего не произойдет, ОС заработает, TPM будет реинициализирован на новой материнской плате.
2. Если используешь BitLocker просто сохрани бэкап-ключ (на листочек или файлом), при перестановке диска просто нужно будет ввести этот ключ. Без ключа "тю-тю", да.
Перед установкой новой системы надо ли очистить ТРМ ?
Вся эта крипто-затея бессмысленна для России, потому что у нас повсеместно внедряют шифрование по ГОСТ, которое этот чип поддерживать не будет.
Тогда им надо просто прекратить поставлять в Россию высокотехнологичное оборудование и дорогие программы. Западное шифрование пронизывает всё сверху донизу. Вот в процессорах Intel есть команды для аппаратного AES-шифрования. Запрещать? Переходить массово на Эльбрус?
Почему запрещать? Будет невостребованно или только в определенном кругу задач. Я про то что ни банки (сейчас все что связано с подписями у них налоговая отобрала), ни госуслуги, ни электронные больничные, которые тоже подписываются эцп, ни вобще какой либо другой государственный электронный документооборот не будет использовать именно эту систему шифрования. Потому что есть ГОСТ и его повсеместно внедряют. Ну и, кстати, уже совсем близки времена, когда очень жестко в гос. секторе будут смотреть на ПО. Уже нельзя зарегистрировать ПО в росреестре, если оно использует не российский вариант БД. Дальше больше ..
Привет. Можно совета: столкнулся с проблемой ухода ноутбука асус 2021 года в аут (полностью виснет на чёрном экране) с windows 11, hello, amd adrenalin, uefi, bitlocker.
Ничего не помогало, только смена ssd, перепрошивка bios и перестановка windows на 10 с новой разметкой ssd.
Проблема повторилась снова, на вновь установленной windows 11 после включения и отключения bitlocker.
Только сейчас понял, где может быть скрыта проблема, почитав статью.
Правильно я понимаю, что прошивка bios стирает все данные в чипе tpm?
Перестановка windows удаляет весь софт amd, а windows - настройки по шифровке диска и hello?
Как проще вернуть ноут к жизни?
Перепрошивка BIOS дропает содержимое TPM для безопасности, да, вдруг это злоумышленник украл ваш ноут и хочет получить доступ к его данным, перепрошив ноут каким-то хитрым BIOS с бекдором.
Самое простое: делать бекап ключа BitLocker и вводить код восстановления после обновлкния/перепрошивки BIOS/UEFI.
Полная переустановка Windows должна, конечно, вернуть к жизни ноут, TPM как таковой никак не может блокировать загрузку системы.