Открыть сервис

TPM 2.0

Trusted Platform Module 2.0 (сокр. TPM 2.0) — это международный стандарт для криптографического сопроцессора, предназначенного для аппаратной защиты конфиденциальных данных, обеспечения целостности загружаемой операционной системы и аутентификации устройств. Представляет собой микроконтроллер, встроенный в материнскую плату компьютера или другого электронного устройства, который генерирует, хранит и ограничивает использование криптографических ключей. TPM 2.0 является преемником версии 1.2 и был разработан международной организацией Trusted Computing Group (TCG) как открытый стандарт, не привязанный к конкретной платформе или производителю.

История и развитие

Предпосылки создания

Первая версия спецификации TPM (1.0) была опубликована TCG в 2000 году. Она была ориентирована на корпоративный сегмент и предназначалась для защиты корпоративных данных на ноутбуках. Версия 1.2, выпущенная в 2003 году, стала отраслевым стандартом и использовалась до середины 2010-х годов. Однако архитектура TPM 1.2 имела существенные ограничения: жёсткая привязка к алгоритму хеширования SHA-1 (который со временем стал считаться небезопасным), ограниченное пространство для ключей (до 10 слотов) и отсутствие гибкости в выборе криптографических алгоритмов.

Разработка и принятие стандарта

Работа над TPM 2.0 началась в 2011 году. Основной целью было создание более гибкой, масштабируемой и защищённой архитектуры, способной работать с современными алгоритмами (AES, ECC, SHA-256) и поддерживать различные платформы — от ПК и серверов до мобильных устройств и систем Интернета вещей (IoT). Спецификация TPM 2.0 была ратифицирована TCG в 2014 году. В 2016 году она была принята как международный стандарт ISO/IEC 11889:2015.

Массовое внедрение

Ключевым драйвером внедрения TPM 2.0 стало требование корпорации Microsoft для операционной системы Windows 11, выпущенной в 2021 году. Microsoft обязала наличие TPM 2.0 (или эквивалентного решения, например, Intel PTT или AMD fTPM) в качестве минимального аппаратного требования для установки Windows 11. Это решение было мотивировано необходимостью повышения уровня безопасности конечных устройств в условиях роста киберугроз. В России, как и в других странах, производители материнских плат и ноутбуков начали массово интегрировать TPM 2.0 в свои продукты с 2020–2021 годов.

Архитектура и принцип работы

Основные компоненты

TPM 2.0 является изолированным криптографическим модулем. Его основные компоненты включают:

Ключевые отличия от TPM 1.2

ХарактеристикаTPM 1.2TPM 2.0
Алгоритмы хешированияТолько SHA-1SHA-1, SHA-256, SHA-384, SHA-512 (выбор настраивается)
Алгоритмы шифрованияRSA (до 2048 бит)RSA (до 4096 бит), ECC (P-256, P-384, P-521), AES
ГибкостьЖёсткая архитектураМодульная архитектура, поддержка различных криволинейных алгоритмов
Иерархия ключейОдна иерархия (Storage Root Key)Множественные иерархии (платформа, хранилище, аттестация, нулевая)
Количество слотов для ключейОграничено (до 10)Практически неограниченно (за счёт NVRAM)
Поддержка виртуализацииОтсутствуетВстроенная поддержка (для использования в виртуальных машинах)

Иерархии и ключи

TPM 2.0 использует концепцию иерархий (hierarchies) — изолированных областей управления ключами и политиками. Каждая иерархия имеет свой корневой ключ (Seed) и собственные политики доступа:

Ключи в TPM 2.0 могут быть созданы как внутри модуля (неизвлекаемые), так и импортированы извне. Они защищены аппаратно и не могут быть прочитаны или скопированы злоумышленником, даже имеющим физический доступ к устройству.

Применение

Защита загрузки и целостности ОС

Основное применение TPM 2.0 — обеспечение доверенной загрузки (Secure Boot) и аттестации платформы. В процессе загрузки TPM фиксирует хеши каждого этапа (UEFI, загрузчик, ядро ОС). Если какой-либо компонент был изменён (например, внедрён руткит), TPM сообщает об этом, и операционная система может заблокировать загрузку или предупредить пользователя.

Шифрование дисков (BitLocker, LUKS)

В Windows TPM 2.0 используется для автоматической разблокировки зашифрованного диска (BitLocker) без ввода пароля при условии, что система не была модифицирована. В Linux аналогичные функции реализованы через LUKS и systemd-cryptenroll.

Аутентификация и управление ключами

TPM 2.0 может использоваться для:

Сетевая безопасность и IoT

В серверных решениях TPM 2.0 применяется для аттестации серверов в облачных средах, защиты ключей для TLS-соединений и обеспечения целостности контейнеров. В устройствах Интернета вещей (IoT) TPM 2.0 позволяет защитить прошивку и данные от несанкционированного доступа.

Критика и ограничения

Уязвимости и атаки

Несмотря на высокий уровень защиты, TPM 2.0 не является абсолютно неуязвимым. Известны следующие типы атак:

Зависимость от производителя

Реализации TPM 2.0 могут различаться у разных производителей (Intel, AMD, STMicroelectronics, Infineon). Некоторые реализации (например, программные эмуляции Intel PTT или AMD fTPM) не обеспечивают такой же уровень защиты, как дискретные модули, так как ключи хранятся в основной памяти процессора, а не в изолированном кристалле.

Проблемы совместимости

В некоторых случаях TPM 2.0 может вызывать проблемы с совместимостью старых операционных систем (Windows 7, Windows 8) или драйверов. Также возможны конфликты при использовании виртуализации, если гипервизор не поддерживает TPM 2.0.

Правовой статус в России

На территории Российской Федерации TPM 2.0 не является объектом отдельного регулирования. Однако использование криптографических модулей подпадает под требования Федерального закона № 152-ФЗ «О персональных данных» и приказов ФСБ России о порядке использования средств криптографической защиты информации (СКЗИ). Встроенный TPM 2.0 не сертифицирован ФСБ как СКЗИ, поэтому его применение для защиты государственной тайны или персональных данных в системах, требующих сертифицированных средств, запрещено. Для коммерческого использования (например, для BitLocker в корпоративных сетях) ограничений нет, но рекомендуется использовать дополнительные сертифицированные средства защиты.

Перспективы развития

Спецификация TPM 2.0 продолжает развиваться. В 2023 году TCG анонсировала работу над версией 2.1, которая должна включить поддержку квантово-устойчивых алгоритмов (например, на основе решёток) и улучшенную защиту от атак по сторонним каналам. Также ожидается более глубокая интеграция TPM с технологиями виртуализации и контейнеризации.

Источники:

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →