基本介紹
- 中文名:可信平台模組
- 外文名:Trusted Platform Module
- 用途:有效地保護PC、防止非法用戶訪問
- 安裝:植於計算機內部
- 晶片規格:由可信計算組來制定
- 主要廠家:英飛凌、意法半導體
簡介,標準,用途,啟動與停止,啟動TPM,停止TPM,其它,
簡介
可信平台模組(Trusted Platform Module)安全晶片,是指符合TPM(可信賴平台模組)標準的安全晶片,它能有效地保護PC、防止非法用戶訪問。
標準
1999年10月,多家IT巨頭聯合發起成立可信賴運算平台聯盟(Trusted Computing Platform Alliance,TCPA),初期加入者有康柏、HP、IBM、Intel、微軟等,該聯盟致力於促成新一代具有安全且可信賴的硬體運算平台。2003年3月,TCPA增加了諾基亞、索尼等廠家的加入,並改組為可信賴計算組織(Trusted Computing Group,TCG),希望從跨平台和操作環境的硬體和軟體兩方面,制定可信賴電腦相關標準和規範。並在並提出了TPM規範。
符合TPM的晶片首先必須具有產生加解密密匙的功能,此外還必須能夠進行高速的資料加密和解密,以及充當保護BIOS和作業系統不被修改的輔助處理器。
用途
TPM安全晶片用途十分廣泛,配合專用軟體可以實現以下用途:
1、存儲、管理BIOS開機密碼以及硬碟密碼
以往這些事務都是由BIOS做的,玩過的朋友可能也知道,忘記了密碼只要取下BIOS電池,給BIOS放電就清除密碼了。如今這些密鑰實際上是存儲在固化在晶片的存儲單元中,即便是掉電其信息亦不會丟失。相比於BIOS管理密碼,TPM安全晶片的安全性要大為提高。
2、TPM安全晶片可以進行範圍較廣的加密
TPM安全晶片除了能進行傳統的開機加密以及對硬碟進行加密外,還能對系統登錄、套用軟體登錄進行加密。比如人們常用的MSN、QQ、網遊以及網上銀行的登錄信息和密碼,都可以通過TPM加密後再進行傳輸,這樣就不用擔心信息和密碼被人竊取
3、加密硬碟的任意分區
人們可以加密本本上的任意一個硬碟分區,您可以將一些敏感的檔案放入該分區以策安全。其實有些本本廠商採用的一鍵恢復功能,就是該用途的集中體現之一(其將系統鏡像放在一個TPM加密的分區中)。
啟動與停止
啟動TPM
TPM實施過程隨不同的伺服器BIOS版本、TPM標準、作業系統和TPM實用程式版本而有所不同。
基本上,IT管理員需要首先在伺服器BIOS的安全選單中啟用TPM並重新啟動。伺服器不支持遠程更改TPM狀態,因此,管理員需要在數據中心實地操作。在管理的需要安全性的遠程伺服器時,請記住這些:
一旦在BIOS中啟用了TPM,記得在作業系統中激活它並“取得所有權”。一些系統使用TPM管理實用程式完成這些操作,例如英特爾的Embassy Security Center。支持TPM的作業系統可以通過PowerShell命令行執行TPM管理工作。堅持參照TPM實用程式或作業系統文檔來找出準確的操作方法,但也會經常需要手動設定TPM的密碼並核對TPM參數配置。再次提醒,必須在啟用TPM的同時執行這些任務。若在啟用TPM之後執行這些操作,操作可能會被視為惡意入侵。
停止TPM
TPM啟用並激活後將一直保持運行,除非管理員直接干預,則需要管理TPM指令——這種情況極少發生。例外情況是,管理員需要關閉或甚至清除TPM。
例如,有些伺服器退役後在企業內得到重新利用,並且不再需要TPM功能。TPM關閉後,新的應用程式和數據可以在沒有TPM支持的伺服器上處理。
可以通過作業系統停用TPM,例如使用 PowerShell cmdlet。如果作業系統不支持禁用TPM,從BIOS中的TPM管理選單手動操作也能完成TPM啟用或清除任務。
管理員可以通過BIOS清除TPM。如果完全清除TPM,就會恢復主機板的出廠默認設定,重置所有的密鑰和TPM中的密碼,任何加密的數據將變得無法訪問。如果丟失了密碼,或者準備回收或出售伺服器,請清除TPM。千萬不要在生產伺服器上清除TPM!
一些主機板包括TPM清除跳線——設定跳線之後將對TPM進行清除和重新設定。因為跳線操作需要具有額外的物理訪問條件,並要求管理員熟悉伺服器的內部布局,可以一定程度上防止意外篡改。然而,Windows Server 2012允許管理員通過PowerShell cmdlet實現清除TPM的操作。
其它
提供TPM安全晶片的廠商也不少,由於其不面對最終消費者,人們可能都比較陌生。由於國外對於TPM安全晶片的研發、製造起步較早,故而國外廠商在這方面有著相當大的優勢。國外生產的TPM安全晶片的主要廠家有:英飛凌、意法半導體(ST)、Atmel、華邦電子(收購美國國家半導體公司)等。國內廠商這方面的研發起步較晚,僅有聯想的“恆智”晶片以及兆日公司的產品。
廣大筆記本廠商內置TPM更多的是防患於未然,畢竟支持TPM的系統還沒有出現,廣大廠商都是採用第三方軟體來實現TPM的部分功能,提供例如檔案加解密等服務。在Vista正式發布之後,TPM安全晶片將真正開始發揮其幕後英雄的本色,大量的系統安全功能也都將通過其來實現。隨著微軟NGSCB技術的正式推廣,TPM將在真正意義上扮演PC的保護神,讓人們的電腦真正擺脫木馬、病毒的騷擾。看來得到軟硬體兩方面支持的TPM安全晶片前途無量,TPM安全晶片在本本安全領域上的作用將更加凸現。
在Wedbush Morgan Securities年度高層會議上,雅達利公司創建者之一的諾蘭·布希內爾(Nolan Bushnell)稱,遊戲產業面臨的盜版泛濫問題,在過不久將隨著新型加密晶片的逐步普及而成為歷史。 “一種名為TPM的加密晶片即將被使用在大部分電腦主機板上。”布希內爾在會議上說道:“這就意味著遊戲產業將迎來一種全新的、絕對安全的加密方式,它無法在網路上被破解也不存在註冊碼被散播的危險,它將允許我們在那些盜版極為嚴重的地區開拓巨大的新市場。” 布希內爾認為,電影和音樂的盜版很難被阻止,因為只要是“能看、能聽的就可以拷貝”。然而電子遊戲的情況則完全不同,由於這類產品與代碼的緊密聯繫性,使用TPM晶片將能夠完全阻止盜版遊戲的運行。
“一旦TPM晶片的普及率達到足夠高的水準,人們就可以開始看到在亞洲和印度等盜版泛濫地區正版軟體收入的逐步增長,而這在以前是幾乎是不可想像的。”
