|
上月底,微軟正式發(fā)布了Windows 11操作系統(tǒng),,不少喜歡嘗鮮的用戶打算“就地升級(jí)”時(shí)卻遇到了麻煩,,他們的電腦少了一樣必須的硬件支持—— TPM(Trusted Platform Module, 可信賴平臺(tái)模塊)2.0。什么是 TPM,?為什么安裝 Windows 11 會(huì)需要它,?老電腦沒(méi)有這個(gè)東西還能用Windows 11嗎?
有人曾說(shuō),,是軟件行業(yè)推動(dòng)了硬件行業(yè)的發(fā)展,。要運(yùn)行包含越來(lái)越多代碼的大型操作系統(tǒng),你需要處理能力強(qiáng)勁的CPU,;要裝下體積越來(lái)越大的APP,,你需要更大的NAND Flash;要玩上帶各種視覺(jué)特效的游戲,,你就得跟礦工搶顯卡去…… 上月底,,微軟正式發(fā)布了Windows 11操作系統(tǒng),不少喜歡嘗鮮的用戶打算“就地升級(jí)”時(shí)卻遇到了麻煩,,他們的電腦少了一樣必須的硬件支持—— TPM(Trusted Platform Module, 可信賴平臺(tái)模塊)2.0,。
廣告 什么是 TPM,?為什么安裝 Windows 11 會(huì)需要它?老電腦沒(méi)有這個(gè)東西還能用Windows 11嗎,?這是小伙伴們問(wèn)的最多的幾個(gè)問(wèn)題,。 微軟企業(yè)和操作系統(tǒng)安全總監(jiān)大衛(wèi)·韋斯頓(David Weston)在 Windows 安全博客上解釋過(guò):“TPM 是一種芯片,它可以集成到 PC 的主板上,,也可以單獨(dú)添加到 CPU 中,。其目的是保護(hù)加密密鑰、用戶憑據(jù)等敏感數(shù)據(jù),,使得惡意軟件和攻擊者無(wú)法訪問(wèn)或篡改這些數(shù)據(jù),。” 如此看來(lái),,在嶄新的用戶界面(UI),、Android 應(yīng)用程序支持(WSA 子系統(tǒng))、手寫(xiě)筆交互等體驗(yàn)刷新之外,,微軟這次更加注重Windows 11能夠?yàn)橛脩舭踩珟?lái)改進(jìn),。強(qiáng)制要求TPM,也是微軟多年來(lái)一直在推進(jìn)的重大硬件更新之一,。
微軟企業(yè)和操作系統(tǒng)安全總監(jiān)大衛(wèi)·韋斯頓(David Weston)(圖自:Microsoft) 不同于其他安全防護(hù)軟件,,TPM 芯片可以為用戶提供硬件級(jí)的數(shù)據(jù)保護(hù),它不但適用于 BitLocker 等 Windows 功能加密磁盤(pán),,也能防止針對(duì)密碼的字典攻擊,。符合TPM的芯片首先必須具有產(chǎn)生加解密密鑰的功能,此外還必須能夠進(jìn)行高速的資料加密和解密,,以及充當(dāng)保護(hù)BIOS和操作系統(tǒng)不被修改的輔助處理器,。 關(guān)于微軟大力推廣TPM芯片的理由,還有一個(gè),,那就是防止和打擊盜版。 雅達(dá)利公司創(chuàng)建者之一的(Nolan Bushnell)曾在2008年時(shí)預(yù)言,,游戲產(chǎn)業(yè)面臨的盜版泛濫問(wèn)題,,在過(guò)不久將隨著新型加密芯片的逐步普及而成為歷史。 “一種名為T(mén)PM的加密芯片即將被使用在今后的大部分電腦主板上,?!辈际矁?nèi)爾說(shuō)道:“這就意味著游戲產(chǎn)業(yè)將迎來(lái)一種全新的、絕對(duì)安全的加密方式,,它無(wú)法在網(wǎng)絡(luò)上被破解也不存在注冊(cè)碼被散播的危險(xiǎn),,它將允許我們?cè)谀切┍I版極為嚴(yán)重的地區(qū)開(kāi)拓巨大的新市場(chǎng)?!?/p> 布什內(nèi)爾認(rèn)為,,電影和音樂(lè)的盜版很難被阻止,,因?yàn)橹灰恰澳芸础⒛苈?tīng)的就可以拷貝”,。然而電子游戲的情況則完全不同,,由于這類(lèi)產(chǎn)品與代碼的緊密聯(lián)系性,使用TPM芯片將能夠完全阻止盜版游戲的運(yùn)行,。 “一旦TPM芯片的普及率達(dá)到足夠高的水準(zhǔn),,我們就可以開(kāi)始看到在亞洲,印度等盜版泛濫地區(qū)正版軟件收入的逐步增長(zhǎng),,而這在以前是幾乎是不可想象的,。” 這也是微軟希望看到的,,盜版軟件不但影響了他們的營(yíng)收,,更給整個(gè)行業(yè)帶來(lái)了一大筆真金白銀的損失。2014年微軟網(wǎng)絡(luò)犯罪中心的副總顧問(wèn)兼執(zhí)行董事大衛(wèi)-費(fèi)恩(David Finn)在一篇博文中寫(xiě)道,,“經(jīng)由盜版軟件入侵的惡意程序給企業(yè)造成的打擊尤其嚴(yán)重,。今年,IDC公司預(yù)計(jì),,企業(yè)將會(huì)花費(fèi)1270億美元來(lái)處理安全問(wèn)題,,3640億美元來(lái)處理數(shù)據(jù)失竊?!?/p> TPM芯片并不是新鮮事物由此可見(jiàn),,TPM 芯片并不是什么新鮮事物。 早在1999年10月,,多家IT巨頭就聯(lián)合發(fā)起成立可信賴運(yùn)算平臺(tái)聯(lián)盟(Trusted Computing Platform Alliance,,TCPA),初期加入者有康柏,、HP,、IBM、英特爾,、微軟等,,該聯(lián)盟致力于促成新一代具有安全且可信賴的硬件運(yùn)算平臺(tái)。 2003年3月,,TCPA增加了諾基亞,、索尼等廠家的加入,并改組為可信賴計(jì)算組織(Trusted Computing Group,,TCG),,希望從跨平臺(tái)和操作環(huán)境的硬件和軟件兩方面,制定可信賴電腦相關(guān)標(biāo)準(zhǔn)和規(guī)范,,并提出了TPM規(guī)范,。 最先響應(yīng)號(hào)召的是廣大筆記本廠商,,他們?cè)缭绲貎?nèi)置了TPM功能,但更多的是防患于未然,,畢竟當(dāng)時(shí)支持TPM的操作系統(tǒng)還沒(méi)有出現(xiàn),,OEM廠商都是采用第三方軟件來(lái)實(shí)現(xiàn)TPM的部分功能。 直到2007年,,Windows Vista正式發(fā)布之后,,TPM安全芯片才開(kāi)始發(fā)揮其幕后英雄的作用,大量的系統(tǒng)安全功能通過(guò)其來(lái)實(shí)現(xiàn),。 在 2011 年,,TPM 1.2 芯片已廣泛存在于各類(lèi)商業(yè)用途的主機(jī)中??紤]到各種網(wǎng)絡(luò)釣魚(yú),、勒索軟件、供應(yīng)鏈和物聯(lián)網(wǎng)漏洞,,這對(duì)于企業(yè)用戶來(lái)說(shuō)是極為必要的安全手段,。而且每個(gè)單獨(dú)的 TPM 都具有硅制造期間初始化的唯一簽名,可提高信任/安全效率,。每個(gè) TPM 都必須擁有一個(gè)所有者才能使用,。TPM 用戶必須親自到場(chǎng)才能獲得所有權(quán)。在此過(guò)程結(jié)束且 TPM 擁有唯一所有者后,,TPM 將被激活,。
部分有關(guān) TPM 1.2和2.0支持的加密算法表匯總。(數(shù)據(jù)來(lái)自DELL) “我們發(fā)現(xiàn),,83% 的企業(yè)經(jīng)歷過(guò)固件攻擊,,只有 29% 的企業(yè)有分配資源來(lái)保護(hù)它們的關(guān)鍵數(shù)據(jù)?!表f斯頓對(duì)當(dāng)時(shí)企業(yè)用戶采用TPM的背景這樣描述道,。 但微軟的目標(biāo)不只是企業(yè)用戶,他們想把 TPM 芯片應(yīng)用到每一臺(tái) PC 上,,借助這種現(xiàn)代硬件的信任根(root-of-trust)來(lái)幫助抵御常見(jiàn)和復(fù)雜的攻擊,,比如勒索軟件和重量級(jí)黑客組織的復(fù)雜攻擊。 獨(dú)立芯片和基于固件的TPM有何不同,?2015年, Windows 10 發(fā)布以后,,微軟開(kāi)始要求 OEM 廠商在硬件上提供TPM 芯片支持,,不過(guò)這一要求并不是強(qiáng)制性的。TPM 2.0芯片也是從這一年開(kāi)始在一些筆記本上出現(xiàn),,雖然傳統(tǒng)上來(lái)講,,TPM是焊接到計(jì)算機(jī)主板的離散芯片,,但英特爾、AMD均在后續(xù)較新的處理器層面做了固件支持,,除非特別老舊的設(shè)備才需要加裝TPM 2.0專(zhuān)用模塊,。
微星(msi)的TPM 模塊(圖自:The Verge) TPM模塊通常是一種小眾的主板配件,微星,、華碩等OEM廠商均有生產(chǎn),,但只有少數(shù)臺(tái)式機(jī)主板有對(duì)應(yīng)的20-1腳座,并且由于“國(guó)安”原因在網(wǎng)上幾乎買(mǎi)不到,。據(jù)悉最近因?yàn)閃indows 11的發(fā)布導(dǎo)致TPM模塊價(jià)格上漲不少,,達(dá)到了幾十到上百美元不等。加裝之后,,能夠拯救H77,、Z97、AMD FM2等老平臺(tái),。
TPM安全芯片的原廠也不少,,大部分是國(guó)外廠商,這是由于國(guó)外對(duì)于TPM安全芯片的研發(fā),、制造起步較早,。主要廠家有英飛凌(Infineon)、意法半導(dǎo)體(ST)以及Atmel(2016年被Microchip收購(gòu)),。 中國(guó)臺(tái)灣廠商華邦電子(收購(gòu)了美國(guó)國(guó)家半導(dǎo)體公司旗下PC部門(mén))也是主力廠商之一,,不過(guò)大陸廠商這方面的研發(fā)起步較晚,大家比較熟悉的是聯(lián)想自家的“恒智”芯片以及國(guó)民技術(shù),、兆日科技的產(chǎn)品,。目前市面上的國(guó)行產(chǎn)品大部分搭載的是國(guó)民技術(shù)的TPM芯片。 這里還有個(gè)小故事,,聯(lián)想研究院在2003年就開(kāi)始了TPM芯片的自研,,但直到2005年合并了IBM的PC事業(yè)部后才正式宣布。當(dāng)時(shí)的恒智TPM芯片采用了SoC設(shè)計(jì),,內(nèi)置32位處理器,,采用0.25微米工藝,達(dá)到了當(dāng)時(shí)的國(guó)際先進(jìn)水平,。藉由“安全芯片”涉及國(guó)家安全的概念和IBM 的品牌效應(yīng),,聯(lián)想開(kāi)始叫板當(dāng)時(shí)的PC龍頭惠普,這當(dāng)年也被稱為“TPM門(mén)”事件,,下面我們會(huì)談到,。 獨(dú)立 TPM 作為隔離的、單獨(dú)的功能芯片實(shí)施,并且所有必需的計(jì)算資源都包含在獨(dú)立物理芯片包中,。獨(dú)立 TPM 完全控制專(zhuān)用內(nèi)部資源(例如易失性存儲(chǔ)器,、非易失性存儲(chǔ)器和加密邏輯。),,它是訪問(wèn)和利用這些資源的唯一功能,。 基于固件的 TPM (英特爾叫PTT,AMD叫fTPM) 則有很大不同,,它不是使用獨(dú)立芯片來(lái)工作,,而是利用計(jì)算設(shè)備中的其他資源和環(huán)境(如 SoC、CPU 或其它類(lèi)似計(jì)算環(huán)境)工作,,同時(shí)仍然提供類(lèi)似于離散 TPM 芯片的邏輯分離,。 基于固件的 TPM 沒(méi)有自己的專(zhuān)用存儲(chǔ)。它依賴于操作系統(tǒng)和平臺(tái)服務(wù),,以訪問(wèn)平臺(tái)內(nèi)的存儲(chǔ),。沒(méi)有專(zhuān)用存儲(chǔ)的一種含義是存在簽注密鑰 (EK) 證書(shū)。獨(dú)立TPM 制造商可將 TPM 存儲(chǔ)中裝有 EK 證書(shū),,以用于 TPM 簽注密鑰的獨(dú)立 TPM 設(shè)備交付給平臺(tái)制造商,,但這對(duì)于固件 TPM 無(wú)法實(shí)現(xiàn)。固件 TPM 供應(yīng)商通過(guò)制造商的特定流程為最終用戶提供證書(shū),。要獲得系統(tǒng)的 EK 證書(shū),,平臺(tái)所有者需要聯(lián)系該平臺(tái)的芯片組/CPU 供應(yīng)商 此外,還需要 TCG 認(rèn)證的獨(dú)立 TPM,,以滿足合規(guī)性和安全要求,,包括強(qiáng)化芯片及其與智能卡類(lèi)似的內(nèi)部資源。TCG合規(guī)性可證明TPM正確實(shí)施了TCG的規(guī)格,。TCG認(rèn)證所需的硬化使經(jīng)認(rèn)證的獨(dú)立TPM免受更復(fù)雜的物理攻擊,。 中國(guó)只能用國(guó)產(chǎn)TPM芯片外媒 Tom ' s Hardware 發(fā)現(xiàn),微軟在其官方 PDF第 16頁(yè)的"Windows 11最低硬件要求"中寫(xiě)道:經(jīng)過(guò)微軟批準(zhǔn),、用于特殊領(lǐng)域的 OEM 系統(tǒng)不需要在出貨時(shí)啟用 TPM 支持,。
也就是說(shuō),微軟將允許那些“特殊用途的商業(yè)系統(tǒng),、自定義訂單和具有自定義系統(tǒng)的 OEM 客戶系統(tǒng)”設(shè)備可以不支持 TPM 模塊,,但也僅限于經(jīng)過(guò)官方認(rèn)證的機(jī)型。 微軟這是為什么又“慫”了呢,? 因?yàn)橐恍﹪?guó)家,,例如中國(guó)和俄羅斯根本就不允許任何系統(tǒng)附帶外國(guó)產(chǎn) TPM 芯片。而且,,有關(guān)密碼技術(shù)的選用在中國(guó)都需要經(jīng)過(guò)國(guó)家有關(guān)部門(mén)的認(rèn)證與批準(zhǔn),,特別是銷(xiāo)售和使用。條文依據(jù)如下: 據(jù) 1999 年 10 月 7 日發(fā)布的中華人民共和國(guó)國(guó)務(wù)院第 273 號(hào)令《商用密碼管理?xiàng)l例》明確規(guī)定“商用密碼技術(shù)屬于國(guó)家秘密。國(guó)家對(duì)商用密碼產(chǎn)品的科研,、生產(chǎn)、銷(xiāo)售和使用實(shí)行專(zhuān)控管理,。” 《商用密碼管理?xiàng)l例》第三章第十條規(guī)定“商用密碼產(chǎn)品由國(guó)家密碼管理機(jī)構(gòu)許可的單位銷(xiāo)售,。未經(jīng)許可,任何單位或者個(gè)人不得銷(xiāo)售商用密碼產(chǎn)品,?!?/i> 《商用密碼管理?xiàng)l例》第十三條及第十四條分別規(guī)定:“進(jìn)口密碼產(chǎn)品以及含有密碼技術(shù)的設(shè)備或者出口商用密碼產(chǎn)品,必須報(bào)經(jīng)國(guó)家密碼管理機(jī)構(gòu)批準(zhǔn),。任何單位或者個(gè)人不得銷(xiāo)售境外的密碼產(chǎn)品,。”,、“任何單位或者個(gè)人只能使用經(jīng)國(guó)家密碼管理機(jī)構(gòu)認(rèn)可的商用密碼產(chǎn)品,,不得使用自行研制的或者境外生產(chǎn)的密碼產(chǎn)品?!?/i> 在2005年前后,,中國(guó)開(kāi)始力推自主的 TCM 系統(tǒng)(Trusted Cryptographic Module,有時(shí)稱為子卡),,且也允許國(guó)產(chǎn)的 TPM模塊(完全在中國(guó)本土生產(chǎn)的 TPM 才可以),,只是不允許裝載歐美生產(chǎn)的 TPM。 當(dāng)時(shí)中國(guó)政府要求,,國(guó)內(nèi)企業(yè)生產(chǎn)的 TPM 芯片必須符合 TCG v1.2 標(biāo)準(zhǔn),,只有符合了 TCG v1.2 標(biāo)準(zhǔn),國(guó)家密碼管理局才能予以認(rèn)可,。時(shí)至今日,,國(guó)密標(biāo)準(zhǔn)也沒(méi)有許可TPM 2.0的橢圓曲線算法(據(jù)說(shuō)包含NSA后門(mén)Dual_EC_DRBG),導(dǎo)致國(guó)行的PC都是采用國(guó)內(nèi)專(zhuān)用版算法生產(chǎn)的TPM2.0芯片/模塊,,默認(rèn)設(shè)置也必須是禁止使用,,需要手工去BIOS修改。 前文提到的聯(lián)想“TPM門(mén)”,,起因就是此前惠普,、戴爾等廠商曾銷(xiāo)售違法的帶國(guó)外 TPM芯片 PC,但在軟件上沒(méi)有激活,,打了一個(gè)擦邊球,。當(dāng)時(shí)國(guó)內(nèi)并沒(méi)有自己的TPM芯片,為了防止泄密是禁止任何設(shè)備搭載這類(lèi)芯片的,。直到2005年4月初,,聯(lián)想推出恒智芯片,成為了當(dāng)時(shí)除Atmel、美國(guó)國(guó)家半導(dǎo)體,、英飛凌和ST之外,,第五個(gè)擁有TPM安全芯片自主知識(shí)產(chǎn)權(quán)的廠商。 隨后4月中旬,,國(guó)家商用密碼管理辦公室表示,,國(guó)外企業(yè)不能擅自銷(xiāo)售帶有TPM安全芯片的PC,但可以同國(guó)內(nèi)企業(yè)合作,。 “TPM門(mén)”的結(jié)果,,所有國(guó)行PC要么不搭載TPM芯片,要么只能用國(guó)產(chǎn)芯片,。目前國(guó)內(nèi)的微軟Surface book產(chǎn)品和聯(lián)想的高端機(jī)搭載的TPM芯片,,都屬于本土生產(chǎn)經(jīng)過(guò)國(guó)家密碼局的相關(guān)認(rèn)證的產(chǎn)品。 如何開(kāi)啟你的TPM 2.0,?在 Windows 11 的官網(wǎng)中,,微軟列出了 Windows 11 的最低系統(tǒng)要求,其中明確提到用戶的設(shè)備需要支持 TPM 2.0,。 為了確保設(shè)備達(dá)到這一要求,,微軟要求用戶下載 PC Health 應(yīng)用程序,以檢查設(shè)備是否支持并啟用了 TPM 2.0,。這意味著如果你的 PC 在出廠時(shí)沒(méi)有啟用這些功能,,那么你將不得不去 BIOS 中尋找開(kāi)啟該功能的入口。
PC Health(圖自:Bleeping Computer) 除了上述方法,,還有什么辦法可以查看本機(jī)是否有TPM相關(guān)硬件模塊,,版本如何呢? 辦法一 第一步,,Windows+R調(diào)出運(yùn)行對(duì)話框,,輸入tpm.msc; 第二步,,在彈出的對(duì)話框中“狀態(tài)”一欄查看是否顯示為T(mén)PM已就緒,,可以使用。 第三步,,在右下角查看TPM模塊對(duì)應(yīng)的規(guī)范版本,。
辦法二 打開(kāi)設(shè)備管理器(如右鍵開(kāi)始按鈕并進(jìn)入) 在安全設(shè)備一欄下查看本機(jī)是否安裝了受信任的平臺(tái)模塊2.0。
截圖演示的是采用英特爾第五代酷睿低電壓處理器平臺(tái)的PC,,TPM 2.0已啟用,,滿足Win11最低硬件要求,應(yīng)該用的是獨(dú)立TPM模塊,。目前已知的是,,包括宏碁,、華碩、戴爾,、惠普,、聯(lián)想、松下等在內(nèi)的 OEM 廠商,,都已為新系統(tǒng)提供 TPM 2.0 支持,。 鑒于目前主流 PC 基本都在處理器層面固件支持 TPM 2.0功能,只是默認(rèn)處于關(guān)閉狀態(tài),,所以只要開(kāi)啟就可以了。上述方法如何查到?jīng)]有開(kāi)啟,,就可以進(jìn)入 UEFI 界面,,也就是 BIOS 中進(jìn)行開(kāi)啟。在英特爾平臺(tái)中被稱為 PTT 功能,,而 AMD 平臺(tái)的描述為 AMD fTPM,,找不到的話可以嘗試搜索關(guān)鍵詞。 如果在開(kāi)啟 TPM 2.0 之后檢測(cè)結(jié)果仍是無(wú)法運(yùn)行 Windows 11 的話,,可能有兩個(gè)原因,,一是硬件支持的 TPM 不是 2.0 版本,是 1.2,。如果是這個(gè)原因,,那么微軟只是“不建議運(yùn)行 Windows 11”,不過(guò)在檢查工具中會(huì)把話說(shuō)得比較絕,,顯示“不能運(yùn)行 Windows 11”,。 小結(jié)TPM 2.0 并不是安裝 Windows 11 的唯一硬件要求,如果你已經(jīng)啟用 TPM 但是仍未通過(guò) Windows 11 升級(jí)檢查器,,有可能是因?yàn)槟愕?nbsp;CPU 不在支持的列表中,,也可能是主板的BIOS不支持UEFI安全啟動(dòng)。 根據(jù)微軟給出的英特爾 CPU 與 AMD CPU 的支持范圍來(lái)看,,目前針對(duì)第八代 Intel Core i 或以上的產(chǎn)品,,和AMD 3000 系列及更新產(chǎn)品提供支持,基本上是最近3年的新處理器,。這些處理器之外的計(jì)算機(jī),,微軟表示無(wú)法為其提供 Windows 11 系統(tǒng)的安裝與運(yùn)行。很大一部分原因在于7代以下的酷睿沒(méi)有TPM,,也間接導(dǎo)致了此前英特爾CPU曝出幽靈/熔斷BUG,,強(qiáng)制TPM某種意義上來(lái)說(shuō)就是為了兜底這種CPU設(shè)計(jì)漏洞而存在的。 點(diǎn)擊查看Windows 11支持的處理器列表: 除了處理器,,從 2023 年 1 月起,,微軟還要求除臺(tái)式機(jī)外的所有 Windows 11 設(shè)備都配備前置攝像頭,。這是自 2012 年 Windows 8 發(fā)布以來(lái) Windows 硬件要求的一次重大轉(zhuǎn)變,我們猜測(cè)微軟是在為普及PC面部識(shí)別解鎖做準(zhǔn)備,。 也有高手找到了突破TPM 2.0限制,,給“老爺機(jī)”安裝Windows 11的方法,例如將 Windows 11 安裝 ISO 文件中的 appraiserres.dll 替換為 Windows 10 的 appraiserres.dll文件,。 但小編認(rèn)為太老的機(jī)器安裝新系統(tǒng)的意義不大,,一方面是系統(tǒng)運(yùn)行流暢度,另一方面相當(dāng)于舍棄了安全性,。而且目前系統(tǒng)還是初期預(yù)覽,、體驗(yàn)版階段,很多功能設(shè)定或在不停調(diào)整,,從 Windows 10 過(guò)度還需要一段時(shí)間,。當(dāng)然如果你還在用WinXP,要么忽略Win11,,要么考慮換臺(tái)電腦——基本上2016年之后出廠的新機(jī)器,,硬件上都支持TPM 2.0,安裝Win11系統(tǒng)也是沒(méi)問(wèn)題的,。 這大概也是微軟這次強(qiáng)推TPM的主要?jiǎng)訖C(jī)之一,,利用Win11 淘汰一批舊機(jī)型,既滿足了微軟新系統(tǒng)提高市占率的目標(biāo),,又完成了了OEM合作伙伴的硬件出貨指標(biāo),。 |
|
|
來(lái)自: 長(zhǎng)慶wcqjs > 《技術(shù)》
