Рейтинг@Mail.ru

Что такое TPM и как его использовать в Windows

автор:
12 comments Компьютеры и программы
Print Friendly, PDF & Email

Во многих компьютерах и ноутбуках сегодня можно встретить дополнительный чип, который называется TPM. В операционной системе он определяется в разделе "Устройства безопасности". Что это за зверь такой и для чего он, собственно, нужен мы и поговорим сегодня.

Доверенный платформенный модуль, или TPM (trusted platform module) – это отдельный микрочип на системной плате компьютера, который выполняет специфический круг задач, связанных с криптографией и защитой компьютера.

Например, с помощью криптопроцессора TPM можно осуществлять шифрование жёсткого диска компьютера. Конечно, это может делать и центральный процессор, но тогда ему придётся выполнять больше задач, и скорость шифрования и расшифрования будет гораздо ниже. Аппаратно реализованное шифрование в модуле TPM происходит практически без потери производительности.

Расшифрование (decryption) иногда некорректно называют дешифрование (deciphering). Разница между ними в том, что при расшифровании вам известен алгоритм и секретный ключ, которым зашифрованы данные, а при дешифровании – нет.

Также TPM может защищать учётные данные и проверять программы, запущенные в системе. Предотвращает заражение руткитами и буткитами (разновидности вредоносных программ, которые проникают в компьютер до загрузки операционной системы или скрывают своё присутствие в системе, и потому не могут быть распознаны системой), следя за тем, чтобы конфигурация компьютера не была изменена без ведома пользователя.

Кроме того, каждый криптографический модуль TPM имеет уникальный идентификатор, который записан прямо в микросхему и не может быть изменён. Поэтому крипточип может использоваться для проверки подлинности при доступе к сети или какому-либо приложению.

TPM может генерировать стойкие ключи шифрования, когда это требуется операционной системе (ОС).

Но прежде чем использовать модуль TPM, его необходимо настроить. Настройка модуля сводятся к нескольким простым действиям.

  • Во-первых, чип нужно активировать в BIOS компьютера (если он не активирован).
  • Во-вторых, нужно стать его владельцем на уровне операционной системы.

Рассмотрим эти шаги более подробно.

1Включение модуля TPM в BIOS компьютера

Для включения модуля зайдите в BIOS и перейдите в раздел, связанный с безопасностью. Хотя BIOS может существенно отличаться на разных компьютерах, как правило, раздел с настройками безопасности называется "Security". В этом разделе должна быть опция, которая называется "Security Chip".

Настройки безопасности в BIOS
Настройки безопасности в BIOS

Модуль может находиться в трёх состояниях:

  • Выключен (Disabled).
  • Включён и не задействован (Inactive).
  • Включён и задействован (Active).

В первом случае он не будет виден в операционной системе, во втором – он будет виден, но система не будет его использовать, а в третьем – чип виден и будет использоваться системой. Установите состояние «активен».

Тут же в настройках можно очистить старые ключи, сгенерированные чипом.

Очистка памяти чипа TPM
Очистка памяти чипа TPM

Очистка TPM может пригодиться, если вы, например, захотите продать свой компьютер. Учтите, что стерев ключи, вы не сможете восстановить данные, закодированные этими ключами (если, конечно, вы шифруете свой жёсткий диск).

Теперь сохраните изменения ("Save and Exit" или клавиша F10) и перезагрузите компьютер.

После загрузки компьютера откройте диспетчер устройств и убедитесь, что доверенный модуль появился в списке устройств. Он должен находиться в разделе «Устройства безопасности».

Чип TPM в диспетчере устройств Windows
Чип TPM в диспетчере устройств Windows

2Инициализация модуля TPM в Windows

Осталось инициализировать чип в операционной системе. Для этого нужно открыть оснастку управления модулем TPM. Нажмите кнопки Windows+R (откроется окно «Выполнить»), введите в поле ввода tpm.msc и нажмите «Ввод». Запустится оснастка «Управление доверенным платформенным модулем (TPM) на локальном компьютере».

Здесь, кстати, можно почитать дополнительную информацию – что такое TPM, когда его нужно включать и выключать, менять пароль и т.д.. Хороший цикл статей, посвящённый TPM, есть на сайте Microsoft.

В правой части оснастки находится меню действий. Нажмите «Инициализировать TPM…». Если эта возможность не активна, значит, ваш чип уже инициализирован. Если он инициализирован не вами, и вы не знаете пароль владельца, то желательно выполнить сброс и очистку памяти модуля, как описано в предыдущем пункте.

Оснастка для управления чипом TPM
Оснастка для управления чипом TPM

Когда запустится мастер инициализации TPM, он предложит создать пароль. Выберите вариант «Автоматически создать пароль».

Инициализация модуля TPM через оснастку
Инициализация модуля TPM через оснастку

Программа инициализации модуля TPM сгенерирует пароль. Сохраните его в файле или распечатайте. Теперь нажмите кнопку «Инициализировать» и немного подождите.

Пароль TPM сгенерирован, инициализация
Пароль TPM сгенерирован, инициализация

По завершении программа сообщит об успешной инициализации модуля. После завершения инициализации все дальнейшие действия с модулем – отключение, очистка, восстановление данных при сбоях, сброс блокировки – будут возможны только с помощью пароля, который вы только что получили.

Пароль владельца для TPM создан
Пароль владельца для TPM создан

Теперь действие инициализации стало неактивным, зато появилась возможность отключить TPM, сменить пароль владельца и сбросить блокировку модуля, если это произошло (модуль блокирует сам себя для предотвращения мошенничества или атаки).

Инициализация TPM завершена
Инициализация TPM завершена

Собственно, на этом заканчиваются возможности управления модулем TPM. Все дальнейшие операции, которые будут требовать возможности чипа, будут происходить автоматически – прозрачно для операционной системы и незаметно для вас. Всё это должно быть реализовано в программном обеспечении. В более свежих операционных системах, например Windows 8 и Windows 10, возможности TPM используются более широко, чем в более старых ОС.

Last modified onВторник, 12 Март 2019 19:04 Read 142413 times
Ключевые слова: :

Поблагодарить автора:

Поделиться

Print Friendly, PDF & Email

12 comments

  • Андрей
    Андрей Суббота, 25 Июль 2020 18:33 Ссылка на комментарий

    Здравствуйте!

    Хочу поделиться своей проблемой по поводу TPM. Недавно система обновилась
    KB4565503 (Build 19041.388) для Windows 10 (версия 2004) В тот же день появился
    Синий экран смерти, у меня таково раньше никогда не было. Ошибка 0x00000133
    И так стало продолжаться каждый день. Нашел такую информацию : ( Драйвер устройства для доверенного платформенного модуля (TPM) обнаружил неустранимую ошибку, связанную с оборудованием TPM, которая не позволяет использовать службы TPM (например, шифрование данных). Обратитесь за помощью к производителю компьютера.) Пришлось в биосе отключить модуль ТРМ, пока все работает четко.

    Может кому-то моя информация поможет

  • aave1
    aave1 Воскреснье, 26 Июль 2020 21:16 Ссылка на комментарий

    Андрей, спасибо большое за информацию! Это действительно интересно. Жаль только, что пришлось полностью отключать модуль TPM и не нашлось другого решения.

  • Влад
    Влад Воскреснье, 27 Декабрь 2020 08:47 Ссылка на комментарий

    Цифровая лицензия виндовс 10 слетит при этом?

  • aave1
    aave1 Воскреснье, 27 Декабрь 2020 18:14 Ссылка на комментарий

    Влад! При чём "при этом"?

  • Алексей
    Алексей Понедельник, 05 Июль 2021 10:41 Ссылка на комментарий

    Зашел в биос, включил ТПМ. Не пришлось никаких паролей создавать. Ничего инициализировать. Но скорее всего из-за того, что у меня включена учетка мелкософт.
    Вопрос, чем грозит нажатие справа команды "Отчистить ТПМ"?

  • aave1
    aave1 Понедельник, 05 Июль 2021 20:18 Ссылка на комментарий

    Алексей, в чипе TPM могут храниться какие-то ваши пароли и идентификационные данные (например, для входа в Windows). Также если вы зашифровали свои данные или диски с помощью аппаратного шифрования (используя, например, BitLocker), то не сможете восстановить их.

    Поэтому прежде чем очищать модуль TPM, необходимо расшифровать все данные, которые были с помощью него зашифрованы. Перед очисткой желательно создать TPM-файл с резервной копией ключей. Это делается в оснастке TPM.

    Рекомендуется очищать модуль при продаже компьютера другому владельцу или при неполадках в работе чипа.

  • Владимир
    Владимир Суббота, 31 Июль 2021 09:22 Ссылка на комментарий

    Здравствуйте !
    Прочитал вашу статью и проверил у себя в своём ноутбуке ASUS наличие модуля TPM
    Оказалось, что у меня он готов к работе. Но, лично я его не включал и даже не имею пароля от него.
    И как теперь мне быть с этим модулем ? Отключить его в БИОСе ? Или не обращать на него своего внимания ?
    Шифрованием я лично никогда не занимался и не занимаюсь, так у меня ничего личного и секретного нет на SSD-диске.
    Жду от вас консультации по моим вопросам.
    Всего хорошего.
    https://pixs.ru/images/2021/07/31/TRM.jpg

  • aave1
    aave1 Суббота, 31 Июль 2021 20:17 Ссылка на комментарий

    Владимир! В таком случае лучше не отключайте модуль TPM и не обращайте на него внимания. Никакие Ваши данные он не может "украсть" или повредить. Вероятно, модуль был активирован производителем ноутбука.

  • Ярослав
    Ярослав Четверг, 05 Август 2021 03:08 Ссылка на комментарий

    Привет ! Материнка P8H61 PRO позволит подключить модуль TPM?

  • aave1
    aave1 Пятница, 06 Август 2021 16:50 Ссылка на комментарий

    Ярослав, да.

  • Виталий
    Виталий Четверг, 25 Ноябрь 2021 13:48 Ссылка на комментарий

    Здравствуйте! Прочитал вашу статью чтобы подключить TPM 2.0 и столкнулся с проблемой по инициализации. Никак не могу решить задачу, подскажите пожалуйста, что я делаю не так и в чем может быть причина. Недавно приобрел TPM 2.0 модуль для своей материнской платы ASUS ROG STRIX Z370-F GAMING. Инициация модуля похоже прошла в автоматическом режиме. В управлении доверенным платформенным модулем отображается статус "готов к использованию". Очистку проводил несколько раз, и через менеджер TPM (который вызывается командой "tpm.msc"), и через устранение неисправностей TMP (та что в настройках безопасности ОС), и через непосредственно UEFI. Результат всегда один, система уведомляет что могут быть потеряны данные, я соглашаюсь, очистка вроде как происходит, компьютер перезагружается. Вновь захожу в менеджер TPM ("tpm.msc") и вижу прежнюю картину - модуль готов к использованию, а варианта с ручной инициализаций нет. При этом новый BIOS или точнее UEFI для платы ASUS ROG STRIX Z370-F GAMING установлен, операционная система Windows 11 крайней версии. В БИОСе модуль включен (параметр Firmware TPM). На всякий случай включил в БИОСе функцию Secure Boot - разницы нет. Складывается впечатление что Майкрософт специально выполняет инициализацию модуля автоматически для "удобства" пользователя. Но хочется иметь доступ к паролю своей системы, иначе о какой безопасности идет речь. Или я что-то делаю не так или модуль с дефектом. И тут же интересно, как вообще проверить практически работоспособность модуля? Или же функция создания пароля в ручную возможна только с использованием Bitlocker? У меня Windows Home, и понимаю что Bitlocker в этой версии не предусмотрен, но в нем ли дело? В общем тема интересная, хочется докопаться до истины.

  • aave1
    aave1 Пятница, 26 Ноябрь 2021 16:27 Ссылка на комментарий

    Виталий! У Вас нет возможности залезть "внутрь" модуля. Он работает полностью в автоматическом режиме. Если система сообщает, что модуль готов, значит она его проверила и она может с ним работать. Тема, согласен, очень интересная, и довольно сложная. Информации на русском языке довольно мало, нужно читать спецификации на английском языке. А на русском для начала можете посмотреть видео на Ютуб с названием "TPM.TXT: попробуем взломать!", в нём кратко описываются задачи TPM, и как с ним работает компьютер.