TPM (ראשי תיבות באנגלית של: Trusted Platform Module) הוא תקן בינלאומי למעבד קריפטוגרפי מאובטח, מיקרו-בקר ייעודי שנועד לשימושי אבטחה באמצעות מפתחות הצפנה שמשלובים בו. המונח יכול להתייחס גם למעגל משולב התואם לתקן ISO/IEC 11889. שימושים נפוצים ב-TPM הם אימות השלמות (integrity) של הפלטפורמה (כדי לוודא שתהליך האתחול מתחיל מחומרה ותוכנה מהימנים), ואחסון מפתחות להצפנת דיסקים.

רכיבים של TPM התואם לתקן TPM גרסה 1.2

אחת מדרישות מערכת ההפעלה של Windows 11 היא הטמעת TPM בגרסה 2.0. מיקרוסופט הצהירה שדרישה זו קיימת כדי לעזור להגביר את האבטחה מפני התקפות קושחה.[1]

כיום, TPM מסופק על ידי כמעט כל יצרני המחשבים והמחשבים הניידים במוצרים שלהם.

היסטוריה

עריכה

TPM נוצר על ידי קונסורציום טכנולוגיית מידע בשם Trusted Computing Group או TCG. הוא התפתח לגרסה 1.2 של מפרט ראשי של TPM אשר תוקנה על ידי ארגון התקינה הבינלאומי (ISO) והנציבות האלקטרוטכנית הבינלאומית (IEC) בשנת 2009 כ-ISO/IEC 11889:2009.[2] מפרט ראשי של TPM גרסה 1.2 הושלמה ב-3 במרץ 2011 והשלימה את התיקון שלו.[3][4]

ב-9 באפריל 2014 הודיעה TPC על שדרוג גדול למפרט שלהם בשם TPM Library Specification 2.0.[5] הקבוצה ממשיכה לעבוד על התקן המשלב שגיאות, תוספות אלגוריתמיות ופקודות חדשות, כאשר המהדורה האחרונה שלה פורסמה כ-2.0 בנובמבר 2019.[6] גרסה זו הפכה ל-ISO/IEC 11889:2015.

כאשר גרסה חדשה משוחררת היא מחולקת לחלקים מרובים על ידי קבוצת המחשוב מהימנה. כל חלק מורכב ממסמך המרכיב את כל מפרט ה-TPM החדש.

  • חלק 1 ארכיטקטורה (שנוי שם מ"עקרונות עיצוב")
  • חלק 2 מבנים של TPM
  • חלק 3 פקודות
  • חלק 4 תומכים בשגרות (נוסף ב-TPM 2.0)

סקירה כללית

עריכה

באופן טיפוסי TPM מספק:

  • מחולל מספרים אקראיים בחומרה[7]
  • מתקנים לייצור מאובטח של מפתחות לשימושים מוגבלים.
  • remote attestation: יוצר סיכום מפתח גיבוב כמעט בלתי ניתן לזיוף של תצורת החומרה והתוכנה. אפשר להשתמש ב-hash כדי לוודא שהחומרה והתוכנה לא שונו. התוכנה שאחראית על hashing ההגדרה קובעת את היקף הסיכום.
  • Binding: הנתונים מוצפנים באמצעות מפתח החיבור TPM, מפתח RSA ייחודי שמקורו במפתח אחסון. מחשבים המשלבים TPM יכולים ליצור מפתחות קריפטוגרפיים ולהצפין אותם כך שניתן יהיה לפענח אותם רק על ידי ה-TPM. תהליך זה, הנקרא לעיתים "עטיפה" (wrapping) או קשירה (binding), יכול לסייע בהגנה על המפתח מפני חשיפה. לכל TPM יש מפתח גלישת ראשי, הנקרא מפתח שורש האחסון, המאוחסן בתוך ה-TPM עצמו. מיכלי מפתח RSA ברמת המשתמש מאוחסנים עם פרופיל המשתמש של Windows עבור משתמש מסוים וניתן להשתמש בהם כדי להצפין ולפענח מידע עבור יישומים הפועלים תחת זהות משתמש ספציפית זו.[8][9]
  • אחסון אטום (sealed storage): מציין את מצב ה-TPM[10] עבור הנתונים לפענוח (לא אטום).[11]
  • פונקציות אחרות חישוב מהימן לפענוח הנתונים (בלתי אטום).[12]

תוכנות יכולות להשתמש ב-TPM לאימות זהות של התקני חומרה, מכיוון שלכל שבב TPM יש מפתח אישור ייחודי וסודי (EK) שנצרב תוך כדי הפקתו. אבטחה המוטמעת בחומרה מספקת יותר הגנה מפתרון תוכנה בלבד.[13] השימוש בו מוגבל במדינות מסוימות.[14]

קישורים חיצוניים

עריכה
  מדיה וקבצים בנושא TPM בוויקישיתוף

הערות שוליים

עריכה
  1. ^ Warren, Tom (2021-06-25). "Why Windows 11 is forcing everyone to use TPM chips" (באנגלית). The Verge. נבדק ב-2021-11-13.
  2. ^ "ISO/IEC 11889-1:2009 – Information technology – Trusted Platform Module – Part 1: Overview". ISO.org. International Organization for Standardization. במאי 2009. ארכיון מ-28 בינואר 2017. נבדק ב-30 בנובמבר 2013. {{cite web}}: (עזרה)
  3. ^ "TPM 1.2 Main Specification". Trusted Computing Group (באנגלית אמריקאית). נבדק ב-2021-11-08.
  4. ^ "Trusted Platform Module (TPM) Specifications". Trusted Computing Group. 1 במרץ 2011. ארכיון מ-22 באוקטובר 2017. נבדק ב-30 באוקטובר 2016. {{cite web}}: (עזרה)
  5. ^ "Trusted Computing Group Releases TPM 2.0 Specification for Improved Platform and Device Security" (באנגלית אמריקאית). Trusted Computing Group. 2014-04-01. נבדק ב-2021-11-08.
  6. ^ "TPM Library Specification 2.0". Trusted Computing Group. ארכיון מ-29 באוקטובר 2016. נבדק ב-30 באוקטובר 2016. {{cite web}}: (עזרה)
  7. ^ TPM Main Specification Level 2 (PDF), vol. Part 1 Design Principles (Version 1.2, Revision 116 ed.), אורכב מ-המקור (PDF) ב-24 בפברואר 2021, נבדק ב-12 בספטמבר 2017 {{citation}}: (עזרה)
  8. ^ "Understanding Machine-Level and User-Level RSA Key Containers". 22 באוקטובר 2014. {{cite web}}: (עזרה)
  9. ^ "tspi_data_bind(3) – Encrypts data blob" (Posix manual page). Trusted Computing Group. ארכיון מ-29 בנובמבר 2013. נבדק ב-27 באוקטובר 2009. {{cite web}}: (עזרה)
  10. ^ Trusted Platform Module Library Specification, Family "2.0" (PDF), vol. Part 1 – Architecture, Section 12, TPM Operational States (Level 00, Revision 01.59 ed.), Trusted Computing Group, אורכב מ-המקור (PDF) ב-9 בינואר 2021, נבדק ב-17 בינואר 2021 {{citation}}: (עזרה)
  11. ^ TPM Main Specification Level 2 (PDF), vol. Part 3 – Commands (Version 1.2, Revision 116 ed.), Trusted Computing Group, אורכב מ-המקור (PDF) ב-28 בספטמבר 2011, נבדק ב-22 ביוני 2011 {{citation}}: (עזרה)
  12. ^ Microsoft Article on TPM, 25 ביולי 2008, אורכב מ-המקור ב-2 בינואר 2021, נבדק ב-1 באפריל 2021 {{citation}}: (עזרה)
  13. ^ "TPM – Trusted Platform Module". IBM. אורכב מ-המקור ב-3 באוגוסט 2016. {{cite web}}: (עזרה)
  14. ^ "Windows 11 TPM 2.0 requirement has a special exception". SlashGear (באנגלית אמריקאית). 2021-06-28. ארכיון מ-28 ביוני 2021. נבדק ב-2021-06-29. {{cite web}}: (עזרה)