本文已参与 [新人创作礼] 活动,一起开启掘金创作之路。
本文内容参考借鉴了以下链接:
TPM是什么?
TPM英文全称为Trusted Platform Module,中文译为可信赖平台模块。TPM是在绝大多数PC机和服务器中的加密协处理器。
TPM安全芯片是指符合TPM标准的安全芯片,它能有效地保护PC、防止非法用户访问。符合TPM的芯片首先必须具有产生加解密秘钥的功能,此外还必须能够进行高速的资料加密和解密,以及充当保护BIOS和操作系统不被修改的辅助处理器。
TPM的作用和用途
TPM包含随机数生成、加密密钥的安全生成以及它们的使用限制的功能,还包括诸如远程证明和密封存储等功能。
TPM安全芯片用途十分广泛,配合专用软件可以实现以下用途:
(1)存储、管理BIOS开机密码以及硬盘密码
以往这些事务都是由BIOS做的,玩过的朋友可能知道,忘记了密码只要取下CMOS电池,给CMOS放电就清除密码了。如今这些秘钥实际上存储于固化在芯片的存储单元中,即便是掉电其信息亦不会丢失。相比于BIOS管理密码,TPM安全芯片的安全性要大为提高。
(2)TPM安全芯片可以进行范围较广的加密
TPM安全芯片除了能进行传统的开机加密以及对硬盘进行加密外,还能对系统登录、应用软件登录进行加密。比如MSN、QQ、网游以及网上银行的登录信息和密码,都可以通过TPM加密后再进行传输,这样就不用担心信息和密码被人窃取。、
(3)加密硬盘的任意分区
可以加密笔记本上的任意一个硬盘分区,您可以将一些敏感的文件放入该分区以策安全。其实有些笔记本厂商采用的一键恢复功能,就是该用途的集中体现之一(其将系统镜像放在一个TPM加密的分区中)。还有一些大型商业软件公司(如:Microsoft)也会利用其作为加密分区的手段(如:著名的BitLocker)。
TPM的历史
在1990年代,Internet改变了个人电脑(PC)的连接方式,这导致了PC安全需求的激增。而PC最初的设计并没有或者说几乎没考虑到安全方面的问题,无论是在硬件方面还是软件方面。为了纠正初始设计的错误并解决实际遇到的安全问题,国际上于2003年成立了可信计算组织(the Trusted Computing Group,TCG),由AMD、惠普、IBM、英特尔和微软等组成,旨在建立个人电脑的可信计算概念,目前已发展成员190家,遍布全球各大洲主力厂商。
TCG取代了于1999年10月成立的可信计算平台联盟(TCPA,Trusted Computing Platform Alliance)。TCPA专注于从计算平台体系结构上增强其安全性,并于2001年1月发布了可信计算平台标准规范。2003年3月TCPA改组为TCG(Trusted Computing Group),其目的是在计算和通信系统中广泛使用基于硬件安全模块支持下的可信计算平台,以提高整体的安全性。
TCG组织制定了TPM(Trusted Platform Module)的标准或者说规范,很多安全芯片都是符合这个规范的。而且由于其硬件实现安全防护,正逐渐成为PC、尤其是便携式PC的标准配置。
TPM标准
TPM规范已开发了两次:
第一次,从版本 1.1b 到版本1.2
合并了由规范委员会要求/认可的新功能。此种功能扩展形式的演变使得最终的TPM 1.2规范非常复杂。最后,SHA-1(TPM 1.2 中最强的商业算法)加密缺陷的暴露导致有必要对规范进行更改。
第二次,版本2.0
鉴于1.2版本的缺陷,从头开始重新设计了TPM体系结构,从而诞生更集成和统一设计的TPM 2.0规范(2014 年 10 月发布)。TPM 2.0主要对规范进行了重新设计,该版本添加了新的功能并修复了之前TPM 1.2的缺陷。相较于之前的TPM 1.2,TPM 2.0更改和增强功能如下所示:
-
对其他加密算法的支持
-
应用程序的TPM可用性增强
-
增强的授权机制
-
简化的TPM管理
-
增强平台服务安全性的其他功能
TPM安全芯片厂商
提供TPM安全芯片的厂商也不少,由于国外对于TPM安全芯片的研发、制造起步较早,故而国外厂商在这方面有着相当大的优势。国外生产的TPM安全芯片的主要厂家有:英飞凌、意法半导体(ST)、Atmel、华邦电子等;而国内厂商这方面的研发起步较晚,目前仅有联想的“恒智”芯片以及兆日公司的产品。
