TPM

Układ sprzętowy przechowujący klucze kryptograficzne i wspierający bezpieczeństwo systemu. Wymagany m.in. przez Windows 11 do szyfrowania i bezpiecznego startu.

TPM (Trusted Platform Module) to dedykowany układ kryptograficzny, który bezpiecznie generuje i przechowuje klucze, hasła i certyfikaty — w izolacji od reszty systemu. Możesz go traktować jak mały sejf wlutowany w płytę główną (albo zaszyty w firmware procesora): nawet jeśli ktoś przejmie kontrolę nad systemem operacyjnym, klucze prywatne nie opuszczają tego sejfu. TPM działa według otwartej specyfikacji Trusted Computing Group, a aktualnie obowiązuje wersja TPM 2.0 — to właśnie ona jest wymagana m.in. przez Windows 11.

Do czego to służy

Główna idea jest prosta: pewne operacje kryptograficzne mają się dziać wewnątrz chipu, a nie w pamięci RAM, gdzie wszystko da się podejrzeć. TPM przechowuje klucze, potrafi je generować, podpisywać dane i potwierdzać tożsamość maszyny. Klucz główny (Storage Root Key) nigdy nie wychodzi na zewnątrz w postaci jawnej.

Druga ważna funkcja to measured boot. TPM ma rejestry zwane PCR (Platform Configuration Registers), w których zapisuje „odciski” kolejnych etapów startu systemu — od firmware po bootloader. Jeśli ktoś podmieni któryś element, wartości PCR się nie zgodzą i klucze zostaną zablokowane. Dzięki temu BitLocker potrafi odszyfrować dysk automatycznie tylko wtedy, gdy maszyna wystartowała w niezmienionym stanie.

Przykład z praktyki

Najczęstszy scenariusz to właśnie BitLocker na Windows. Klucz szyfrujący dysk jest „zapieczętowany” w TPM i wydawany tylko przy poprawnym measured boot — bez podawania hasła przy każdym starcie. Na Linuksie zajrzysz do modułu komendą tpm2_pcrread (z pakietu tpm2-tools), żeby zobaczyć aktualne wartości PCR. SSH też potrafi trzymać klucz w TPM — z biblioteką tpm2-pkcs11 klucz prywatny nigdy nie ląduje w pliku na dysku.

Mity i pułapki

Najpopularniejszy mit: „TPM spowalnia komputer”. Nie, to nie jest koprocesor liczący wszystko — wykonuje tylko wybrane operacje na kluczach. Drugi błąd: mylenie fTPM (firmware TPM zaszyty w procesorze, np. Intel PTT albo AMD fTPM) z fizycznym, dyskretnym chipem. Funkcjonalnie są zgodne, ale dyskretny moduł jest odporniejszy na ataki na firmware. Na koniec uwaga praktyczna: jeśli używasz BitLockera, zapisz klucz odzyskiwania w innym miejscu. Aktualizacja BIOS-u potrafi zmienić PCR i system poprosi o ten klucz przy starcie — bez niego zostajesz z zaszyfrowanym, niedostępnym dyskiem.

Pojęcia powiązane: BitLocker, Secure Boot, UEFI, HSM, measured boot, PCR, fTPM, klucze kryptograficzne.