Подробный гайд: TPM 2.0 — модуль безопасности

TPM 2.0 — аппаратный модуль безопасности для шифрования, защиты ключей и контроля целостности системы. Обязателен для Windows 11.

2026.05.27                  

Подробный гайд: TPM 2.0 — модуль безопасностиПодробный гайд: TPM 2.0 — модуль безопасности

Что такое TPM 2.0?

TPM (Trusted Platform Module) — это международный стандарт безопасности, обеспечивающий доверенную работу вычислительных платформ. Физически это криптографический процессор (чип), который создаёт, хранит и ограничивает использование криптографических ключей.

Важно:

С 28 июля 2016 года все новые устройства должны реализовывать и включать по умолчанию TPM 2.0 согласно требованиям Microsoft.

Основные функции TPM 2.0

Криптографические возможности:

Функция Описание
Хеширование SHA-1, SHA-256, SHA-384
Симметричное шифрование AES-128, AES-256
Асимметричное шифрование RSA (до 2048+ бит), ECC
Генерация ключей Создание и безопасное хранение криптографических ключей
Цифровая подпись HMAC, SMAC, ECDSA
Генерация случайных чисел Аппаратный RNG

Уникальные возможности безопасности:

  • PCR-регистры (Platform Configuration Registers) — защищённые регистры для хранения хешей компонентов системы
  • Обёртывание ключей (Wrapping/Binding) — шифрование данных ключом, хранящимся внутри TPM
  • Запечатывание (Sealing) — привязка расшифровки данных к состоянию системы в регистрах PCR
  • Ключ подтверждения (Endorsement Key) — уникальный ключ, создаваемый при производстве чипа
  • Шифрование сеансов — защита данных при передаче между хостом и TPM

Практические сценарии использования

1. Безопасная загрузка (Secure Boot + Measured Boot)

1. При включении ПК измеряются хеши: BIOS → Загрузчик → Ядро → Драйверы
2. Результаты сохраняются в PCR-регистрах TPM
3. При несовпадении хешей система может заблокировать загрузку
4. Защита от руткитов и буткитов на раннем этапе

2. Полнодисковое шифрование (BitLocker / LUKS)

  • Ключ шифрования диска хранится в защищённой памяти TPM
  • Ключ «распечатывается» только при совпадении измерений в PCR
  • При перемещении диска в другой ПК данные остаются недоступными

3. Windows Hello и биометрическая аутентификация

  • Биометрические шаблоны защищаются ключами TPM
  • Даже при компрометации ОС злоумышленник не получит доступ к биометрии

4. Удалённая аттестация (Remote Attestation)

  • Устройство может криптографически доказать удалённому серверу свою целостность
  • Используется в корпоративных сетях для контроля доступа устройств

5. Защита корпоративных сетей

  • Аутентификация устройств перед подключением к сети
  • Проверка целостности ПО перед предоставлением доступа к ресурсам

Типы реализации TPM

Тип Описание Безопасность
Дискретный TPM Отдельный чип на материнской плате (SPI/I2C) Максимальная
Интегрированный (fTPM) Функция в процессоре (AMD fTPM / Intel PTT) Высокая
Программная эмуляция SWTPM, эмуляция в ПО Зависит от ОС
Firmware TPM Реализация в TEE (TrustZone, OP-TEE) Высокая

Совет:

Для максимальной безопасности предпочтительнее дискретный TPM. fTPM — отличный баланс безопасности и стоимости для большинства пользователей.

Как проверить наличие и версию TPM в Windows

Способ 1: Через консоль управления

  1. Нажмите Win + R
  2. Введите tpm.msc и нажмите Enter
  3. В разделе «Сведения об изготовителе» проверьте Версию спецификации

Способ 2: Через Безопасность Windows

  1. Откройте ПараметрыОбновление и безопасностьБезопасность Windows
  2. Перейдите в Безопасность устройстваПроцессор безопасности
  3. Нажмите Сведения о процессоре безопасности для проверки версии

Способ 3: Через PowerShell

Get-Tpm | Select-Object TpmPresent, TpmReady, ManufacturerVersion, SpecVersion

Как включить TPM 2.0 в BIOS/UEFI

Внимание:

Перед изменением настроек BIOS создайте резервную копию важных данных!

Общий алгоритм:

  1. Перезагрузите ПК и войдите в BIOS/UEFI (клавиша Del, F2, F10 или Esc)
  2. Найдите раздел: Advanced / Security / Trusted Computing
  3. Включите соответствующую опцию:
Производитель Название опции в BIOS
Intel Intel Platform Trust Technology (PTT)
AMD AMD fTPM / AMD PSP fTPM
ASUS Security Device Support / TPM Device Selection
Gigabyte Intel PTT / AMD CPU fTPM
MSI Security Device Support / TPM 2.0
Dell TPM 2.0 Security / PTT Security
HP TPM Device / Embedded Security Device
Lenovo Security Chip / TPM 2.0

4. Сохраните изменения (F10) и перезагрузитесь

Альтернативный вход через Windows:

Параметры → Обновление и безопасность → Восстановление → 
Особые варианты загрузки → Перезагрузить сейчас → 
Поиск и устранение неисправностей → Дополнительные параметры → 
Параметры встроенного ПО UEFI → Перезагрузить

Возможные проблемы и решения

Проблема Решение
TPM не определяется Обновите BIOS/UEFI до последней версии; проверьте, поддерживает ли процессор TPM
Опция TPM скрыта в BIOS Некоторые производители скрывают опцию — обратитесь к документации производителя
TPM 1.2 вместо 2.0 Устройство не соответствует требованиям Windows 11; возможно, требуется обновление прошивки
Потеря данных после сброса TPM Всегда создавайте резервную копию ключей BitLocker перед сбросом TPM
Конфликт с Secure Boot Убедитесь, что обе функции включены и совместимы

Безопасность и уязвимости

Известные риски:

  • Атаки по сторонним каналам (timing attacks) — например, TPM-FAIL (2021)
  • Физический доступ — дискретные TPM могут быть уязвимы при прямом подключении к шине
  • Уязвимости реализации — например, CVE-2018-6622 в некоторых чипах

Рекомендации по защите:

  • Используйте дискретный TPM или fTPM от проверенных производителей
  • Регулярно обновляйте прошивку TPM и BIOS
  • Не отключайте защиту от физического доступа к корпусу
  • Для критических данных используйте многофакторную аутентификацию
  • Храните резервные ключи восстановления в безопасном месте

Важно:

Ни одна технология не обеспечивает 100% безопасность. TPM — это важный слой защиты, но не панацея.

TPM в других ОС

Linux:

  • LUKS + TPM: Шифрование диска с привязкой к состоянию системы
  • systemd-cryptenroll: Современный инструмент для интеграции TPM
  • tpm2-tools: Набор утилит для работы с TPM 2.0

macOS:

  • Apple использует собственный Secure Enclave (аналог TPM) в чипах T2/M-series
  • Функционал аналогичен: защита ключей, биометрия, безопасная загрузка

Сравнение: TPM 1.2 vs TPM 2.0

Параметр TPM 1.2 TPM 2.0
Год выпуска 2003/2011 2014+
Хеш-алгоритмы Только SHA-1 SHA-1, SHA-256, SHA-384, SM3
Алгоритмы шифрования Только RSA RSA, ECC, AES, SM2/SM4
Гибкость Жёсткая спецификация Библиотечная архитектура
Поддержка платформ x86/x64 x86, x64, ARM, RISC-V
Стандарт ISO ISO/IEC 11889:2009 ISO/IEC 11889:2015+
Статус Устарел Текущий стандарт

Полезные ресурсы

  • tpm2-tools для Linux: github.com/tpm2-software/tpm2-tools
  • Проверка совместимости с Windows 11: microsoft.com/ru-ru/windows/windows-11#pchealthcheck

Заключение:

TPM 2.0 — это фундаментальный компонент современной кибербезопасности. Он обеспечивает аппаратную защиту ключей, целостность системы и доверенную загрузку. Для пользователей Windows 11 наличие активного TPM 2.0 является обязательным требованием, но даже в других сценариях этот модуль значительно повышает уровень защиты ваших данных.

Информация предоставлена в ознакомительных целях. Применение описанных настроек в системах, должно осуществляться только после согласования с ответственными за информационную безопасность и в соответствии с требованиями ФСТЭК, ФСБ и иных уполномоченных органов.

×

Полный размер Слайдшоу Предыдущий Следующий