Co je TPM a proč jej potřebuji pro Windows 11?

Připravovaný operační systém Microsoft Windows 11 bude vyžadovat dosud málo známou funkci zabezpečení PC, Trusted Platform Module (TPM), což je důvodem k obavám mezi prvními uživateli, kteří se nemohou dočkat, až dostanou nový operační systém do rukou.



Mám modul TPM, který funguje se systémem Windows? je otázka, o které jste si pravděpodobně nikdy nemysleli, že ji budete muset položit. Ale dobrá zpráva pro lidi, kteří si koupili PC v posledních několika letech, je, že odpověď je téměř jistě ano. Pro všechny ostatní, kteří chtějí upgradovat na Windows 11, zejména pro lidi, kteří si vytvořili nebo upgradovali vlastní plochu Windows, může být odpověď složitější.

Pojďme se podívat na to, co TPM dělají a jak je Microsoft začleňuje do další verze Windows na základě toho, co zatím víme.






Co je TPM?

Ve své nejzákladnější podobě je TPM malý čip na základní desce vašeho počítače, někdy oddělený od hlavního CPU a paměti. Čip je podobný klávesnici, kterou používáte k deaktivaci domácího bezpečnostního alarmu pokaždé, když vejdete do dveří, nebo aplikaci pro ověřování, kterou používáte v telefonu k přihlášení ke svému bankovnímu účtu. V tomto scénáři je zapnutí počítače analogické s otevřením předních dveří vašeho domova nebo zadáním uživatelského jména a hesla na přihlašovací stránku. Pokud nezadáte kód během krátké doby, zazní alarm nebo nebudete mít přístup ke svým penězům.

Stejně tak po stisknutí tlačítka napájení na novějším počítači, který používá šifrování celého disku a TPM, malý čip poskytne jedinečný kód zvaný kryptografický klíč. Pokud je vše v pořádku, šifrování disku se odemkne a počítač se spustí. Pokud je problém s klíčem – možná vám hacker ukradl notebook a pokusil se manipulovat se šifrovanou jednotkou uvnitř – váš počítač se nespustí.



Asus Trusted Platform Module (TPM)Doplněk Trusted Platform Module (TPM) pro základní desky Asus. (Foto: Asus)

I když moderní implementace TPM fungují na té nejzákladnější úrovni, není to zdaleka vše, co dokážou. Ve skutečnosti mnoho aplikací a dalších funkcí počítače využívá TPM poté, co se systém již nastartoval. E-mailové klienty Thunderbird a Outlook používají TPM ke zpracování šifrovaných zpráv nebo zpráv podepsaných klíčem. Webové prohlížeče Firefox a Chrome také využívají TPM pro určité pokročilé funkce, jako je udržování certifikátů SSL pro webové stránky. Řada spotřebních technologií kromě počítačů používá také TPM, od tiskáren po příslušenství pro připojenou domácnost.

Stejně jako TPM mohou vykonávat mnoho dalších funkcí kromě jejich základního účelu, kterým je poskytování ochrany při spouštění pro PC, mohou mít kromě samostatného čipu také mnoho různých podob. Trusted Computing Group (TCG), odpovědná za udržování standardů TPM, uvádí, že existují dva další typy TPM. Moduly TPM lze integrovat do hlavního CPU, buď jako fyzický doplněk, nebo jako kód, který běží ve vyhrazeném prostředí, známém jako firmware. Tato metoda je téměř stejně bezpečná jako samostatný čip TPM, protože používá důvěryhodné prostředí, které je oddělené od ostatních programů, které používají CPU.

Třetím typem TPM je virtuální. To běží kompletně softwarově. Toto se nedoporučuje pro použití v reálném světě, varuje TCG, protože je zranitelný jak vůči neoprávněným zásahům, tak vůči jakýmkoli bezpečnostním chybám, které by mohly být přítomny v operačním systému.

Pro podrobnější (ale stále přístupný) pohled na to, jak TPM fungují, krátká kniha Praktický průvodce TPM 2.0 stojí za přečtení. Podívejte se také na příklad všech způsobů použití čipů TPM ve spotřebitelských počítačích Průvodce Apple T2 bezpečnostní čipy pro počítače Mac. (Ačkoli Apple tento termín nepoužívá, T2 je v podstatě TPM.)


Jaká je dohoda s Windows a TPM?

Windows 7 a Windows 10 mají rozsáhlou podporu pro TPM. Notebooky a stolní počítače určené pro použití ve velkých organizacích s přísnými požadavky na bezpečnost IT byly hlavními osvojiteli. V mnoha případech TPM nahradily těžkopádné čipové karty, které IT oddělení kdysi vydávala zaměstnancům. Čipové karty musí být vloženy do slotu nebo přiloženy k vestavěné bezdrátové čtečce, aby se ověřilo, že systém neutrpěl neoprávněnou manipulaci.

Bezpečnostní funkce na úrovni operačního systému již také využívají moduly TPM. Použili jste někdy funkci přihlášení pomocí rozpoznávání obličeje Windows Hello na novějším notebooku? To vyžaduje TPM.

Snímek obrazovky Kontrola kompatibility systému Windows

Moduly TPM jsou účinnou alternativou ke starším metodám zabezpečení počítačů se systémem Windows. Vlastně od července 2016 Microsoft skutečně požadoval Podpora TPM 2.0 na všech nových počítačích, které používají jakoukoli verzi Windows 10 pro stolní počítače (Home, Pro, Enterprise nebo Education). Stejně tak Windows 11 poběží pouze na počítačích, které mají funkce TPM. Společnost Microsoft byla na tento požadavek přísná před obecnou dostupností Windows 11, která je naplánována jako bezplatný upgrade na letošní prázdniny pro počítače s Windows 10. Pokud si stáhnete Nástroj pro kompatibilitu Windows 11 nyní bude pouze indikovat, že váš systém je připraven, pokud je TPM 2.0 spuštěn a spuštěn. (Microsoft poznamenává, že v nadcházejících dnech a týdnech bude tento nástroj ladit, aby byl užitečnější při vysvětlování specifik kompatibility.)

Microsoft však tiše poznamenal, že Windows 11 poběží v určitých situacích na počítačích, které mají TPM starší než verze 2.0. Společnosti podpůrné dokumenty uvádějí že TPM 2.0 je spíše požadavkem soft floor a že PC s TPM 1.2 budou také moci provozovat Windows 11. Ale zařízení, která splňují soft floor, obdrží upozornění, že upgrade není doporučen, varuje Microsoft.


Má můj počítač již TPM 2.0?

Pokud máte počítač, který splňuje ostatní minimální systémové požadavky Windows 11, je pravděpodobné, že podporuje TPM 2.0. Standard je však relativně nový. Pokud jste si počítač zakoupili po roce 2016, téměř jistě je dodáván s TPM 2.0. Pokud je váš počítač starší než několik let, pravděpodobně má buď starší verzi TPM 1.2 (která se podle Microsoftu nedoporučuje pro Windows 11), nebo nemá TPM vůbec.

Microsoft se snaží situaci zjednodušit odkazem na svůj termín pro implementaci TPM 2.0 v roce 2016. Společnost ve svých častých dotazech k Windows 11 uvádí, že mnoho počítačů mladších než čtyři roky bude moci upgradovat na Windows 11.

Vzhledem k tomu, že moduly TPM mají mnoho podob, jak již bylo zmíněno dříve, neexistuje způsob, jak na jediný pohled ověřit, zda má váš počítač čip nebo firmware kompatibilní s TPM 2.0. Windows nabízí obecný indikátor stavu „bezpečnostního procesoru“, ale pro jistotu se budete muset informovat u společnosti, která vyrobila váš stolní počítač nebo notebook.

Snímek obrazovky stavu procesoru zabezpečení systému Windows

Většina větších dodavatelů má na svých webových stránkách přímočaré články podpory, které vysvětlují, které produkty mají podporu TPM 2.0. Například Dell publikuje šikovný graf který označuje, jaký typ TPM je nainstalován v kterém systému. Společnost používá tři různé typy TPM 2.0 v moderních Latitude, Precision, OptiPlex a spotřebitelských laptopech a stolních počítačích.

Doporučeno našimi redaktory

Microsoft nemáMicrosoft nechce, abyste upgradovali na Windows 11 Základní deska zobrazující slot TPMWindows 11 Home Edition vyžaduje k dokončení instalace účet Microsoft Logo Windows 11Chcete-li upgradovat na Windows 11, připravte se na vstup do systému BIOS počítače

Mohu přidat TPM do svého PC?

Pokud jste si v posledních letech sestavili svůj vlastní stolní počítač a rádi si pohráváte s nastavením zabezpečení hardwaru a softwaru v systému BIOS, pravděpodobně můžete na svou základní desku přidat samostatný čip TPM 2.0. Mnoho základních desek je dodáváno se shlukem kolíků záhlaví jasně označených TPM. A, jak uvádí ExtremeTech , můžete si vyzvednout modul TPM pro některé modely základních desek za méně než 50 USD.

Ale není to tak jednoduché, jako koupit si přídavný modul TPM 2.0 a zapojit ho do hlavičky. I když máte hardwarový TPM nainstalovaný v domácím počítači, budete se muset ujistit, že je správně nastaven v systému BIOS, aby jej operační systém Windows rozpoznal. Tento proces se značně liší v závislosti na základní desce a CPU, které používáte. Dokonce i Microsoft uznává, že zapnutí TPM nemusí být nutně přímočarý proces. VP společnosti Microsoft pro produktový management Steve Dispense navrhuje že může být nutné povolit nastavení jako Platform Trust Technology (PTT) v BIOSu počítačů s procesorem Intel nebo fTPM u počítačů s procesorem AMD.

Tato základní deska Aorus Z490 má hlavičku TPM umístěnou na okraji. (Foto: John Burek)

A pokud jste jedním z mnoha lidí, kteří utratili značné peníze za vybudování špičkového herního PC se základní deskou nebo CPU, které mohou postrádat funkce TPM nebo možnost je přidat, váš systém stále pravděpodobně zbývají roky života, ale nemusí být možné spustit Windows 11. Řešení TPM 2.0 založené na firmwaru může být možností pro některé počítače bez funkce TPM na základní desce, i když vlastní implementace bude téměř jistě vyžadovat určité pokusy a omyly.


Zabrání mi TPM ve spuštění Linuxu?

A naopak, spousta počítačových nadšenců má počítače, které TPM podporují, ale rozhodli se je z různých důvodů zakázat. Pokud jste to vy, Windows 11 přináší dobré a špatné zprávy.

Dobrou zprávou je, že téměř cokoli, co chcete v dnešní době dělat s počítačem, lze s povolenými moduly TPM. Ano, existují výjimky, ale ty se dotknou pouze malého procenta uživatelů. Například TCG již dlouho specifikuje TPM požadavky pro open-source operační systém Linux, což znamená, že lidé, kteří chtějí přepínat svůj počítač mezi systémem Windows 11 a různými distribucemi Linuxu, by tak měli mít možnost. Podpora se bude lišit v závislosti na distribuci Linuxu, kterou používáte, a na tom, jak může požadavek TPM interagovat s prostředími s duálním spouštěním, není zatím 100% jasné.


Omezí modul TPM, které funkce systému Windows 11 mohu používat?

Jednou z mnoha záludných částí požadavku TPM 2.0 ve Windows 11 je, že Microsoft může vyjmout stránku z příručky Apple a zavést další omezení související se zabezpečením TPM v budoucích aktualizacích Windows. Například počítače Mac s čipem T2 mají mnoho funkcí, které počítače Apple bez něj nemají, včetně rozpoznávání otisků prstů a vylepšeného zpracování obrazového signálu. Tato situace existuje také ve světě Windows 10, přičemž ukázkovým příkladem je výše zmíněné rozpoznávání tváře Windows Hello.

S Windows 11 a budoucími verzemi TPM by Microsoft mohl dále segmentovat prostředí Windows. To by mohlo zahrnovat přidání nových funkcí, které vyžadují TPM, ale také by to mohlo zahrnovat přidání dalších uzamčených verzí Windows podobných aktuálnímu režimu Windows 10 S. Pro většinu spotřebitelů to nebude problém, ale je třeba na to pamatovat, pokud plánujete upgradovat na Windows 11, jakmile bude k dispozici.

Doporučená