Először is tisztázzuk miről is beszélünk, a TPM (Trusted Platform Module) egy biztonsági hardveres eszköz, amely lehetővé teszi a számítógép biztonságának növelését különböző kriptográfiai feladatok és adatvédelmi funkciók segítségével. A TPM célja, hogy biztonságosan tárolja a titkosítási kulcsokat, jelszavakat és egyéb érzékeny adatokat, így megvédve a rendszert a jogosulatlan hozzáféréstől és támadásoktól.
A TPM azt a problémát oldja meg, hogy a számítógépek CPU-ján végzett minden titkosítási vagy dekódolási művelet manipulálható vagy megfigyelhető lehet annál fogva, hogy a processzorba a memóriából nyers formában kell a titkosítási kulcsokat és a titkosítandó adatokat valamint az adatokat betölteni.
A TPM ezt úgy oldja meg, hogy mind a kulcsok tárolását, mind a kódolás és dekódolás folyamatát egy önmagában zárt kiegészítő processzorba mozgatja át, amit a kulcsok soha nem hagynak el nyers formában, illetve ahonnan azokat nem lehet kiolvasni sem (vagy nem egyszerűen).

Ez egy újdonság? Nem.

A Trusted Platform Module (TPM) története még a 2000-es évek elején indult.

• A TPM koncepcióját a Trusted Computing Group (TCG) számítástechnikai ipari konzorcium dolgozta ki.

• Az első TPM verzió, amelyet telepítettek, a 1.1b volt 2003-ban.

• A TPM fő specifikációját 1.2 verzióra továbbfejlesztették, amelyet az ISO és IEC 2009-ben szabványosított ISO/IEC 11889:2009 néven.

• A TPM 1.2 véglegesítése 2011. március 3-án történt meg.

• 2024 április 9-én jelentette be a TCG a TPM 2.0 verzióját, amely fontos újításokat és algoritmusokat hozott.
  Ennek legelterjetebb kiadása 2019 novemberében jelent meg, de már van újabb kiadás si a cikk írásának pillanatában ez a 2025-ös: Trusted Platform Module 2.0 Library, Version 184 
  Erről bővebben: https://trustedcomputinggroup.org/resource/tpm-library-specification/

• A TPM 2.0 nem visszafelé kompatibilis a TPM 1.2-vel, és újszerű architektúrát, több kriptográfiai algoritmust, új jogosultsági mechanizmusokat és különböző kulcs kezelési funkciókat tartalmaz.

• A TPM a platformok integritásának biztosítását célozza, például az indulási folyamatok megbízhatóságának ellenőrzésével, és szoros kapcsolatban áll a modern operációs rendszerek, például a Windows 11 rendszerbiztonsági követelményeivel, amelyekhez a TPM 2.0 kötelező.

Jelenleg használt változatai:

• TPM 1.2: Ez az egyik legelterjedtebb verzió. Stabil, széles körben támogatott, és számos biztonsági funkciót kínál, mint például a kulcstárolás, rendszerindítási ellenőrzés és digitális aláírás támogatása.
• TPM 2.0: Az újabb és fejlettebb verzió, amelynek további funkciói vannak, nagyobb rugalmasságot és kompatibilitást biztosít. A TPM 2.0 támogatja többféle algoritmust, például az RSA, SHA-2-t, és jobb biztonsági lehetőségeket kínál.

Hardveres megvalósítás

A TPM egy modul vagy chip formájában integrálódik a számítógép alaplapjába (vezetékes vagy integrált formában). Ezek lehet beépített vagy különálló egység, amit például az alaplap gyártója a gyártás során beágyaz. Bizonyos eszközökön, mint például laptopokon, a TPM chip lehet apró, de a rendszer része, és a BIOS/UEFI beállításokban aktiválható.

Miért nincs minden számítógépben TPM modul?

1. Korábbi gépek nem kötelezően szerelték fel TPM-mel a rendszert. A 2016 előtt gyártott számítógépek többsége például nem rendelkezik beépített TPM modullal, mivel akkor még nem volt általánosan előírt vagy elterjedt ezen biztonsági technológia használata.

2. Az alaplapok nem mindegyike támogatja a külső TPM modul utólagos beépítését, így akár akkor sem lehet TPM-et hozzáadni, ha a gép fizikailag alkalmas lenne futtatni TPM funkciókat.

3. Modern processzorok egy része firmware alapú megoldást (fTPM, vagy Intel PTT) kínál hardverchip helyett, így nem szükséges külön fizikai TPM modul. Egyes gépek ezért nem rendelkeznek külön TPM hardverrel, mert a TPM funkciót szoftveresen implementálták a rendszerben.

4. A hardveres TPM modul beépítésének költségei és gyártói döntések miatt nem minden készülék kerül ellátásra ezzel az eszközzel, főleg az alsóbb kategóriás vagy régebbi modelleken.

5. Bizonyos esetekben a TPM modul bekapcsolása vagy használata is opcionális, és alapértelmezetten ki lehet kapcsolva az alaplap BIOS/UEFI beállításaiban.

Összességében a TPM hiánya legtöbbször az adott hardver korára vagy a gyártó pénzsporolására vezethető vissza.

Összegzés

A TPM alapvetően hardveres tároló egység, amely növeli a rendszer biztonságát azzal, hogy fizikai izolációban tartja a kriptográfiai kulcsokat. A két fő változat, a TPM 1.2 és a TPM 2.0, különböző fejlettségi szinteken támogatják a biztonsági funkciókat, míg a megvalósításuk lehet egy beépített chip vagy különálló komponens a hardveren.