TPM 2.0: co je, k čemu slouží a jak ho zapnout

Co je TPM 2.0?

TPM 2.0, neboli Trusted Platform Module verze 2.0, je specializovaný kryptoprocesor, který je integrován do základní desky počítače nebo přímo do procesoru. Jedná se o hardwarový prvek, který slouží jako kořen důvěry pro bezpečnostní operace systému. Definice vychází ze specifikací Trusted Computing Group (TCG) a je standardizována jako ISO/IEC 11889:2015. TPM 2.0 nahrazuje starší verzi 1.2 a přináší výrazná vylepšení v oblasti podpory moderních šifrovacích algoritmů a flexibility.

Na rozdíl od softwarových řešení funguje TPM 2.0 jako samostatný čip, který je fyzicky oddělen od hlavního procesoru a operační paměti. To znamená, že citlivá data, jako jsou šifrovací klíče nebo přihlašovací údaje, jsou uložena v bezpečném prostředí, kam nemá přístup malware ani jiné škodlivé programy. Díky tomu je TPM základem pro mnoho bezpečnostních funkcí moderních operačních systémů, včetně Windows 11, který TPM 2.0 vyžaduje jako povinný prvek pro instalaci.

TPM 2.0: co je, k čemu slouží a jak ho zapnout - 1

K čemu TPM 2.0 slouží?

Hlavním úkolem TPM 2.0 je zajištění integrity systému a ochrana dat. Jeho přítomnost umožňuje několik klíčových funkcí, které jsou dnes standardem pro bezpečný počítač. Mezi nejdůležitější patří secure boot (bezpečné spouštění), kdy TPM ověřuje, že během startu počítače nebyl narušen zavaděč operačního systému. Pokud dojde k pokusu o změnu, TPM proces zastaví a zabrání spuštění neautorizovaného kódu.

Další důležitou funkcí je BitLocker, nástroj pro šifrování disků v systému Windows. TPM ukládá šifrovací klíče a uvolňuje je pouze v případě, že je systém v důvěryhodném stavu. To znamená, že pokud někdo ukradne váš pevný disk a připojí ho k jinému počítači, data zůstanou zašifrovaná a nepřístupná. TPM 2.0 také umožňuje funkci Windows Hello, která slouží k biometrickému přihlašování pomocí otisku prstu, skenu obličeje nebo PIN kódu. Biometrická data jsou bezpečně uložena právě v TPM a neopouštějí zařízení.

TPM 2.0: co je, k čemu slouží a jak ho zapnout - 2

Díky podpoře algorithm agility (algoritmické agilitě) může TPM 2.0 pracovat s moderními šifrovacími metodami, jako jsou SHA-256, AES a křivková kryptografie (ECC). To je zásadní rozdíl oproti TPM 1.2, který byl omezen hlavně na SHA-1 a RSA. Architektura TPM 2.0 je také pokročilejší. Rozděluje správu klíčů do několika hierarchií: Endorsement Hierarchy (EH), Storage Hierarchy (SH), Platform Hierarchy (PH) a Null Hierarchy. Tyto hierarchie umožňují lepší oddělení rolí a podporují vícefaktorové ověřování.

Jak TPM 2.0 zapnout?

Zapnutí TPM 2.0 se liší podle výrobce základní desky a typu procesoru. U moderních počítačů je TPM 2.0 často již aktivní ve výchozím nastavení, ale u starších modelů může být nutné jej povolit v BIOSu nebo UEFI. Postup je obvykle následující: restartujte počítač a během spouštění opakovaně stiskněte klávesu pro vstup do nastavení – nejčastěji je to Del, F2, F12 nebo Esc, v závislosti na výrobci. Po vstupu do BIOSu/UEFI najděte sekci Security nebo Trusted Computing.

TPM 2.0: co je, k čemu slouží a jak ho zapnout - 3

Název položky se může lišit. U procesorů Intel se často setkáte s označením Intel Platform Trust Technology (Intel PTT), u AMD s označením AMD fTPM. Obě technologie jsou softwarové implementace TPM 2.0 přímo v procesoru a fungují stejně jako fyzický čip. Pokud máte samostatný TPM modul, bude v nabídce uveden jako TPM Device nebo podobně. V nastavení přepněte stav z Disabled na Enabled. Uložte změny a restartujte. Po spuštění systému Windows můžete ověřit funkčnost TPM 2.0 spuštěním nástroje tpm.msc (stiskněte Win + R, napište tpm.msc a stiskněte Enter). Pokud se otevře okno s informacemi o TPM, včetně verze 2.0, je vše v pořádku.

Problematické může být, pokud máte starší počítač, který TPM 2.0 nepodporuje vůbec. V takovém případě budete muset buď zakoupit samostatný TPM modul (pokud má základní deska konektor), nebo zvážit upgrade hardwaru. Windows 11 TPM 2.0 striktně vyžaduje, a bez něj systém oficiálně nespustíte. Některé obcházení tohoto požadavku je možné, ale nedoporučuje se, protože přicházíte o bezpečnostní záruky.

TPM 2.0: co je, k čemu slouží a jak ho zapnout - 4

Zde je přehled nejdůležitějších výhod TPM 2.0 v podobě seznamu:

  • Zvyšuje odolnost proti malwaru a rootkitům díky secure boot.
  • Umožňuje hardwarové šifrování disků pomocí BitLockeru bez nutnosti zadávat PIN při každém startu.
  • Chrání biometrická data pro Windows Hello před únikem.
  • Podporuje moderní šifrovací algoritmy jako AES a ECC.
  • Je povinný pro instalaci Windows 11 a budoucí aktualizace.
  • Poskytuje hardware root of trust, který je mnohem bezpečnější než softwarová řešení.

Porovnání TPM 1.2 a TPM 2.0

VlastnostTPM 1.2TPM 2.0
Rok vydání20032014
Podpora algoritmůPouze SHA-1, RSASHA-256, AES, ECC, SHA-384
ArchitekturaJedna hierarchieČtyři hierarchie (EH, SH, PH, NH)
Počet slotů pro klíčeOmezenýTéměř neomezený (virtuální)
AutorizacePevná, méně flexibilníSession-based, podpora více faktorů
StandardizacePouze TCGISO/IEC 11889:2015

Jak tabulka ukazuje, TPM 2.0 je výrazně modernější a bezpečnější. Starší verze 1.2 je dnes považována za zastaralou a její použití se nedoporučuje.

TPM 2.0: co je, k čemu slouží a jak ho zapnout - 5

Pro více informací o principech fungování TPM 2.0 doporučuji navštívit oficiální dokumentaci od Microsoftu, která se věnuje základům TPM – TPM fundamentals. Pokud vás zajímá, jak TPM funguje na úrovni procesorů, podívejte se na stránku Intelu, která vysvětluje co je Trusted Platform Module.

Zdroje

Tento článek byl sestaven na základě následujících důvěryhodných zdrojů:

Microsoft Learn – TPM Fundamentals: https://learn.microsoft.com/en-us/windows/security/hardware-security/tpm/tpm-fundamentals
Microsoft Support – Enable TPM 2.0 on your PC: https://support.microsoft.com/en-us/windows/enable-tpm-2-0-on-your-pc-1fd5a332-360d-4f46-a1e7-ae6b0c90645c
Trusted Computing Group – TPM 2.0 Library Specification: https://trustedcomputinggroup.org/resource/tpm-library-specification/
Intel – What is a Trusted Platform Module?: https://www.intel.com/content/www/us/en/learn/what-is-a-trusted-platform-module.html

TPM 2.0 bezpečnost hardware BIOS UEFI Windows 11 šifrování
Upozornění Informace jsou orientační a mohou se lišit podle výrobce zařízení a verze BIOSu nebo UEFI.
Autor

Stefano Barcellos

Přispěvatel na Visite Barbados.

« Předchozí příspěvek
Jak správně řídit ventilátory PC a zlepšit chlazení

Související příspěvky