Inleiding
In de wereld van computerbeveiliging is de Trusted Platform Module, kortweg TPM, uitgegroeid tot een onmisbaar onderdeel van moderne hardware. Sinds de introductie van Windows 11 is TPM 2.0 een van de meest besproken specificaties geworden, omdat het besturingssysteem dit verplicht stelt voor installatie. Maar wat is TPM 2.0 precies, waar dient het voor en hoe kun je het op jouw systeem installeren of inschakelen? In dit artikel geven we een volledig overzicht van de functie, de meerwaarde en de praktische stappen om TPM 2.0 aan de praat te krijgen.

Wat is TPM 2.0 precies?
TPM 2.0 is een cryptografische processor, meestal een aparte chip op het moederbord of geïntegreerd in de processor, die fungeert als een hardwarematige vertrouwensbasis. De module slaat cryptografische sleutels, wachtwoorden en certificaten veilig op en zorgt ervoor dat deze gegevens niet kunnen worden uitgelezen door malware of kwaadwillenden. Het concept is gestandaardiseerd door de Trusted Computing Group (TCG) en internationaal vastgelegd in de norm ISO/IEC 11889:2015. Deze standaard bestaat uit vier delen en beschrijft de architectuur, de cryptografische functies, de protocollen en de beveiligingsmechanismen die een TPM 2.0-chip moet ondersteunen. Anders dan eerdere versies, zoals TPM 1.2, biedt TPM 2.0 meer flexibiliteit in de keuze van cryptografische algoritmen en een robuuster beheer van sleutels.

Waarom is TPM 2.0 zo belangrijk?
De noodzaak voor TPM 2.0 is toegenomen door de groeiende dreiging van malware die diep in het systeem kan doordringen, zoals rootkits en bootkits. Doordat de module direct op hardwareniveau werkt, kan deze de integriteit van het opstartproces controleren. Dit is de basis van functies zoals Secure Boot en BitLocker-schijfversleuteling. Windows 11 vereist TPM 2.0 om de beveiligingsfuncties Windows Hello voor gezichts- of vingerafdrukherkenning en BitLocker te kunnen gebruiken. Hierdoor wordt het moeilijker voor aanvallers om gegevens te stelen of het systeem over te nemen. Zonder TPM 2.0 kan een computer nog wel werken, maar mis je cruciale lagen van beveiliging die steeds belangrijker worden in een tijd waarin cybercriminaliteit toeneemt.

De verschillen tussen TPM 1.2 en TPM 2.0
Het belangrijkste onderscheid tussen TPM 1.2 en TPM 2.0 is de cryptografische flexibiliteit. TPM 1.2 was gebonden aan de verouderde SHA-1-hashfunctie en alleen RSA-sleutels voor encryptie. TPM 2.0 ondersteunt moderne algoritmen zoals SHA-256, AES en Elliptic Curve Cryptography (ECC). Daarnaast introduceert TPM 2.0 een sessiegebaseerd autorisatiemodel en een hiërarchie van vier aparte sleutelbeheerstructuren: de Endorsement Hierarchy, de Storage Hierarchy, de Platform Hierarchy en de Null Hierarchy. Dit maakt multifactorauthenticatie en fijnmaziger beheer mogelijk. In de tabel hieronder worden de belangrijkste verschillen samengevat:

| Kenmerk | TPM 1.2 | TPM 2.0 |
|---|---|---|
| Cryptografische algoritmen | SHA-1, RSA | SHA-256, AES, ECC, SM3, SM4 |
| Hash-algoritme | Alleen SHA-1 | Ondersteuning meerdere algoritmen |
| Autorisatiemodel | Vast, beperkt | Sessiegebaseerd, flexibel |
| Roots of trust | Eén RTR, één RTS, éen RTR | Vier onafhankelijke hiërarchieën |
| Toepassing | Vooral legacy-systemen | Windows 11, moderne encryptie |
Hoe werkt TPM 2.0?
TPM 2.0 functioneert als een aparte beveiligingsomgeving die cryptografische sleutels kan genereren, opslaan en gebruiken zonder dat deze in het hoofdgeheugen van de computer terechtkomen. Het apparaat gebruikt vier hiërarchieën om vertrouwde contexten te scheiden. De Endorsement Hierarchy controleert de identiteit van de chip, de Storage Hierarchy beheert gebruikerssleutels, de Platform Hierarchy is voor firmware en opstartprocessen, en de Null Hierarchy biedt een tijdelijke, niet-persistente omgeving. Deze structuur zorgt ervoor dat een gecompromitteerde autoriteit niet meteen alle andere sleutels in gevaar brengt. Bij het opstarten meet het systeem de bootloader, het BIOS en ongebruikte code en slaat die metingen op in de Platform Configuration Registers. Deze registers kunnen later worden gebruikt om te verifiëren of het systeem in een bekende, vertrouwde toestand verkeert. Dit proces heet attestering en wordt bijvoorbeeld gebruikt door BitLocker om de systeemintegriteit te bevestigen voordat de schijf wordt ontgrendeld.

Hoe controleer je of je pc TPM 2.0 heeft?
Voordat je verder gaat, is het handig om te weten of jouw computer al een TPM 2.0-module bevat. De meeste systemen die na 2016 zijn uitgebracht, hebben dit aan boord, maar het kan zijn dat de module is uitgeschakeld in de BIOS-instellingen. Om te controleren of TPM 2.0 aanwezig is, open je het dialoogvenster Uitvoeren (Windows-toets + R) en typ je tpm.msc. Als het venster TPM-beheer verschijnt en de status aangeeft dat TPM klaar voor gebruik is, met specificatieversie 2.0, dan is het correct geïnstalleerd. Als er een foutmelding wordt weergegeven, zoals compatible TPM kan niet worden gevonden, dan moet je de BIOS-instellingen raadplegen. Een andere manier is om Apparaatbeheer te openen en in het menu Beeld te kiezen voor Verborgen apparaten weergeven; onder de categorie Beveiligingsapparaten vind je dan de Trusted Platform Module. Als die er niet staat, is er mogelijk geen TPM-chip aanwezig of is deze fysiek verwijderd.
TPM 2.0 inschakelen of installeren
Voor de meeste gebruikers is TPM 2.0 al ingebouwd via firmware. Intel noemt deze technologie Platform Trust Technology (PTT), en AMD gebruikt de term firmware TPM (fTPM). Deze virtuele implementaties vervullen exact dezelfde functie als een fysieke chip en worden door Windows 11 geaccepteerd. Om TPM 2.0 in te schakelen, moet je tijdens het opstarten van de computer naar de BIOS/UEFI-omgeving gaan. Dit doe je meestal door op een specifieke toets te drukken, zoals F2, F10, Del of Esc, afhankelijk van het moederbord. Zoek in de BIOS-instellingen naar een optie met de naam Trusted Computing, Security, of Advanced en schakel de TPM-instelling in. Kies indien mogelijk voor TPM 2.0 of Enable. Sla de wijzigingen op en start de computer opnieuw op. Na het opstarten kun je via tpm.msc bevestigen dat de module actief is. Voor meer gedetailleerde stappen verwijzen we naar Microsoft Support.
Problemen en oplossingen bij TPM 2.0
Soms verloopt het inschakelen niet vlekkeloos. Een veelvoorkomend probleem is dat de computer na het inschakelen van TPM niet meer opstart en vraagt om een herstelcode. Dit kan optreden als BitLocker al actief was of als de TPM-instellingen werden gewijzigd na het inschakelen van de encryptie. In dat geval kun je de herstelsleutel gebruiken die je bij het activeren van BitLocker hebt opgeslagen. Andere problemen zijn dat TPM 2.0 wel wordt gedetecteerd maar niet wordt ondersteund vanwege een verouderde BIOS-versie. Een BIOS-update kan dit oplossen. Verder kan het zijn dat de TPM-firmware zelf moet worden geüpdatet, maar dit gebeurt meestal automatisch via Windows Update of de fabrikantssoftware. Controleer of je pc voldoet aan de minimumeisen van Windows 11 en of de module als TPM 2.0 verschijnt. Als niets lijkt te werken, kun je overwegen een aparte TPM-header op het moederbord aan te schaffen, maar dit is alleen zinvol voor desktops met een geschikte aansluiting.
Veiligheid en impact van TPM 2.0
TPM 2.0 verhoogt de beveiliging van een systeem aanzienlijk, maar is geen wondermiddel. De chip beschermt cryptografisch materiaal tegen softwarematige aanvallen en maakt het extreem moeilijk voor kwaadaardige software om persistent te blijven op het systeem. Het draagt ook bij aan een veiligere implementatie van virtuele privénetwerken, beveiligde e-mail en authenticatieprotocollen. Toch blijft fysieke beveiliging belangrijk; als een aanvaller fysieke toegang tot het moederbord heeft, kan de TPM-chip worden blootgesteld aan side-channelaanvallen of worden verwijderd. Moderne implementaties proberen dit te mitigeren met extra hardwarematige bescherming. Voor een verdere uitleg over de beveiligingsaspecten van TPM verwijzen we naar Intel, die de technologie uitgebreid beschrijft.
Lijst met voordelen van TPM 2.0
- Hardwarematige beveiliging tegen rootkits en bootkits door meting van het opstartproces.
- Ondersteuning voor moderne cryptografische algoritmen zoals SHA-256, AES en ECC.
- Veilige opslag van encryptiesleutels voor BitLocker, waardoor gegevens op de harde schijf worden beschermd.
- Integratie met Windows Hello voor biometrische authenticatie zonder dat wachtwoorden in het geheugen worden blootgesteld.
- Remote attestatie: system





