Vad är TPM 2.0?
TPM 2.0 står för Trusted Platform Module version 2.0 och är en specialiserad kryptoprocessor som är inbäddad på datorns moderkort eller i processorn. Den fungerar som en maskinvarubaserad rot av förtroende, vilket innebär att den är en pålitlig komponent som kan garantera att systemet startar på ett säkert sätt. TPM 2.0 skapar, lagrar och hanterar krypteringsnycklar på en fysisk nivå, vilket gör det mycket svårare för angripare att komma åt känslig information jämfört med om nycklarna lagras i programvara.
Till skillnad från sin föregångare TPM 1.2, som främst använde sig av algoritmerna SHA-1 och RSA, har TPM 2.0 stöd för algoritmagilitet. Det gör att systemet kan använda moderna krypteringsalgoritmer som SHA-256, AES och Elliptisk Kurv-kryptografi. Detta är viktigt av flera anledningar. Först och främst är SHA-1 en föråldrad algoritm som har blivit sårbar för kollisionsattacker. Genom att erbjuda stöd för starkare algoritmer kan TPM 2.0 ligga steget före hotbilden.
TPM 2.0 definieras av organisationen Trusted Computing Group och är standardiserat enligt ISO/IEC 11889:2015. Standarden består av fyra delar som beskriver arkitekturen, kommandon, strukturer och protokoll. Genom att vara en internationell standard garanterar TPM 2.0 att olika tillverkare kan implementera tekniken på ett enhetligt sätt, vilket förenklar både utveckling och användning.
Hur fungerar TPM 2.0?
TPM 2.0 arbetar i bakgrunden och är oftast helt osynligt för användaren. Huvudfunktionen är att skapa en säker miljö där kryptografiska operationer kan utföras. Processen börjar redan när datorn startas. Under startsekvensen kontrollerar TPM att den inbyggda programvaran och operativsystemet inte har manipulerats. Om en förändring upptäcks kan systemet stoppa uppstarten eller varna användaren.

En central del av TPM 2.0 är dess hierarki av nycklar. Dessa hierarkier är som olika avdelningar med egna säkerhetsdomäner. De fyra hierarkierna är Endorsement Hierarchy, Storage Hierarchy, Platform Hierarchy och Null Hierarchy. Varje hierarki har sin egen rotnyckel som används för att skydda underliggande nycklar och data. Endorsement Hierarchy används för att identifiera TPM-chippet på ett unikt sätt, medan Storage Hierarchy används för att lagra användarnycklar. Platform Hierarchy är avsett för plattformsspecifika uppgifter och Null Hierarchy skapar temporära nycklar som inte bevaras efter omstart.
TPM 2.0 introducerade även en sessionsbaserad auktorisationsmodell. Istället för att använda enkla lösenord eller PIN-koder kräver många operationer en kryptografisk session. Detta innebär att autentisering sker med hjälp av utmaningar och svar, vilket gör det betydligt svårare för en angripare att gissa eller avlyssna auktorisationsdata. Modellen stöder även multifaktorautentisering, där flera olika faktorer måste vara uppfyllda för att en operation ska godkännas.
Varför är TPM 2.0 nödvändigt?
Behovet av TPM 2.0 har ökat markant de senaste åren, främst på grund av det eskalerande hotet från cyberattacker. Traditionell programvarubaserad säkerhet är inte längre tillräcklig för att skydda känslig data. Eftersom programvaran körs i samma minne som operativsystemet och andra applikationer kan den utsättas för attacker som försöker läsa eller manipulera minnet. TPM 2.0 erbjuder ett hårdvaruskydd som är isolerat från resten av systemet.
En av de främsta anledningarna till att TPM 2.0 har blivit så aktuellt är att Microsoft gjorde det till ett krav för att installera och uppdatera till Windows 11. Utan ett TPM 2.0-chip aktiverat i BIOS eller UEFI går det inte att köra operativsystemet. Microsofts beslut grundas på att TPM 2.0 är en grundförutsättning för att kunna erbjuda robusta säkerhetsfunktioner som Windows Hello, som använder biometri och PIN-koder för inloggning, och BitLocker, som krypterar hela hårddisken.

TPM 2.0 är nödvändigt för att möjliggöra avancerad enhetskryptering. BitLocker använder TPM-chippet för att lagra krypteringsnyckeln på ett säkert sätt. Om någon stjäl datorn och försöker komma åt hårddisken genom att ansluta den till en annan dator, kommer krypteringsnyckeln inte att vara tillgänglig eftersom den är bunden till det ursprungliga moderkortet. Detta ger ett mycket starkt skydd mot dataintrång vid stöld av hårdvara.
Vanliga användningsområden för TPM 2.0
TPM 2.0 används i en rad olika sammanhang, både av företag och privatpersoner. En av de mest kända applikationerna är fjärrattestering. Detta innebär att en annan dator kan verifiera att ett system är i ett betrott tillstånd, till exempel att rätt operativsystem och säkerhetsprogram är installerade och att inget har manipulerats. Detta är särskilt viktigt inom företagsmiljöer där många datorer hanteras centralt.
En annan viktig funktion är skydd av digitala rättigheter och programvarulicenser. Program som är beroende av en unik licensnyckel kan binda denna till TPM-chippet, vilket gör det svårare att kopiera programmet och använda det på en annan dator. På samma sätt kan TPM 2.0 användas för att skydda webbautentisering och certifikat, så att webbläsare och andra applikationer kan lagra inloggningsuppgifter på ett säkert sätt.
Funktioner som Windows Hello och Microsofts autentiseringsapp använder TPM 2.0 för att säkra biometriska data och PIN-koder. När du loggar in med ditt ansikte eller fingeravtryck skapas en kryptografisk nyckel som lagras i TPM-chippet. Denna nyckel är unik för just din dator och kan inte exporteras eller användas på en annan enhet. Detta ger ett kraftfullt skydd mot nätfiske och andra attacker som försöker stjäla inloggningsuppgifter.

Fysiskt TPM, firmware TPM och processor TPM
Det finns flera olika sätt att implementera TPM 2.0. Den traditionella metoden är att använda ett fysiskt TPM-chip som är lött på moderkortet. Detta är en dedikerad komponent som är helt skild från processorn och resten av systemet. Fördelen med ett fysiskt chip är att det erbjuder högsta möjliga säkerhet eftersom det är isolerat från eventuella sårbarheter i processorn eller programvaran.
En modernare metod är att använda firmwarebaserade TPM-lösningar som AMD fTPM eller Intel PTT. AMD fTPM står för firmware Trusted Platform Module och är en implementering där TPM-funktionaliteten körs i en speciell skyddad körningsmiljö i processorns firmware. Intel PTT, eller Platform Trust Technology, är en liknande teknik som är inbyggd i många Intel-processorer.
Valet mellan ett fysiskt chip och en firmwarebaserad lösning beror ofta på typen av dator. I vissa fall är det svårt att få plats med ett separat chip på grund av moderkortets storlek, särskilt i bärbara datorer och tunna enheter. Både fysiska och firmwarebaserade lösningar uppfyller dock TCG-standardens krav och stöds fullt ut av Windows 11.
Lista: Fördelar med TPM 2.0
Följande lista sammanfattar de viktigaste fördelarna med att använda TPM 2.0 i moderna datorer:

- Ökad säkerhet genom hårdvarubaserad rot av förtroende.
- Skydd mot startsektorsattacker och manipulering av systemprogramvara.
- Möjlighet att använda starka, moderna krypteringsalgoritmer.
- Stöd för multifaktorautentisering via sessionsbaserad auktorisation.
- Krav för att kunna installera och uppdatera till Windows 11.
- Förbättrat skydd av krypteringsnycklar för hela hårddisken.
- Isolering av biometriska data och inloggningsuppgifter från huvudprocessorn.
- Standardiserad teknik som fungerar konsekvent mellan olika tillverkare.
- Möjlighet att fjärrverifiera systemets integritet.
- Skydd av digitala rättigheter och licenser.
Tabell: Jämförelse mellan TPM 1.2 och TPM 2.0
Tabellen nedan visar de viktigaste skillnaderna mellan de två versionerna av TPM-standarden:
| Egenskap | TPM 1.2 | TPM 2.0 |
|---|---|---|
| Krypteringsalgoritmer | SHA-1, RSA (begränsad) | SHA-256, AES, ECC, RSA (bredare stöd) |
| Algoritmagilitet | Nej (enbart SHA-1 och RSA) | Ja (valfria algoritmer) |
| Hierarkier | En enda hierarki | Fyra hierarkier (EH, SH, PH, NH) |
| Auktorisationsmodell | Baserat på lösenord | Sessionsbaserad med stöd för multifaktor |
| Standardisering | TCG-specifikation | ISO/IEC 11889:2015 |
| Kompatibilitet med Windows 11 | Krävs inte, stöds inte fullt ut | Obligatoriskt krav |
Hur du aktiverar TPM 2.0
För att använda TPM 2.0 måste det vara aktiverat i datorns BIOS eller UEFI-inställningar. På många moderna datorer är TPM redan aktiverat som standard, men i vissa fall kan det vara avaktiverat. För att aktivera TPM måste du starta om datorn och under uppstarten trycka på en specifik tangent, ofta F2, F10, Del eller Esc, för att komma in i inställningarna.

Väl inne i BIOS/UEFI letar du efter en flik som heter Security eller Advanced. Där bör du hitta ett alternativ som heter TPM, PTT, AMD fTPM eller något liknande. Aktivera denna inställning och spara ändringarna innan du lämnar menyn. Efter omstarten kommer operativsystemet att upptäcka TPM-chippet och du kan kontrollera dess status i Windows Security under fliken Enhetssäkerhet.
Om du har en äldre dator som inte har stöd för TPM 2.0 i hårdvaran, finns det inget sätt att lägga till det i efterhand om moderkortet saknar en plats för ett diskret TPM-chip. I sådana fall kan du inte installera Windows 11 utan att använda en omväg som kräver manuell redigering av registret, vilket dock inte rekommenderas eftersom det kan minska systemets säkerhet och stabilitet.
Framtiden för TPM 2.0
TPM 2.0 är inte en teknik som kommer att ersättas inom den närmaste tiden. Det är snarare en grundläggande byggsten för framtida säkerhetslösningar. Med den ökande användningen av molntjänster, distansarbete och Internet of Things (IoT) kommer behovet av hårdvarubaserad säkerhet att fortsätta växa. TPM 2.0 är också en viktig komponent i initiativ som Microsoft Pluton, som syftar till att integrera säkerhetsfunktioner direkt i processorn för att ytterligare minska attackytan.
Samtidigt utvecklas TPM-standarden av Trusted Computing Group för att hantera nya hot och användningsområden. Version 2.0 är dock en mogen och stabil standard som kommer att vara relevant under många år framöver, särskilt eftersom den är ett obligatoriskt krav för Windows 11 och troligtvis även för framtida versioner av Microsofts operativsystem.
Referenser
- Microsoft Learn. TPM fundamentals. https://learn.microsoft.com/en-us/windows/security/hardware-security/tpm/tpm-fundamentals
- Microsoft Support. Enable TPM 2.0 on your PC. https://support.microsoft.com/en-us/windows/enable-tpm





