TPM 2.0 คืออะไร ทำความรู้จักชิปความปลอดภัยที่มากับเครื่องคอมพิวเตอร์
ในโลกดิจิทัลที่ภัยคุกคามทางไซเบอร์มีความซับซ้อนมากขึ้นทุกวัน การปกป้องข้อมูลส่วนบุคคลและระบบปฏิบัติการจึงเป็นสิ่งที่ผู้ใช้คอมพิวเตอร์ทุกคนต้องให้ความสำคัญ หนึ่งในเทคโนโลยีที่ถูกพูดถึงอย่างมากในช่วงไม่กี่ปีที่ผ่านมา โดยเฉพาะหลังจากที่ไมโครซอฟท์ประกาศให้เป็นข้อบังคับสำหรับการติดตั้งวินโดวส์ 11 ก็คือ TPM 2.0 หรือ Trusted Platform Module 2.0 ซึ่งเป็นชิปความปลอดภัยที่ถูกฝังอยู่ในเมนบอร์ดหรือโปรเซสเซอร์ของคอมพิวเตอร์ เพื่อทำหน้าที่เป็นรากฐานแห่งความน่าเชื่อถือในระดับฮาร์ดแวร์

TPM 2.0 ไม่ใช่แค่ฮาร์ดแวร์ชิ้นหนึ่ง แต่เป็นมาตรฐานสากลที่ถูกพัฒนาขึ้นโดย Trusted Computing Group หรือ TCG ซึ่งเป็นองค์กรไม่แสวงหากำไรที่รวบรวมบริษัทเทคโนโลยีชั้นนำของโลก มาตรฐานนี้ได้รับการรับรองเป็น ISO/IEC 11889:2015 ซึ่งครอบคลุมตั้งแต่สถาปัตยกรรมของชิป ไปจนถึงวิธีการทำงานที่เกี่ยวข้องกับการเข้ารหัส การยืนยันตัวตน และการรักษาความสมบูรณ์ของระบบ โดย TPM 2.0 ถือเป็นเวอร์ชันที่พัฒนาต่อจาก TPM 1.2 ซึ่งมีข้อจำกัดหลายประการ โดยเฉพาะเรื่องการรองรับอัลกอริทึมที่ล้าสมัย

การทำงานของ TPM 2.0 เริ่มต้นตั้งแต่การบูตเครื่อง โดยชิปนี้จะตรวจสอบความถูกต้องของเฟิร์มแวร์และระบบปฏิบัติการว่าถูกดัดแปลงหรือไม่ ซึ่งเป็นกระบวนการที่เรียกว่า Secure Boot หากพบว่าส่วนใดส่วนหนึ่งถูกแก้ไขโดยมัลแวร์หรือบุคคลที่ไม่ได้รับอนุญาต TPM จะแจ้งเตือนและป้องกันไม่ให้ระบบบูตต่อ ทำให้มั่นใจได้ว่าคอมพิวเตอร์ของคุณเริ่มต้นทำงานในสภาพแวดล้อมที่ปลอดภัย นอกจากนี้ TPM 2.0 ยังทำหน้าที่เป็นที่เก็บกุญแจเข้ารหัสที่สำคัญ เช่น กุญแจสำหรับการเข้ารหัสไดรฟ์ด้วย BitLocker หรือกุญแจสำหรับการล็อกอินด้วย Windows Hello โดยกุญแจเหล่านี้จะถูกเก็บไว้ในชิปแยกต่างหากจากฮาร์ดดิสก์ ทำให้แฮกเกอร์ไม่สามารถขโมยข้อมูลเหล่านี้ได้ถึงแม้จะสามารถเข้าถึงฮาร์ดแวร์ของเครื่องได้

ความสำคัญของ TPM 2.0 ต่อความปลอดภัยของคอมพิวเตอร์
หลายคนอาจสงสัยว่าทำไม TPM 2.0 ถึงมีความสำคัญมาก จนถึงขั้นที่ไมโครซอฟท์กำหนดให้เป็นข้อบังคับสำหรับวินโดวส์ 11 คำตอบอยู่ที่ความสามารถในการป้องกันภัยคุกคามที่ไม่สามารถทำได้ด้วยซอฟต์แวร์เพียงอย่างเดียว ตัวอย่างเช่น การโจมตีแบบ Firmware Attack ที่แทรกซึมเข้าไปในเฟิร์มแวร์ของ BIOS หรือ UEFI ซึ่งซอฟต์แวร์ป้องกันไวรัสทั่วไปไม่สามารถตรวจจับได้ TPM 2.0 จะตรวจสอบความสมบูรณ์ของเฟิร์มแวร์ตั้งแต่ก่อนที่ระบบปฏิบัติการจะทำงาน ทำให้สามารถป้องกันการโจมตีประเภทนี้ได้

นอกจากนี้ TPM 2.0 ยังรองรับฟีเจอร์ที่เรียกว่า Attestation ซึ่งเป็นกระบวนการยืนยันตัวตนของเครื่องคอมพิวเตอร์กับเซิร์ฟเวอร์หรือบริการออนไลน์ว่าเครื่องนั้นเป็นเครื่องที่ปลอดภัยและไม่ได้ถูกดัดแปลง ฟีเจอร์นี้มีประโยชน์อย่างมากในองค์กรที่ต้องการควบคุมการเข้าถึงข้อมูลสำคัญ หรือในระบบคลาวด์ที่ต้องการยืนยันความน่าเชื่อถือของเครื่องลูกข่าย ความสามารถในการรองรับอัลกอริทึมสมัยใหม่อย่าง SHA-256, AES และ Elliptic Curve Cryptography หรือ ECC ยังทำให้ TPM 2.0 มีความแข็งแกร่งและยืดหยุ่นมากกว่า TPM 1.2 ที่ใช้เพียง SHA-1 และ RSA ซึ่งอัลกอริทึมเหล่านี้เริ่มถูกมองว่ามีความเสี่ยงต่อการถูกโจมตี

อีกหนึ่งจุดเด่นที่สำคัญคือการจัดการสิทธิ์การเข้าถึงแบบลำดับชั้นหรือ Hierarchies ซึ่ง TPM 2.0 แบ่งออกเป็น 4 ระดับ ได้แก่ Endorsement Hierarchy, Storage Hierarchy, Platform Hierarchy และ Null Hierarchy แต่ละระดับมีวัตถุประสงค์การใช้งานและกุญแจที่แตกต่างกัน ทำให้สามารถแยกการใช้งานระหว่างผู้ผลิตอุปกรณ์ ผู้ใช้ และระบบปฏิบัติการได้อย่างชัดเจน ลดความเสี่ยงในการเข้าถึงกุญแจโดยไม่ได้รับอนุญาต
ข้อกำหนด TPM 2.0 สำหรับ Windows 11 และการตรวจสอบ
เมื่อไมโครซอฟท์ประกาศเปิดตัววินโดวส์ 11 ในปี 2564 ข้อกำหนดที่สร้างความฮือฮาที่สุดคือการบังคับใช้ TPM 2.0 ซึ่งทำให้คอมพิวเตอร์รุ่นเก่าหลายรุ่นไม่สามารถอัปเกรดเป็นระบบปฏิบัติการใหม่ได้ สาเหตุที่ไมโครซอฟท์ตัดสินใจทำเช่นนี้เพราะต้องการยกระดับความปลอดภัยพื้นฐานของระบบปฏิบัติการให้สูงขึ้น โดยเฉพาะในยุคที่การทำงานทางไกลและการเชื่อมต่ออินเทอร์เน็ตกลายเป็นเรื่องปกติ ฟีเจอร์ด้านความปลอดภัยที่ต้องพึ่งพา TPM 2.0 เช่น Windows Hello สำหรับการล็อกอินด้วยใบหน้าหรือลายนิ้วมือ และ BitLocker สำหรับการเข้ารหัสข้อมูลในฮาร์ดดิสก์ จะทำงานได้อย่างมีประสิทธิภาพสูงสุดเมื่อมีชิปฮาร์ดแวร์นี้
สำหรับผู้ใช้ที่ต้องการตรวจสอบว่าคอมพิวเตอร์ของตนเองมี TPM 2.0 หรือไม่ สามารถทำได้ง่าย ๆ โดยการเปิดหน้าต่าง Run ด้วยการกดปุ่ม Windows + R พิมพ์ tpm.msc แล้วกด Enter หน้าต่าง Trusted Platform Module (TPM) Management on Local Computer จะแสดงข้อมูลว่าคอมพิวเตอร์ของคุณมี TPM หรือไม่ และเป็นเวอร์ชันใด หากไม่มีหรือถูกปิดใช้งาน ก็สามารถเข้าไปเปิดใช้งานได้ใน BIOS หรือ UEFI เพราะในปัจจุบัน คอมพิวเตอร์ที่ขายในท้องตลาดส่วนใหญ่ โดยเฉพาะรุ่นที่ผลิตหลังจากปี 2562 มักรองรับ TPM 2.0 อยู่แล้วในรูปแบบของเฟิร์มแวร์ เช่น AMD fTPM หรือ Intel PTT ซึ่งทำงานผ่านโปรเซสเซอร์แทนที่จะเป็นชิปแยกต่างหาก
รายการข้อดีของ TPM 2.0 ที่ควรทราบ
เพื่อให้เห็นภาพชัดเจนยิ่งขึ้น ต่อไปนี้คือข้อดีหลัก ๆ ที่ TPM 2.0 มอบให้กับผู้ใช้คอมพิวเตอร์
- ป้องกันการติดตั้งมัลแวร์ระยะเริ่มต้นหรือ Bootkit ที่แทรกซึมในเฟิร์มแวร์และระบบบูต
- เก็บกุญแจเข้ารหัสสำหรับ BitLocker ในฮาร์ดแวร์แยกต่างหาก ทำให้แม้ขโมยฮาร์ดดิสก์ไปก็ไม่สามารถอ่านข้อมูลได้
- รองรับ Windows Hello สำหรับการยืนยันตัวตนด้วยชีวมิติที่ปลอดภัยมากขึ้น
- ใช้ Attestation เพื่อยืนยันความถูกต้องของเครื่องเมื่อเชื่อมต่อกับระบบเครือข่ายองค์กรหรือบริการคลาวด์
- สนับสนุนอัลกอริทึมที่ทันสมัยและมีความปลอดภัยสูงกว่ามาตรฐานรุ่นเก่า
ตารางเปรียบเทียบ TPM 1.2 กับ TPM 2.0
| คุณสมบัติ | TPM 1.2 | TPM 2.0 |
|---|---|---|
| อัลกอริทึมที่รองรับ | SHA-1, RSA เท่านั้น | SHA-256, AES, ECC และอื่น ๆ |
| การจัดการลำดับชั้น | มีเพียงระดับเดียว | 4 ระดับ (EH, SH, PH, Null) |
| การอนุญาตการเข้าถึง | ยึดตามคำสั่ง (Command-based) | ยึดตามเซสชัน (Session-based) |





