TPM 2.0: що це і як увімкнути на ПК

Що таке TPM 2.0 та навіщо він потрібен

TPM 2.0 (Trusted Platform Module 2.0) – це сучасний апаратний або вбудований мікроконтролер, який виконує функції криптографічного захисту на рівні материнської плати чи процесора. Він є еволюцією попередньої версії TPM 1.2 і відповідає стандарту Trusted Computing Group (TCG), а також міжнародному стандарту ISO/IEC 11889:2015. Основна мета TPM 2.0 – забезпечити апаратний корінь довіри для операційної системи, застосунків та даних. Це означає, що всі критичні дії, як-от зберігання ключів шифрування, перевірка цілісності системи при завантаженні та аутентифікація користувачів, виконуються в ізольованому, захищеному середовищі, недоступному для звичайних програм чи зловмисників.

Навіщо це звичайному користувачеві? З 2021 року TPM 2.0 став обов’язковою вимогою для встановлення Windows 11. Без нього система просто не дозволить оновлення або чисту інсталяцію. Але справа не лише в операційній системі. TPM 2.0 підтримує такі функції, як Windows Hello (біометричний вхід), BitLocker (повне шифрування диска), захист облікових даних у браузерах і навіть апаратне підтвердження особи для онлайн-сервісів. Якщо ви дбаєте про безпеку свого ПК або плануєте працювати з чутливими даними, TPM 2.0 є необхідним компонентом.

Архітектура TPM 2.0 та його можливості

Порівняно з TPM 1.2, версія 2.0 отримала значні архітектурні вдосконалення. Головна зміна – криптографічна гнучкість. Якщо TPM 1.2 був прив’язаний до застарілих алгоритмів SHA-1 та RSA, то TPM 2.0 підтримує SHA-256, AES, алгоритми на еліптичних кривих (ECC) та інші сучасні методи. Це дозволяє використовувати модуль у різноманітних сценаріях – від звичайного шифрування дисків до аутентифікації пристроїв у корпоративних мережах.

TPM 2.0: що це і як увімкнути на ПК - 1

Архітектура TPM 2.0 базується на чотирьох ієрархіях: Endorsement Hierarchy (EH) – для підтвердження справжності модуля; Storage Hierarchy (SH) – для зберігання ключів; Platform Hierarchy (PH) – для керування платформою; та Null Hierarchy – для тимчасових операцій. Така модель дозволяє реалізувати багатофакторну аутентифікацію на апаратному рівні. Крім того, TPM 2.0 використовує сесійну модель авторизації, що ускладнює атаки на перехоплення команд.

Як перевірити наявність TPM 2.0 на вашому ПК

Перш ніж увімкнути TPM, варто переконатися, що він присутній на комп’ютері. Найпростіший спосіб – скористатися вбудованим засобом Windows. Натисніть клавіші Win+R, введіть "tpm.msc" і натисніть Enter. Якщо відкриється вікно керування TPM, ви побачите версію (має бути 2.0) та стан ("Готовий"). Якщо з’являється повідомлення "Не вдалося знайти сумісний TPM", швидше за все, модуль вимкнено в BIOS або його фізично немає.

Інший спосіб – через Диспетчер пристроїв. Знайдіть розділ "Пристрої безпеки" – там має бути "Trusted Platform Module 2.0". Також можна скористатися програмою "Відомості про систему" (msinfo32) та подивитися рядок "Версія TPM". Для власників комп’ютерів з процесорами AMD та Intel зверніть увагу на підтримку fTPM (AMD Firmware TPM) або Intel PTT (Platform Trust Technology) – це програмно-апаратні аналоги TPM, вбудовані в процесор. Вони працюють так само, як фізичний чип, і повністю сумісні з TPM 2.0.

TPM 2.0: що це і як увімкнути на ПК - 2

Як увімкнути TPM 2.0: покрокова інструкція для різних систем

Увімкнення TPM 2.0 виконується в налаштуваннях UEFI/BIOS материнської плати. Назви параметрів відрізняються залежно від виробника, але загальна логіка однакова. Вам потрібно зайти в BIOS (зазвичай клавішами DEL, F2, F10, F12 під час завантаження), знайти розділ безпеки або додаткових налаштувань і активувати TPM, fTPM або PTT. Нижче наведена таблиця для поширених платформ:

Виробник / платформа Назва параметра в BIOS Додаткові поради
Intel (з PTT) Intel Platform Trust Technology (PTT) – увімкнути Зазвичай знаходиться в розділі Security або PCH-FW Configuration. Для деяких старих процесорів може бути окремий пункт "TPM Device Selection" з вибором "Discrete TPM" або "Firmware TPM".
AMD (з fTPM) AMD fTPM switch – Enabled Шукайте в розділі Advanced > CPU Configuration або Security. На материнських платах ASUS може називатися "AMD TPM 2.0".
Материнські плати з окремим чипом TPM TPM Availability / TPM State – Enabled Якщо TPM модуль встановлено окремо, переконайтеся, що він правильно під’єднаний до роз’єму TPM на платі (наприклад, TPM 14-1 pin).

Після зміни налаштувань обов’язково збережіть зміни (зазвичай клавіша F10) та перезавантажте комп’ютер. Потім знову перевірте наявність TPM за допомогою tpm.msc – має відображатися версія 2.0 та статус "Готовий". Якщо статус вказує "Вимкнено", можливо, потрібно додатково активувати TPM у самому модулі через той же BIOS. Детальні інструкції для вашої моделі можна знайти на сайті виробника. Для загального розуміння TPM раджу прочитати офіційний матеріал Microsoft Learn про основи TPM.

Сумісність з Windows 11 та інші застосування

Windows 11 категорично вимагає наявності TPM 2.0 під час інсталяції. Якщо ви оновлюєтеся з Windows 10, але ваш ПК не має TPM 2.0, система покаже помилку. Проте є обхідні шляхи для старих комп’ютерів, наприклад, через реєстр або завантажувальний образ, однак Microsoft не рекомендує їх, оскільки це знижує рівень безпеки. Краще придбати материнську плату або процесор з підтримкою TPM 2.0.

TPM 2.0: що це і як увімкнути на ПК - 3

Окрім системних вимог, TPM 2.0 широко використовується для шифрування дисків (BitLocker). Якщо ви втратите ноутбук, дані на ньому залишаться недоступними для сторонніх, оскільки ключі шифрування надійно захищені модулем. Також TPM 2.0 задіяний у технології Secure Boot та Measured Boot – вони перевіряють цілісність кожного компонента системи до завантаження ОС. Це унеможливлює запуск шкідливого коду, який намагається вбудоватися в ранні етапи старту.

Переваги TPM 2.0: короткий список

Щоб підсумувати ключові плюси використання TPM 2.0, наведемо список основних переваг:

  • Апаратне шифрування ключів – зловмисник не може отримати доступ до ключів, навіть якщо викраде жорсткий диск.
  • Захист завантажувача – перевірка цілісності системи запобігає запуску неавторизованого коду.
  • Підтримка сучасних алгоритмів – SHA-256, ECC, AES, що відповідають вимогам сьогодення.
  • Сумісність з Windows 11 – без нього ви не зможете легально встановити нову ОС.
  • Захист облікових даних – Windows Hello та Microsoft Entra ID використовують TPM для зберігання біометричних шаблонів.
  • Відсутність необхідності додаткового обладнання – більшість сучасних процесорів мають вбудовану реалізацію (Intel PTT, AMD fTPM).

Вирішення поширених проблем при ввімкненні TPM 2.0

Іноді, навіть після активації TPM в BIOS, Windows не бачить модуль. Найчастіше причина – застаріла версія BIOS. Рекомендую оновити прошивку материнської плати до останньої версії від виробника. Також можливі проблеми з драйверами: у Диспетчері пристроїв переконайтеся, що TPM відображається без попереджувальних знаків. Якщо ні, спробуйте видалити пристрій у диспетчері та виконати пошук змін апаратури.

TPM 2.0: що це і як увімкнути на ПК - 4

Інша поширена проблема – конфлікти з віртуалізацією. Якщо ви використовуєте Hyper-V або VMware, переконайтеся, що в BIOS увімкнено технології віртуалізації (Intel VT-x / AMD SVM), а також системний TPM (не віртуальний). Для детального ознайомлення з апаратними вимогами TPM раджу звернутися до офіційної сторінки Intel про Trusted Platform Module. Там описані архітектурні особливості реалізації на різних чипсетах.

Посилання

Для отримання додаткової інформації та перевірки фактів, наведених у статті, використовуйте такі джерела:

Microsoft Learn – офіційна документація про основи TPM: TPM fundamentals

TPM 2.0: що це і як увімкнути на ПК - 5

Microsoft Support – інструкція з увімкнення TPM 2.0: Enable TPM 2.0 on your PC

Trusted Computing Group – специфікація TPM 2.0: TPM 2.0 Architecture

ISO/IEC 11889:2015 – міжнародний стандарт TPM: TCG TPM Library Specification

Intel – стаття про TPM: What is a Trusted Platform Module

TPM 2.0 безпека BIOS UEFI Windows ПК апаратне шифрування
Увага Інформація подана для довідки. Перед змінами в BIOS або UEFI перевірте інструкцію до вашої материнської плати.
Автор

Stefano Barcellos

Учасник на Visite Barbados.

« Попередній допис
Що робити, якщо він просить видалити IMEI з білого списку

Схожі дописи