电子发烧友网报道(文/周凯扬)硬件安全芯片或模组其实已经不是什么新鲜事了,在黑客攻击技术不断推陈出新下,更高的安全性不仅要从软件上下手,也要从硬件上下手。自从Windows 11去年正式推出以来,对于TPM 2.0硬件安全模块的讨论就没有停止。有的人将其视为额外的硬件成本,有的人则对安全性加强喜闻乐见。
虽然不少用户使出奇招绕过了这一要求,但对于电脑本身的安全性来说,可以说是没有半点益处。那么对于不想牺牲这一层网络攻击防护的用户来说,他们有哪些方案可选呢?
微软Pluton考虑到独立的TPM模块需要系统OS、主板、处理器和TPM芯片厂商的协力合作,主推TPM 2.0的微软提出了一个TPM的方案:直接将TPM安全处理器内置在芯片中,这样主板上就无需额外的TPM 2.0模块,也能完美实现BitLocker硬盘加密,或是存储Windows Hello用到的指纹或人脸生物识别数据。
在Windows系统令竞争对手难以企及的的市场占有率下,微软的号召力可想而知,很快就拉动了英特尔、AMD和高通的支持。比如今年CES 2022上亮相的AMD Ryzen 6000系列CPU,就宣布首发集成Pluton处理器。而高通在去年公布的8cx Gen 3笔记本SoC,也宣布在其安全处理单元(SPU)上集成微软的Pluton方案。
Ryzen 6000系列移动处理器 / AMD
不过微软的Pluton除了提高系统安全性以外,可能还别有用心。不少开源圈的开发者表示此举是微软不让Linux有机会抢占PC消费市场,因为现在Linux已经有了对TPM的支持,而微软的Pluton暂时仅支持Windows系统。根据微软的说法,他们当前的工作重心是优化Pluton在Windows 11上的表现。
对于同样在近期推出了新品CPU的英特尔来说,他们似乎并没有打算将Pluton集成在12代Alder Lakes处理器上,而是选择了继续使用英特尔自己的对策,即Intel Platform Trust技术(Intel PTT)。据英特尔强调,支持PTT的处理器可以提供独立TPM 2.0模块同样的能力,比如证书存储和密钥管理等,也支持微软对于fTPM(固件TPM) 2.0的所有要求以及BitLocker硬盘加密,而对于用户的好处就在于无需任何额外的物理芯片。
英飞凌OPTIGA但对于不支持Pluton或fTPM的处理器而言,这时往往要用到其他非集成TPM的方案了,比如英飞凌OPTIGA TPM。市面上不少主板的外接TPM模组,用到的都是英飞凌的OPTIGA SLB 9665或SLB 6970,这两者均支持TPM 2.0,也支持各种主流的对称与非对称加密算法。
然而,量子计算的出现对加密提出了更大的挑战,尤其加密数据的保密性和数字签名的完整性。如果未来的网络攻击掌握了可以随手借助量子计算的话,破解如今的加密算法可以说不在话下,尤其是RSA和Diffie-Hellman等公钥密码。
OPTIGA TPM SLB 9672 / 英飞凌
为了应对这些挑战,英飞凌在近期推出了全新的OPTIGA TPM SLB 9672。SLB 9672作为一款开箱即用的标准化TPM,使用XMSS签名,提供后量子加密(PQC)技术加密保护的固件更新机制,并支持最新的TCG规范和TPM 2.0标准。在该机制的加持下,即便标准算法不再处于受信状态,SLB 9672也可以更新。
SLB 9672不仅原生支持最新版的微软Windows系统和主要Linux发行版系统,还提供了可扩展的非易失性内存,最大可达51kB,用于存储证书和密钥。SLB 9672分为两个版本,一个是FW15.xx版本,适合作为要作为微软的Windows环境下的标准化认证安全方案,而16.xx版本提供加强的安全特性,比如AES批量机密、TPM唯一ID和EPS的配置,其中一个型号则使用温度范围从标准的-20℃到 85℃升级至-40℃到 105℃。
小结微软下定决心也要强推TPM 2.0的态度足以说明他们对网络安全的重视,尽管如今的Windows已经不再是原来那个弱不禁风的系统,但在网络安全再度肆虐的今天,多一层硬件安全也就对自己的隐私多一重保障。在笔者看来,TPM 2.0也许是阻止老用户升级Windows 11的“拦路虎”,但其最终目的还是建起一道维护PC安全的“护城河”。
,