Как работает технология TPM в современных системах безопасности?

Trusted Platform Module (TPM, доверенный платформенный модуль) — независимый компонент системы, который контролирует её состояние и обеспечивает защиту данных с помощью шифрования. encyclopedia.kaspersky.ru TPM может быть реализован как отдельный чип в устройстве или как программа, однако аппаратные TPM считаются более надёжными. encyclopedia.kaspersky.ru

Принцип работы TPM: модуль работает под управлением собственного встроенного ПО и не зависит от операционной системы устройства. encyclopedia.kaspersky.ru Он может принимать и выполнять команды, хранить данные и выдавать их по запросу. encyclopedia.kaspersky.ru

Некоторые функции TPM в современных системах безопасности:

• Безопасная загрузка и защита прошивки. www.securitylab.ru TPM фиксирует контрольные суммы компонентов UEFI, драйверов и загрузчиков. www.securitylab.ru Если злоумышленник попробует заменить их вредоносной версией, модуль обнаружит расхождение и прервёт запуск. www.securitylab.ru
• Прозрачное шифрование диска. www.securitylab.ru BitLocker, VeraCrypt и LUKS могут хранить мастер-ключ шифрования не в памяти компьютера, а в TPM. www.securitylab.ru Пользователь вводит только PIN-код, а остальное делает чип. www.securitylab.ru
• Двухфакторная аутентификация без лишних устройств. www.securitylab.ru При помощи стандарта FIDO2 TPM заменяет внешние ключи U2F. www.securitylab.ru Пароль + проверка подлинности устройства дают полноценный 2FA, не требуя носить с собой брелоки. www.securitylab.ru
• Удалённая аттестация рабочих мест. www.securitylab.ru Администратор может запросить у TPM отчёт о целостности и разрешить подключение к корпоративной сети только тем компьютерам, которые прошли проверку. www.securitylab.ru
• Защита контейнеров и виртуальных машин. www.securitylab.ru Облачные провайдеры предлагают vTPM: виртуальный экземпляр модуля с аппаратной привязкой. www.securitylab.ru Это позволяет изолировать секреты каждой VM даже при компрометации гипервизора. www.securitylab.ru

TPM также способен контролировать состояние системы. encyclopedia.kaspersky.ru В частности, модуль проверяет, нет ли признаков внешнего вмешательства в его аппаратное и программное обеспечение. encyclopedia.kaspersky.ru Если он обнаружит существенные изменения, он может отказаться предоставлять доступ к защищённым данным. encyclopedia.kaspersky.ru