一、什么是TPM?
TPM是Trusted Platform Module的縮寫,是一種標准的安全接口。
TPM可以用存儲有私鑰、帶有計算能力的單獨硬件實現,也就是內部有小的計算芯片(所謂的SoC,類似有運算能力的銀行優盾、軟件的加密狗、硬件錢包)。
由於普通應用程序和操作系統無法讀取TPM硬件內的私鑰、無法偽造TPM硬件內的計算,所以能提供安全性。
1、硬件TPM(dTPM,即discrete TPM)
TPM硬件可以是獨立的,比如中亞上賣的華碩的TPM硬件不到120元,插在有TPM硬件接口的主板上就能用;
TPM硬件也可以是集成的/出廠自帶的,不能拔下來。
2、固件TPM(fTPM,即firmware TPM)
TPM也可以用CPU芯片中的軟件來實現,就是CPU芯片中的軟件在一個安全的執行環境中模擬獨立TPM硬件所對外提供的接口。
Intel/AMD/ARM稍微新點的CPU內部可能都實現了fTPM。但是Intel家的fTPM在主板BIOS選項中的名字可能叫Intel PTT。
Intel PTT(Platform Trust Technology)是Intel自家開發的安全技術,帶有fTPM功能(不止這個功能),實現了TPM 2.0接口。Intel家的NUC支持PTT。
二、安裝Windows 11需要TPM 2.0。
TPM 1.2只支持弱的SHA-1哈希算法。微軟的官方頁面最開始寫的是需要TPM 1.2,但后來改成了需要TPM 2.0。
https://docs.microsoft.com/en-us/windows/whats-new/windows-11-requirements
三、怎么檢查自己的機器的TPM狀態?
在Windows的開始菜單的“運行”中輸入tpm.msc,可以顯示當前TPM是否開啟,以及TPM的接口版本號。
四、怎么確定自己的機器硬件是否支持TPM?
首先進入主板BIOS設置,查看是否有TPM、fTPM、Intel PTT(Intel PTT這個只限於Intel平台)的打開選項,一般是在BIOS的“安全性設置”那一個分類中。
如果有這三者之一並能打開,那么就應該是支持TPM的。
如果沒有,或者有TPM選項但是檢測不到TPM設備,可以根據自己的主板型號,查主板手冊,看是否有外接TPM獨立硬件的接口,如果有的話,可以考慮自行購買配套的TPM硬件插上再看設置。注意先把主板BIOS升級到最新,有些老版本的BIOS可能沒TPM設置,但是新版本給加上了。
BIOS中設置完了之后,再進入Windows運行tpm.msc查看。
微軟官方的電腦健康檢查工具下載鏈接:https://aka.ms/GetPCHealthCheckApp
這個工具不光能檢查TPM,而且是整體檢查是否能安裝Windows 11。