微軟強制Windows10的硬體必須使用可信平台2.0

從7月28日開始，微軟會将基于 tpm 2.0 硬體的安全層級設為智能手機、pc和平闆端 windows 10 的要求。

微軟提出了 windows 10 計算機和移動裝置的基本硬體要求改動，并期望硬體制造商遵從，讓裝置變得更佳安全。

從上周四開始，pc制造商應當在 windows 10 計算機中加入被稱為tpm（trusted platform module，可信平台子產品）2.0的硬體級安全特性。

tpm 2.0特性将對使用者有利，它将在保護pc敏感資訊方面做得更好。

tpm 2.0安全層可能以晶片或固件的形式出現，它能通過在可信容器中管理密鑰來保護使用者資料。

微希望通過一種被稱為 windows hello 的生物認證特性來幹掉密碼。該特性允許使用者通過指紋、面部、虹膜識别來登陸pc。tpm 2.0晶片對 windows hello 很重要，它會在安全的區域建立并儲存所有加密密鑰。

tpm 2.0也能通過 microsoft passport，使用生物和pin結合的方式，實作雙因素認證。這種特性在 windows 10 pc 之間很常見。passport特性能夠在網頁登陸、應用登陸、其它服務登陸上使用。

微軟表示，windows hello 并不需要tpm，但建議使用該安全層保護生物登入資訊。tpm晶片很難入侵，而且在保護敏感資訊方面比基于軟體的機制做得更好。windows hello 登陸資料之前是通過軟體方式保護的。

安全公司ioactive執行副總裁 kevin murphy 稱：tpm顯然為筆記本電腦提供了一次安全性能提升，而且它對于保護密鑰和其它pc認證所需的關鍵資料非常有效。

“

由于它基于硬體，而不是軟體，密鑰不會暴露在pc記憶體中。pc記憶體是攻擊者竊取知識資産的好去處。

不過，使用tpm并不會防止攻擊者濫用密鑰。如果攻擊者“擁有”裝置，比如通過僞裝成合法使用者，tpm就會像遇到合法使用者一樣進行響應。

murphy稱：“它不會注意到差別。在這個場景下，它帶來的好處在于攻擊的邊界被限制在了目前的範圍内，黑客無法為未來的攻擊竊取密鑰。”

有可能攻破tpm晶片，但難度系數比較高，比如需要大量技術、裝置、時間、投資。

磁盤加密系統bitlocker已經在使用tpm來存儲加密密鑰了。tpm也被用于保護軟體更新、虛拟機，認證智能卡。英特爾的vpro遠端管理服務在開始遠端修複pc之前，要求tpm提供的認證。

tpm 2.0 将會成為所有 windows 10 裝置的底線要求，除了樹莓派3這樣運作輕量版 windows 10 iot core 的開發者實驗裝置。

這一安全特性并不是新鮮事物。事實上，它存在很多年了，主要是對于商用pc而言。許多新的pc已經擁有 tpm 2.0， 除了低成本pc以外。有些windows筆記本配備了較老的 tpm 1.2 标準。但pc制造商現在被期待遵從微軟的新硬體要求，引入tpm 2.0。惠普的 elite x3 windows 10 智能手機基于高通最新的骁龍820處理器，它已經擁有 tpm 2.0 了。該特性沒有引入華碩的 jade primo 和 nokia lumia 機型，它們的元件都相對較老。

微軟近期屢次嘗試引導pc領域的硬體和軟體變革，有些舉措被認為是有争議的。基于英特爾 kaby lake 晶片的下一代pc可能将在第三季度上市，它們将隻支援 windows 10，而不是老版本作業系統。

微軟今年早些時候表示将在2017年7月17日之前保持對 windows 7 和8.1在skylake裝置上的支援，但由于強制使用者更新 windows 10 受到批評，并被迫将該期限延長了一年。

發言人說，微軟正與硬體合作商協同合作，在多裝置上部署 tpm 2.0。tpm 2.0能夠最大化 windows hello 和passport的的安全能力，并幫助保證使用drm的4k流媒體視訊安全。

發言人說：“未來，更多關鍵特性将基于它。”

根據可信計算組織的解釋，tpm 2.0 是iso/iec在去年6月通過的一項國際标準。

====================================分割線================================

本文轉自d1net（轉載）