如果你最近一直在关注科技新闻的话,可能已经听说微软最新一代 Windows 11 操作系统列出的最低硬件要求引发了不小的骚动。新的基础硬件要求之一是 TPM 2.0 芯片。但究竟什么是 TPM 2.0 呢,为什么微软需要它来运行新一代 Windows?
TPM(Trusted Platform Module,可信平台模块),它是一种安装在计算机主板上,用来提升安全性的芯片。在这篇文章中,我们深入研究了这个鲜为人知的组件,给出了一些常见问题的答案,例如它的用途、如何查看你的计算机是否已安装它,以及在哪里获取它。
什么是 TPM 芯片?
TPM 是计算机主板上的一个微型芯片,在硬件级别上提供与安全相关的一些特性。它本质上是一个加密安全处理器,能够执行生成加密密钥、以防篡改方式提供基于软件和硬件的混合身份验证等操作。
现在的计算机通常都在主板上安装了一个独立的 TPM 芯片。如果你要组装自己的 PC,你还可以单独购买一个附加模块,安装在支持它的主板上。但并非所有主板都支持 TPM 芯片或配备相应的连接器,这块我们将在后面讨论。
除了独立的物理芯片之外,TPM 还可以采用其他形式来实现,但普通用户就不用深入研究了。有些 TPM 实现可以作为固件或物理附件集成到主 CPU 中,也存在完全运行在软件中的纯虚拟 TPM,上述两者都不如独立芯片那么安全,不过前者还是两者中更可行的选项,因为同容易被黑客入侵和更改的环境相比,前者使用了离散且可信的环境。
TPM 芯片的用途是什么?
简而言之,TPM 芯片完全是为了安全而生的。它们最常用于保护和加密数据,并且可以在硬件保护下存储密码、加密密钥和安全证书等敏感信息。
如果 TPM 芯片在你的设备上检测到恶意软件或病毒,它可以自我隔离(进而隔离存储在芯片上的任何数据)。在某些情况下,这种芯片可以在计算机重新启动时扫描计算机的 BIOS,并在自身运行之前运行一系列条件测试以检查是否存在不需要的程序或访问。这些芯片还能够检测到是否有人篡改了你的计算机驱动器(比如驱动器是否被盗),并在检测到某些异常情况时阻止你的计算机启动和锁定系统。这些芯片还可以存储生物识别登录信息,比如用于 Windows Hello 的信息。
而最常见的用途是,这些芯片可以生成唯一的加密密钥。芯片会将密钥的一部分留给自己(字面意思——这一部分只存储在 TPM 中,永远不会存储在你的硬盘上)。这些密钥可以用来加密你的硬盘驱动器,于是没人能在偷走你的硬盘后把它连接到自家的计算机主板上来获取硬盘数据。
此外,有经验的用户经常使用这些芯片来处理电子邮件客户端中的加密、密钥签名消息。这些芯片还经常被浏览器(如 Chrome)用来维护 SSL 证书等高级功能。
谁在使用 TPM 芯片?
过去,TPM 往往只被那些需要保护组织信息的大公司使用。你一般会在公司的笔记本电脑中看到这种芯片,因为它们被用来确保电脑硬件或软件不会被员工或其他人搞乱。
使用机顶盒提供服务的媒体公司经常使用这种芯片来确保他们的内容在分发时不会被盗版。现代智能手机(如 Pixels 和 iPhone)最近也采用了类似的安全芯片。
尽管微软没有具体解释原因,但他们还是选择将这种芯片作为即将推出的 Windows 11 更新的一项核心硬件要求。这一举动将这个相对小众的组件推到了聚光灯下,因为想要运行新操作系统的用户都需要了解它。
为什么 Windows 11 需要这种 TPM 芯片
当微软在 6 月 24 日的活动中发布 Windows 11 时,他们给出了计算机运行新版操作系统时需要满足的硬件需求。在文档中,微软最初将 TPM 1.2 列为“Hard Floor”要求,将 TPM 2.0 列为“Soft Floor”要求,并表示“不符合 Hard Floor 条件的设备无法升级到 Windows 11,符合 Soft Floor 的设备会收到不建议升级的通知。”是的,这非常令人困惑。
几天后,微软从网站上删除了这条信息。他们在更新的博客文章中表示,他们已暂时移除了 PC 健康检查应用(该应用可让用户查看他们的计算机是否与新的硬件要求兼容)。目前,微软将 TPM 2.0 列为唯一的硬性最低需求。
迄今为止,微软从未对以前版本的 Windows 提出过如此严格的硬件要求。他们没有对这种要求给出相应的理由、又移除了 PC 健康检查应用,很多声明还自相矛盾,难怪这家公司引发了强烈的不满。
鉴于 TPM 芯片的性质及功能,微软可能只是更加注重安全性了。事实上,这些芯片将为 Windows 11 提供一个硬件安全的基准。几个月来,微软也一直在分享有关固件攻击的警告,对于我们所看到的所有勒索软件攻击(更不用说物联网和供应链漏洞或网络钓鱼攻击了),做出更多努力来确保更好的安全性,这显然没有什么坏处。
但是,虽然 TPM 芯片将在很大程度上阻挡这些攻击(这些攻击主要针对运行 Windows 系统的设备),但微软也需要考虑用户的感受。
有些人可能会说,微软对硬件提出更高的要求主要是为了赚更多的钱。他们说这个想法是为了帮助推动计算机的计划淘汰,并迫使更多人购买拥有所有必需硬件的新电脑。这样人们可能就没法继续使用那些还在运行 Windows 8 的旧电脑,坚持下一个十年了——在过去人们经常这样做。鉴于微软是一家企业而不是慈善组织,这个观点有其合理性。
然而,微软过去的历史证明,它在推动软硬件技术革新方面的表现并不算出色。自 Windows 10 发布以来,该公司实际上已经要求新生产的 PC 上都启用 TPM 了,OEM 厂商都被要求提供支持 TPM 的设备。但微软从未强迫自己的设备合作伙伴在运行 Windows 时启用 TPM。值得一提的是,即便是只有五年或更短历史,运行着 Windows 10 的笔记本电脑和台式机,也可能无法运行 Windows 11。
微软给出了这么强硬的升级策略,又不肯提供任何解释说明,难怪用户会感到困惑、沮丧甚至愤怒。一方面,公司采取措施确保自己产品(进而确保用户)的安全性是很合理的,甚至是符合期望的;另一方面,突然提升产品的需求可能会限制可获取产品的用户群,并且绝对是令人困惑的,这并不是最明智的商业举措。
黄牛也显然已经囤积了很多组件,准备在 eBay 上高价销售,这让问题变得更严重了。
TPM 1.2 和 TPM 2.0 有什么区别?
尽管外界仍不清楚微软是会采用 TPM 1.2 标准,还是最终选择 TPM 2.0,但了解两者之间的区别还是有用的。
微软表示,“TPM 1.2 规范只允许使用 RSA 和 SHA-1 哈希算法。”“TPM 2.0 在加密算法方面更加灵活,从而实现了更强的加密敏捷性。TPM 2.0 支持更新的算法,可以提高驱动器签名和密钥生成性能。”
简单来说,TPM 2.0 技术比 TPM 1.2 更新,后者自 2011 年就已出现。前者的加密能力更强大,更安全,并且能够更好地支持更新的算法。与技术领域的大多数事物一样,越新的通常会越好。
如何检查你的计算机是否有 TPM 芯片
首先,如果你的 PC 是在 2016 年 7 月 28 日之后购买的,它很可能已经启用了 TPM 2.0 芯片。但如果你的设备比这个时间还老,或者你是自己组装的机器,情况就可能不一样了。
不管怎样,How-to-Geek 网站分享了一些自我检查的方法,例如检查 TPM 管理工具或 UEFI 固件设置页面。你也可能需要联系计算机制造商来进一步了解,或查看他们的网站上是否有常见问题解答列出了搭载该芯片的设备列表。
如何启用计算机的 TPM 芯片
如果你是自己组装的 PC,它可能会说自己没有搭载 TPM 2.0,或者它虽然有但未启用。如果是后面这种情况,你需要进入 UEFI 或 BIOS 设置界面并在那里启用它。此外,有时计算机可能会说它没有正确安装 TPM 2.0,但是当你在设置中查看它时,它实际上只是被禁用了;如果需要,你仍然可以启用它。
你需要寻找名为“TPM Support”、“Trusted Platform Module”、“Intel PTT”、“PSP fTPM”或类似内容的选项。找到选项后,只需启用它、保存你的设置,然后重新启动你的计算机即可。请注意,你的 PC 的 TPM 芯片也有可能在你的设备管理器中列出并处于禁用状态(虽说不太可能),因此如果你无法在其他地方启用它,请务必检查设备管理器。
在哪里可以买到 TPM 芯片?
如果你确实需要为自己的设备购买 TPM 芯片,请搜索芯片附加模块。在购买之前,请仔细检查要买的模块是否支持你的计算机的主板型号,还要检查其他硬件组件需求,看看自己是否符合。
正如我们之前提到的,黄牛在听说了微软最初的 Windows 11 硬件要求后立即开始囤积 TPM 芯片了。你最好的选项是尝试直接从 PC 销售商或零件网站购买。它们的零售价一般在 20-30 美元之间,因此可以的话尽量不要花冤枉钱。
如果你安装了这种芯片,请务必在你的笔记本电脑或台式机的 BIOS 中启用其加密功能。大多数计算机制造商提供了可帮助你访问 TPM 功能的软件。
有这么多事情需要处理的确是很让人头疼的,特别是考虑到 TPM 芯片一直都是一种小众组件,微软以前从未这么重视过它们。但不要担心,这家科技巨头还是完全有可能降低Windows 11 的硬件要求,或者决定完全放弃 TPM 的需求。至少这种可能性是存在的。
原文链接:《What Is a TPM Chip and Why Does Windows 11 Require It?》
活动推荐:
2023年9月3-5日,「QCon全球软件开发大会·北京站」 将在北京•富力万丽酒店举办。此次大会以「启航·AIGC软件工程变革」为主题,策划了大前端融合提效、大模型应用落地、面向 AI 的存储、AIGC 浪潮下的研发效能提升、LLMOps、异构算力、微服务架构治理、业务安全技术、构建未来软件的编程语言、FinOps 等近30个精彩专题。咨询购票可联系票务经理 18514549229(微信同手机号)。
评论 1 条评论