Autres noms d'options identiques : Puce de sécurité, exécutez la commande TPM.

Les options du BIOS conçues pour protéger les informations de l'ordinateur incluent l'option Trusted Platform Module. Il vous permet d'activer la prise en charge du complexe matériel et logiciel de sécurité des informations du même nom. L'utilisateur ne peut sélectionner que deux options pour cette option : Activé et Désactivé.

Il n'y a pratiquement aucun utilisateur qui ne serait pas du tout préoccupé par le problème de la protection des informations confidentielles situées sur son ordinateur. Dans le domaine commercial et industriel, d'énormes sommes d'argent sont dépensées pour résoudre ce problème, mais jusqu'à présent, aucun moyen efficace et peu coûteux n'a été trouvé pour protéger les données informatiques.

Le système Trusted Platform Module est une tentative pour répondre au besoin urgent d’une telle technologie. Bien que ce ne soit pas une panacée, il peut cependant augmenter considérablement le niveau de protection des informations tant au niveau des réseaux informatiques qu'au niveau des ordinateurs individuels et autres appareils contenant des données importantes.

Trusted Platform Module (TPM, Trusted Platform Module) est un système logiciel et matériel destiné à protéger les informations. Le complexe peut être installé sur n’importe quel ordinateur et même sur des périphériques de stockage individuels et des appareils mobiles tels que les smartphones. Le plus souvent, les ordinateurs portables sont équipés d'un complexe TPM. Ce qui est important, c'est que les systèmes informatiques équipés de modules matériels TPM ne coûtent pas beaucoup plus cher que les systèmes présentant des caractéristiques similaires qui ne sont pas équipés de TPM.

Les principales propriétés de données que la technologie TPM est conçue pour fournir :

• protection
• Intégrité
• Sécurité
• Paternité

La norme TPM a été développée par un certain nombre de fabricants de logiciels et de matériel bien connus, notamment Microsoft, HP, Intel et IBM. Par la suite, des sociétés telles que Sun, AMD, Sony et Verisign ont rejoint leurs rangs.

L'utilisation du TPM vous permet d'empêcher le piratage informatique et la fuite d'informations importantes, les infections par des chevaux de Troie et des virus, de maintenir l'intégrité des logiciels sous licence et de protéger le trafic réseau. Le système TPM peut garantir la protection des logiciels contre les modifications, ainsi que la protection des données contre la copie.

Les disques prenant en charge le système TPM sont capables de crypter les données matériellement, ce qui garantit la protection des informations confidentielles. Lors de l'autorisation d'un utilisateur dans le système TPM, diverses méthodes peuvent être utilisées, y compris des méthodes biométriques, telles que la numérisation d'empreintes digitales.

La spécification TPM permet d'utiliser à la fois une implémentation entièrement logicielle et matérielle-logicielle de la technologie. En pratique, c’est la deuxième option qui est utilisée dans la plupart des cas car elle offre le plus haut degré de protection.

La base du système TPM est une puce spéciale intégrée à la carte mère. Cette puce, souvent appelée processeur cryptographique ou simplement cryptoprocesseur, contient les logiciels et le matériel nécessaires à la protection des informations. Son objectif est de stocker et de générer des clés, d'effectuer un cryptage asymétrique et un hachage des données. Aujourd’hui, les puces de cryptoprocesseur sont fabriquées par de nombreux fabricants et installées sur des millions d’ordinateurs.

Lorsque vous démarrez un ordinateur sur lequel le système TPM est installé, le cryptoprocesseur vérifie l'identité de tous les principaux composants de l'ordinateur, tant matériels que logiciels, tels que le BIOS et le système d'exploitation. Si une telle vérification réussit, l’ordinateur est considéré comme fonctionnant dans l’état dit vérifié. Dans cet état, toutes les applications peuvent être exécutées, y compris celles qui nécessitent la protection et la confidentialité des données, et les données cryptées sont également accessibles.

Au niveau logiciel, le TPM nécessite un support technologique de la part du système d'exploitation, ainsi qu'un logiciel spécial. La technologie Trusted Platform Module est prise en charge par la plupart des systèmes d'exploitation Windows modernes, à commencer par Windows XP SP2, ainsi que par les versions modernes de Linux.

L'option Trusted Platform Module vous permet d'activer la prise en charge de cette technologie dans le BIOS. Il n'est disponible que si la carte mère de l'ordinateur est équipée d'une puce de cryptoprocesseur TPM. La sélection de Activé permet à l'utilisateur d'activer cette puce et de Désactivé permet à l'utilisateur de la désactiver.

Dois-je l'inclure ?

La réponse à cette question dépend si le Trusted Platform Module est installé sur votre ordinateur. Si oui, le système doit être activé. Cependant, il ne faut pas oublier que l'utilisation du système n'est pas une panacée et ne peut pas toujours remplacer l'utilisation des antivirus, pare-feu et autres outils de sécurité informatique traditionnels.

Les fabricants de BIOS offrent un choix à l'utilisateur et vous pouvez toujours désactiver un système donné si vous n'avez pas besoin de son aide. Bien sûr, si votre ordinateur est équipé d'un ancien système d'exploitation qui ne prend pas en charge le TPM (Windows XP SP1 et anciens systèmes d'exploitation), son activation n'a également aucun sens.

Les philosophes du passé aimaient parler de liberté. « Ceux qui sont prêts à renoncer à leur liberté pour obtenir une protection éphémère contre le danger ne méritent ni liberté ni sécurité », a déclaré Benjamin Franklin. « Une personne ne peut être ni esclave ni libre. Soit il est libre, soit il ne l'est pas du tout », a déclaré catégoriquement Jean-Paul Sartre. « La liberté est une nécessité consciente », citent les marxistes Benoît Spinoza.

Qu'est-ce que la liberté ? Est-il important pour une personne d'être libre et est-elle prête à échanger la liberté contre la sécurité ? Une raison qui n'a pas été remarquée par le grand public m'a poussé à réfléchir à ce sujet. Cet été, le comité technique du JTC1 a voté pour approuver, de manière simplifiée prévue par la procédure PAS, une nouvelle version de la norme ISO/IEC 11889:2015, présentée par le consortium Trusted Computing Group (TCG), fondé par les sociétés américaines AMD, Cisco, HP, IBM, Intel, Microsoft et Wave Systems. Et le 29 juin à Portland, Oregon, TCG a annoncé que sa norme Trusted Platform Module (TPM) 2.0 avait finalement été approuvée comme internationale.

Avantages du TPM

TPM est le nom d'une spécification qui décrit un module de chiffrement qui stocke les clés cryptographiques pour protéger les informations. Cela peut être dit plus simplement : il s'agit d'un module de sécurité de l'information qui peut être installé sur des serveurs, des ordinateurs personnels, des réseaux et des appareils mobiles. Il prend en charge l'attestation à distance, permettant la communication entre le matériel informatique et les logiciels.

Le module est pratique pour les titulaires de droits d'auteur, car il vous permet de vérifier la licence des logiciels et de contrôler la copie illégale de musique, de films ou de jeux informatiques. Il identifie de manière unique l'ordinateur et permet l'authentification de l'utilisateur. Parallèlement, le TPM permet de générer des clés, dispose de fonctions de hachage et génère des nombres aléatoires.

Les capacités matérielles du TPM sont très limitées en puissance et ne vous permettent pas de chiffrer directement de grandes quantités de données à grande vitesse. La fonction de cryptage groupé des fichiers sur les disques peut être exécutée par le programme Windows Bitlocker. Dans le même temps, les clés cryptographiques utilisées sont elles-mêmes cryptées grâce au TPM, ce qui élimine toute possibilité de vol.

Ainsi, le TPM, en conjonction avec Windows Bitlocker, peut crypter un disque, protéger les données en cas de perte ou de vol d'un ordinateur, les logiciels contre la modification et l'infection par des virus, ainsi que les programmes bancaires et de messagerie.

Le module est capable de confirmer l'authenticité de l'ordinateur et même sa fonctionnalité avant même d'accéder au réseau. Dans l'ensemble, cela augmente considérablement la sécurité des utilisateurs, en particulier de ceux qui ont peu de connaissances sur les problèmes de sécurité de l'information et ne peuvent pas les résoudre eux-mêmes.

En effet, le TPM est une chose importante et utile. Augmente considérablement la sécurité des utilisateurs. Mais la question du prix de la sécurité se pose. Si une personne installe une webcam chez elle, elle augmente la sécurité de sa maison. Il peut surveiller l'appartement à distance à tout moment et appeler la police si des voleurs apparaissent. Mais si la capacité de contrôler la webcam est interceptée, elle peut passer d'un dispositif de sécurité à un dispositif de surveillance. Les informations collectées sur une personne sont donc utilisées comme moyen de contrôle et de gestion. Et son appartement lui-même se transforme en cellule, mais plutôt en cellule de prison.

La position de l'Allemagne

Le résultat du vote du comité technique ISO/IEC JTC1 était prévisible. Seule l'Allemagne a voté contre. La Russie s’est abstenue, mais son vote « contre » n’aurait de toute façon rien décidé. La majorité a soutenu la position américaine. Une action sans précédent n'a pas aidé non plus : l'envoi d'une lettre fermée aux membres du comité par des représentants officiels du ministère fédéral de l'Intérieur et du ministère fédéral de l'Économie et de l'Énergie de la République fédérale d'Allemagne demandant « d'enterrer » le projet. Des informations sur ce document ont fuité dans la presse allemande et ont fait beaucoup de bruit.

Au niveau de l'État, l'existence d'une telle lettre a été niée par les autorités allemandes, mais que peut-on attendre d'autre dans ce cas des autorités officielles. Dans le texte de la lettre allemande, à la disposition des éditeurs et dont nous n'avons aucune raison de douter de l'authenticité, il est écrit que « … les spécifications présentées dans le projet de norme ne sont pas suffisamment développées pour prendre une décision ; en particulier, à la suite d'un examen attentif de la question, nous avons des raisons de croire que leur mise en œuvre peut dégrader considérablement la capacité de gérer le système TIC protégé, et également potentiellement conduire à des situations de blocage complet du système, effectué dans le intérêts de certains fabricants de matériel informatique. En outre, nous pensons que l’impact potentiel des spécifications proposées sur la confidentialité et la sécurité informatique pourrait être très problématique et craignons que cela n’entre en conflit avec la législation allemande en vigueur.

Dans le même temps, les spécialistes allemands de la sécurité de l’information ne s’opposent pas en principe au TPM. Ils étaient satisfaits de la précédente norme TPM 1.2, dans laquelle l'utilisateur conservait le contrôle total sur sa plateforme. Le module TPM pourrait simplement être désactivé. Dans la norme TPM 2.0, cela ne fonctionnera plus.

En outre, ils étaient préoccupés par l'approche même de l'élaboration de la norme, à laquelle seules les entreprises américaines participaient. Les journalistes du Zeit ont rapporté que le gouvernement allemand avait tenté de participer au développement du TPM 2.0, mais avait été refusé. Ils ont également souligné la coopération active des développeurs de normes avec la NSA américaine et ont fourni des évaluations de la sécurité du TPM 2.0 par des experts indépendants. La publication avertit que le TPM peut être considéré comme une porte dérobée et qu’il existe une forte probabilité que la NSA ait accès aux clés cryptographiques.

Aérations et fenêtres

Les experts de l'Office fédéral allemand pour la sécurité des technologies de l'information (BSI) ont été alarmés par le fait qu'avec la transition vers la spécification TPM 2.0, cette norme devient obligatoire pour tous les appareils exécutant Windows 8.1 et supérieur, et cette fonction ne peut pas être désactivée.

En fait, un ordinateur doté du TPM 2.0 ne peut pas être considéré comme un appareil sous le contrôle total de l'utilisateur. Des inquiétudes ont été soulevées quant au fait que Windows 8 avec TPM 2.0 pourrait permettre à Microsoft de contrôler l'ordinateur à distance via une porte dérobée intégrée.

Les experts chinois ont également pris connaissance de l’avertissement allemand. Ils ont étudié le problème, compris les détails et pris une décision. En mai 2014, l'agence gouvernementale chinoise Xinhua a annoncé qu'elle avait interdit l'installation de Windows 8 sur les ordinateurs gouvernementaux. Et ce sont très probablement des ordinateurs qui appartiennent non seulement à l'État, mais également aux structures contrôlées par l'État - les plus grandes banques, sociétés de sécurité de l'information, télécommunications, ainsi que d'autres entreprises qui souhaitent suivre les recommandations de leur gouvernement. .

Un autre document interne du BSI obtenu par la publication allemande indique : "Windows 7 peut être géré en toute sécurité jusqu'en 2020. Après cela, il faudra trouver d'autres solutions pour l'administration des systèmes informatiques." Et sur le site Web de BSI, il est directement écrit que le mécanisme de Windows 8 avec TPM 2.0 « peut être utilisé à des fins de sabotage par des tiers » et que les experts considèrent l'utilisation de la nouvelle version de TPM comme inacceptable par les organisations gouvernementales et les infrastructures critiques. Il semble donc que les Allemands et les Chinois ne se précipiteront pas pour mettre à niveau Windows 7 dans le secteur public, même vers Windows 8.

La position de la Russie

Pour connaître la position de la Russie, nous nous sommes tournés vers des experts - les membres du comité technique ISO/IEC JTC1, les sociétés russes Aquarius et Craftway et Microsoft en leur demandant de commenter la gravité des préoccupations de l'Allemagne et de la Chine concernant la nouvelle norme.

Malheureusement, les experts ont ignoré nos questions ou ont déclaré qu'ils refusaient d'y répondre. Le seul spécialiste qui a accepté un entretien était un expert indépendant en cybersécurité dans les systèmes de contrôle automatisés Vadim Podolny.

Qu’est-ce qui est bon et qu’est-ce qui est dangereux avec le TPM ?

Le TPM, qu'il s'agisse du TPM 1.2 le plus répandu actuellement ou du TPM 2.0 de plus en plus mis en œuvre, est une norme technologique promue par les grandes entreprises américaines. Essentiellement, TPM est un module distinct intégré aux ordinateurs.

Désormais, en plus des PC, des serveurs, des terminaux et des routeurs réseau, nous disposons de nombreux nouveaux composants connectés au réseau. Il s'agit de contrôleurs d'automatisation industrielle, d'appareils Internet des objets, d'appareils responsables de la santé humaine - stimulateurs cardiaques, glucomètres intégrés aux montres... Du fait de l'intervention d'un pirate informatique, ils peuvent se déclencher faussement ou, à l'inverse, ne pas se déclencher faussement. Les modules de confiance TPM résolvent un problème important : la confiance dans les données, la confiance dans le système, confirmant qu'il fonctionnera correctement.

L'idée du TPM est correcte. Il devrait y avoir des modules standard qui garantissent la signification juridique des informations. Le concept en lui-même est le suivant : réaliser un module difficile à réaliser pour les hackers et que seul un grand État peut réaliser. C'est comme un billet de banque, une méthode de protection de l'argent. Il n'y a rien de mal.

La question est différente. Windows 7 avait une icône Poste de travail. Sous Windows 10, cela s'appelle « Ce PC ». Ce n'est plus votre ordinateur. On nous impose des technologies qui assureront notre sécurité, que nous le voulions ou non. Il semble que l'État ait introduit l'interdiction et déclare que désormais vous ne boirez plus d'alcool, car la société a besoin de soldats en bonne santé. C'est donc ici.

Si votre ordinateur est capturé, cela signifie que quelqu'un en a besoin pour quelque chose. Peut-être pour vous surveiller. Si vous ne pouvez pas désactiver cette fonctionnalité, il ne s'agit pas d'une fonctionnalité de sécurité. C'est un moyen d'attaque passif. Recueillir des informations, c'est trouver un point à attaquer. Microsoft vous prend votre ordinateur pour votre argent. Il vous vend son système d’exploitation et vous enlève le contrôle.

Est-il possible de vérifier si un module TPM a une porte dérobée ou non ?

Vous pouvez analyser la norme. Mais lorsqu’un ordinateur vous arrive avec un module TPM soudé sur sa carte mère qui n’a pas été fabriqué dans une entreprise que vous contrôlez, vous ne savez pas ce qu’il y a à l’intérieur. Ils peuvent y ajouter n'importe quoi.

Mais pouvez-vous ajouter un signet à n’importe quel processeur ou contrôleur ?

Oui bien sûr. Et l'approche devrait être la même. Dans les systèmes militaires, les régulateurs n’autoriseront jamais l’utilisation d’une puce fabriquée par un inconnu, même selon un standard ouvert. C'est pourquoi nous avons les processeurs « Baïkal » et « Elbrus ». Les forces d'ingénierie russes sont suffisantes pour concevoir son propre TPM. Nous ne pouvons pas encore le fabriquer dans nos usines. Le processeur aussi. Mais nous pouvons concevoir, puis vérifier s'ils l'ont fait comme nous en avions besoin, ou si quelque chose y a été ajouté. Un tel mécanisme permettra déjà l’utilisation du TPM.

Que devons-nous faire maintenant que nous n’avons pas notre propre TPM ?

Les analogues couramment utilisés du TPM, qui remplissent en grande partie son rôle, sont des modules de démarrage matériels sécurisés. Ils sont utilisés même maintenant que les TPM sont apparus sur les cartes mères.

Il est également devenu possible de modifier le BIOS et la technologie UEFI est apparue, une norme qui permet de créer par programme des modules de démarrage fiables. En fait, ils peuvent héberger des programmes qui émulent le fonctionnement du TPM, ce qui est le cas dans de nombreux développements. Par exemple, dans le système d'exploitation seOS, certifié par le FSB.

Qu’en est-il du module TPM russe ?

Nous avons encore des entreprises en Russie qui commandent des cartes mères pour leurs projets. Par exemple, Aquarius, Craftway, T-Platforms, MCST et autres. Chacun d’entre eux est tout à fait capable de concevoir son propre module TPM. Et il sera probablement créé dans un avenir proche, avec le soutien des algorithmes cryptographiques nationaux GOST. Et cela est important non seulement pour les entreprises de défense, mais aussi pour un large éventail de consommateurs qui sont tenus de se conformer aux dispositions de la loi 152-FZ « sur les données personnelles ».

Pourquoi les Allemands se sont-ils si farouchement opposés à la norme TPM 2.0 ?

Très simple. Ils veulent protéger leurs données et leur technologie des États-Unis. Vous vous souvenez de la création de SUSE Linux ? Cela s'est produit après qu'il est devenu clair que lorsque des documents étaient transférés d'un département de la Bundeswehr à un autre, les informations aboutissaient d'abord à la NSA. Ensuite, SUSE Linux a été créée en Allemagne et le département a été transféré pour travailler avec ce système d'exploitation.

Sous Linux, à partir du noyau 3.2, la prise en charge du TPM 2.0 a également été annoncée. Mais on peut le désactiver. Mais sous Windows, vous ne pouvez pas dépasser huit. Windows est un système d'exploitation très convivial. C'est merveilleusement pensé. Des dizaines de milliers de programmeurs travaillent pour le rendre pratique et confortable pour les utilisateurs. Mais tout changement qu’on vous impose en disant que c’est pour votre sécurité est agaçant. Et des spécialistes, des fonctionnaires et des gouvernements.

Afin de ne pas avoir peur du TPM, vous devez faire des recherches particulières, effectuer un contrôle et savoir s'il y a quelque chose de dangereux ou non. Il s'agit d'une procédure tout à fait standard. Parfois, elle est réalisée sur place, sur le site de production. Il s'agit d'une pratique normale lorsque des représentants d'un pays se rendent dans le pays du fabricant et s'assoient en production pendant un certain temps, comprenant les processus.

Et qui fera ça ?

Cela peut intéresser les grandes entreprises commerciales. Je pense que des travaux de recherche dans ce format sont déjà en cours. Mais l’État ne s’y intéresse pas immédiatement, puisque notre cryptographie n’est pas là, donc les modules existants ne sont pas adaptés aux industries de défense.

Est-il possible d'utiliser des ordinateurs avec TPM dans les agences gouvernementales ?

La question de l'utilisation du TPM dans les agences gouvernementales est assez complexe. Je pense que dans les prochaines éditions du TPM, il sera possible de remplacer les algorithmes cryptographiques. Vous pouvez maintenant flasher à nouveau le BIOS et ajouter vos propres composants. Ce sera le cas dans TPM. Quant à l’usage actuel dans le secteur public, il est trop tôt pour en parler. Mais vous devez étudier la possibilité de mettre en œuvre vous-même la norme. Il faut aussi participer à l’élaboration de sa prochaine version. Pouvoir intégrer notre cryptographie dans le TPM de quelqu'un d'autre.

... De manière générale, la situation est claire. Le TPM est un nouveau niveau de sécurité. L'État résoudra d'une manière ou d'une autre le problème de l'industrie de la défense, et les autres utiliseront ce dont ils disposent. Dans la plupart des cas, le TPM vous protégera des pirates informatiques sauvages (en matière de protection fournie par le TPM), mais vous ne pourrez toujours pas échapper à l’attention de Big Brother.

Le consortium lui-même, qui était au départ un projet purement américain, est en train de se développer. Actuellement, TCG compte 11 membres promoteurs (AMD, Cisco, Fujitsu, HP, IBM, Infenion, Intel, Juniper, Lenovo, Microsoft et Wave Systems) et 74 membres contributeurs. Des entreprises japonaises et chinoises figuraient sur ces listes. Mais il n’y a toujours pas de représentants russes.

Liberté ou sécurité ? L’époque des existentialistes Sartre et Camus, qui ont choisi les « chemins de la liberté » et étudié un homme libre au bord du « rien », appartient au passé, tout comme au siècle dernier. La plupart des gens ont choisi la sécurité. Et maintenant, il ne discute que de la longueur de la laisse. Donc pour l’utilisateur de masse, le problème du TPM n’existe pas. Mais l’État ne doit pas rester indifférent à la question de savoir à qui tiennent ses agences gouvernementales. Et ses citoyens aussi.

Le nombre sans cesse croissant de vers, de virus et de failles élémentaires dans les systèmes d'exploitation et les services réseau modernes oblige les informaticiens à développer de plus en plus de nouveaux outils de sécurité de l'information. Auparavant, on utilisait principalement des solutions logicielles - le matériel et les logiciels n'étaient pas accessibles à tout le monde. Désormais, grâce à la technologie TPM (Trusted Platform Module), ces solutions ont atteint le plus grand nombre et sont devenues accessibles à tous. Dans cette application, nous expliquerons ce qu'est le TPM et pourquoi il est logique d'utiliser cette technologie dans votre entreprise.

Qu'est-ce que le TPM ?

Le TPM est un microcontrôleur conçu pour mettre en œuvre des fonctions de sécurité de base à l'aide de clés de chiffrement. La puce TPM est installée sur la carte mère de l'ordinateur et interagit avec d'autres composants du système via le bus système.

Le concept de « modules de plateforme de confiance » (c'est ainsi que l'abréviation TPM est traduite en russe) appartient au consortium Trusted Computing Group (TCG), qui existe depuis 2004.

La technologie TPM elle-même n’est pas apparue en 2004, mais bien avant. En 1999, la Trusted Computing Platform Alliance (TCPA) a été créée. Cette alliance comprenait les plus importants développeurs de matériel et de logiciels - IBM, HP, Microsoft, etc. Malgré l'éminence des participants, les activités de l'alliance rappelaient la fable bien connue sur le cygne, l'écrevisse et le brochet : tout le monde "s'est imposé la charge" (chaque membre de l'alliance avait le droit d'annuler les décisions prises par les autres membres), de sorte que le TPM s'est développé assez lentement.

En 2004, l'alliance TCPA se transforme en consortium TrustedComputingGroup. La structure de cette organisation était différente. Seules les entreprises sélectionnées (on les appelle promoteurs) peuvent prendre des décisions importantes. De telles entreprises sont désormais Intel, HP, IBM, AMD, Seagate, Sony, Sun, Microsoft Et Verisign. Les entreprises restantes (il y en a plus d'un millier) ont le droit uniquement de participer à l'élaboration des projets de cahier des charges ou simplement de bénéficier d'un accès plus rapide aux nouveaux développements.

Le principal résultat de TCPA/TCG est le « module de plateforme de confiance », anciennement appelé « puce Fritz ». Il doit son nom au sénateur américain Fritz Hollings, connu pour son soutien à la gestion des droits numériques (DRM).

Objectifs du TPM

La tâche principale du TPM est de créer un ordinateur sécurisé dans lequel tous les processus de communication, ainsi que le matériel et les logiciels, sont vérifiés et protégés. La sécurité des communications ne signifie pas le processus de protection d'une connexion réseau, mais la protection du processus d'interaction entre les différentes parties du système (par exemple, le système d'exploitation).

Le module TPM peut également être utilisé pour vérifier l'intégrité et la paternité des données. Seuls les utilisateurs autorisés doivent avoir accès aux données et la sécurité de la transmission des informations elle-même doit être assurée. Le contrôle d'intégrité protégera le système contre les virus, vers et autres programmes qui modifient les données sans en informer l'utilisateur.

Lors du développement du TPM, l'objectif n'était pas de créer un module uniquement pour protéger les ordinateurs personnels ou portables contre les virus - cette technologie peut être utilisée pour assurer la sécurité des téléphones mobiles, des PDA, des périphériques d'entrée et des lecteurs de disque. Avec cela, vous pouvez utiliser des dispositifs d'identification biométrique.

La protection des connexions réseau est assurée par une division distincte de TCG - Trusted Network Connect (TNC). Nous ne considérerons pas les fruits des activités de TNC, mais nous limiterons uniquement au TPM.

"Fer" et mathématiques

Il est logique de supposer que la puce TPM elle-même sur la carte mère ne résout rien. Nous avons besoin du soutien du reste du matériel et des mathématiques – logiciels.

Par exemple, vous pouvez installer un disque dur avec prise en charge TPM (Fig. P37). De tels disques durs sont produits depuis longtemps Seagate(Momentus 5400 FDE.2). Mais Seagate est loin d'être le seul fabricant de disques durs doté d'une fonction de cryptage. D'autres fabricants, comme Hitachi, produisent également des « lecteurs cryptographiques ». Vous avez donc le choix du matériel (vous pouvez en savoir plus sur d'autres fabricants de matériel et de logiciels prenant en charge le TPM sur le site Web www.tonymcfadden.net).

Riz. P37. Disque dur Seagate Momentus 5400 FDE.2

Quant au système d'exploitation, la technologie TPM est prise en charge par la plupart des systèmes d'exploitation modernes - Windows Vista, Microsoft Windows Server 2003 SP1, Microsoft Windows XP SP2, Windows XP Professionnel x64, SUSE Linux (depuis la version 9.2) et Enterprise Linux (depuis la version 3 mise à jour 3). ) .

Comment fonctionne le TPM

Comme déjà indiqué, le module TPM est implémenté sous forme de puce sur la carte mère. La puce TPM est intégrée au processus de démarrage de l'ordinateur et vérifie le hachage du système à l'aide de l'algorithme SHA1 (Secure Hash Algorithm) ; il est calculé sur la base des informations sur tous les composants de l'ordinateur, à la fois matériels (processeur, disque dur, carte vidéo) et logiciels ( système d'exploitation).

Pendant le processus de démarrage de l'ordinateur, la puce vérifie l'état du système, qui ne peut être démarré que dans des conditions autorisées, ce qui n'est possible que si la valeur de hachage correcte est détectée.

Configuration du TPM sous Windows

Le guide suivant décrit comment utiliser les services TPM dans Windows Vista :

Windows Vista et Windows Server 2008 utilisent la technologie de chiffrement de disque BitLocker, étroitement liée aux modules approuvés (Figure A38). Vous pouvez en savoir plus sur la configuration de BitLocker dans Windows Server 2008 et Vista (Fig. P39, P40) ici :

Riz. P38. Composants BitLocker
Riz. P39. Le chiffrement BitLocker est désactivé : TPM n'est pas installé ou désactivé (dans le BIOS)
Riz. P40. Schéma d'interaction entre Full Volume Encryption et TPM sous Windows

Systèmes prêts avec prise en charge TPM

Les ordinateurs TPM prêts à l'emploi sont sur le marché depuis longtemps : aussi bien des ordinateurs portables que des ordinateurs de bureau. En règle générale, ces systèmes sont produits par des fabricants bien connus comme HP, leur prix peut donc être légèrement gonflé (supplément « pour la marque »).

Il peut être recommandé à ceux qui souhaitent économiser de l'argent d'acheter du matériel avec support TPM et de tout assembler eux-mêmes. Les cartes mères nécessaires sont produites par de nombreux fabricants, par exemple ASUS (M2N32-SLI Premium), MSI (Q35MDO), etc. (Fig. A41).

Riz. P41. Carte mère ASUS M2N32-SLI Premium (avec prise en charge TPM)

Pourquoi avez-vous besoin du TPM ?

Premièrement, le TPM est une augmentation de la sécurité globale du système et une protection supplémentaire, mise en œuvre au niveau matériel, contre les virus, chevaux de Troie et autres mauvais esprits informatiques. Et on le sait, il ne faut pas lésiner sur la sécurité, surtout en entreprise.

Deuxièmement, le TPM est le cryptage des données sur un disque dur. Le TPM permet un compromis entre sécurité et performances.

Le chiffrement étant effectué matériellement, il n’y a pratiquement aucun impact sur les performances.

Troisièmement, avec l’aide du TPM, vous pouvez vous passer complètement de mot de passe, en utilisant à la place l’empreinte digitale de l’utilisateur. D'accord, une solution assez efficace. Hier, nous avons vu de tels systèmes dans des films à moitié fictionnels, mais aujourd’hui, ils sont déjà une réalité.

Le TPM n'est pas une panacée

Il est important de rappeler que le TPM n’est pas une solution universelle ni une panacée à tous les problèmes informatiques. Personne n'a annulé un bon antivirus et un pare-feu. Le TPM a été développé davantage pour protéger les intérêts des géants du logiciel : afin d'empêcher l'utilisateur d'exécuter des logiciels sans licence. De ce point de vue, il n’est pas encore clair si le TPM est bon ou mauvais, compte tenu du nombre de programmes sans licence dans nos open space. Soyons réalistes : il existe de nombreux logiciels piratés.

N'oubliez pas non plus le facteur humain. Une personne peut délibérément donner le mot de passe de son système, ou l'écrire quelque part sur un morceau de papier jaune qu'elle colle au moniteur, ou simplement définir un mot de passe très simple et facile à deviner. Dans cette situation, le TPM n'aidera certainement pas. C’est là que les logiciels viennent à la rescousse, à savoir les systèmes de contrôle d’accès, mais c’est une autre histoire.

Remarques:

Avant de commencer à lire ce livre, il convient de parler des unités de mesure de l'information. L'unité d'information de base est le bit. Un bit peut contenir l'une des deux valeurs suivantes : 0 ou 1. Huit bits forment un octet. Ce nombre de bits est suffisant pour coder 1 caractère en utilisant des zéros et des uns. Autrement dit, un octet contient 1 caractère d'information - une lettre, un chiffre, etc. 1 024 octets correspondent à un kilo-octet (Ko) et 1 024 kilo-octets correspondent à 1 mégaoctet (Mo). 1 024 mégaoctets correspondent à 1 gigaoctet (Go) et 1 024 gigaoctets correspondent à 1 téraoctet (To).

Attention : il s’agit de 1024 et non de 1000. Pourquoi 1024 a-t-il été choisi ? Parce que l'ordinateur utilise le système de nombres binaires (il n'y a que 2 valeurs - 0 et 1), 2 à la puissance 10 vaut 1024.

Pas toujours, mais souvent, la lettre majuscule « B » lorsqu'elle indique l'unité de mesure de l'information signifie « octet » et la lettre minuscule « bit ». Par exemple, 528 Mo équivaut à 528 mégaoctets, si vous convertissez cette valeur en mégaoctets (il suffit de la diviser par 8), vous obtenez 66 mégaoctets (66 Mo).

Disque dur Momentus 5400 FDE.2 de 2,5 pouces (cryptage complet du disque) de Seagate fait partie des ordinateurs portables ASI C8015+ (l'ordinateur portable coûte environ 2 100 $). Le disque dur dispose d'un système de cryptage dynamique intégré avec accélération matérielle et prise en charge TPM. De plus, l'ordinateur portable est livré avec un lecteur d'empreintes digitales, ce qui le rend environ 20 % plus cher qu'un ordinateur portable classique avec la même configuration. Les tailles de disque dur Momentus sont disponibles en tailles 80, 100, 120 et 160 Go. L'interface SATA 3 Gb/s est utilisée.

La principale caractéristique de Momentus FDE.2 est le cryptage/déchiffrement des informations écrites et lues à l'aide de l'algorithme AES avec une clé de 128 bits au niveau du firmware DriveTrust. Le cryptage des données s'effectue de manière absolument transparente, c'est-à-dire invisible pour l'utilisateur. Les informations sont présentées sous forme ouverte (non cryptée) uniquement dans les applications. Les données sont stockées sur le disque dur uniquement sous forme cryptée.

En règle générale, le processus de cryptage logiciel réduit considérablement les performances du système (ceux qui ont travaillé avec PPGDisk comprennent de quoi nous parlons). Mais comme dans le cas du Momentus FDE.2, le cryptage est effectué au niveau matériel, cela n'augmente la charge du processeur que de quelques pour cent.

Lors du démarrage du système TPM, l'utilisateur doit saisir son mot de passe. Le mot de passe est nécessaire non seulement pour poursuivre le téléchargement, mais également pour décrypter les données. Auparavant, il était également possible de définir un mot de passe dans SETUP, sans lequel il était impossible de démarrer le système d'exploitation. Mais vous pouvez retirer le disque dur et le connecter à un autre ordinateur. Si aucun moyen cryptographique n’était utilisé, la lecture des informations du disque dur ne posait pas de problème. Dans le cas du TPM, même si vous retirez le disque dur et le connectez à un autre ordinateur, vous ne pourrez pas lire les informations car elles sont cryptées et vous ne connaissez pas le mot de passe pour les décrypter.

Que faire si l'utilisateur a oublié le mot de passe ? Ensuite, vous pouvez appliquer le mot de passe principal. Et si vous avez oublié le mot de passe principal (ou si vous ne le connaissez tout simplement pas), alors...

De plus, il existe une fonction de cryptage, conçue pour détruire toutes les données du disque dur. Cette opération est nécessaire lors de la mise hors service d'un disque dur ou de son transfert à un autre utilisateur.

Module de plateforme de confiance

En informatique, Module de plateforme de confiance(TPM) est le nom d'une spécification qui décrit un cryptoprocesseur dans lequel des clés cryptographiques sont stockées pour protéger les informations, ainsi qu'un nom générique pour les implémentations de la spécification spécifiée, par exemple sous la forme d'une « puce TPM » ou « Dispositif de sécurité TPM » (Dell). Anciennement appelée « puce Fritz » (l'ancien sénateur Ernest « Fritz » Hollings est connu pour son soutien enthousiaste au système de gestion des droits numériques, DRM). La spécification TPM a été développée par le Trusted Computing Group. La version actuelle de la spécification TPM est la 1.2 révision 116, édition du 3 mars 2011.

Bref aperçu

Le Trusted Platform Module (TPM), un cryptoprocesseur, fournit un moyen de générer en toute sécurité des clés de chiffrement qui peuvent restreindre l'utilisation des clés (à la fois de signature et de chiffrement/déchiffrement) avec le même degré de non-répétabilité qu'un générateur de nombres aléatoires. Ce module comprend également les fonctionnalités suivantes : certification à distance, liaison et stockage sécurisé fiable. L'attestation à distance crée un lien entre le matériel, le démarrage du système et la configuration de l'hôte (système d'exploitation de l'ordinateur), permettant à un tiers (tel qu'un magasin de musique numérique) de vérifier que le logiciel ou la musique téléchargée depuis le magasin n'a pas été modifié ou copié par l'utilisateur. (voir TSZAP). Le cryptoprocesseur crypte les données de telle manière qu'elles ne peuvent être déchiffrées que sur l'ordinateur sur lequel elles ont été cryptées, en exécutant le même logiciel. La liaison chiffre les données à l'aide d'une clé de confirmation TPM : une clé RSA unique écrite dans la puce au cours de son processus de fabrication, ou une autre clé de confiance.

Le TPM peut être utilisé pour vérifier l'authenticité du matériel. Chaque puce TPM étant unique à un appareil spécifique, elle permet d'établir sans ambiguïté l'authenticité de la plateforme. Par exemple, pour vérifier que le système auquel vous accédez est le système attendu.

Architecture TPM

L'architecture de la puce implémente les algorithmes de sécurité suivants :

• gestion sécurisée de la mémoire,
• cryptage des bus et des données,
• blindage actif.

Un blindage actif permet à la puce de détecter les tests électriques et, si nécessaire, de bloquer la puce. De plus, des étapes technologiques non standards sont également utilisées dans la fabrication des TPM, comme l’enchevêtrement de la topologie des couches IC. Ces mesures rendent beaucoup plus difficile le piratage de la puce, augmentent le coût du piratage, ce qui entraîne une diminution du nombre de contrevenants potentiels.

Entrée/Sortie (eng. E/S)

Ce composant contrôle le flux d'informations sur le bus. Achemine les messages vers les composants appropriés. Le composant d'E/S applique la politique d'accès associée aux fonctions TPM.

Processeur cryptographique

Effectue des opérations cryptographiques au sein du TPM. Ces opérations comprennent :

• Génération de clé asymétrique (RSA) ;
• Chiffrement/déchiffrement asymétrique (RSA) ;
• Hachage (SHA-1) ;
• Génération de nombres aléatoires.

TPM utilise ces fonctionnalités pour générer des séquences aléatoires, la génération de clés asymétriques, la signature numérique et la confidentialité des données stockées. TPM prend également en charge le chiffrement symétrique pour les besoins internes. Toutes les clés stockées doivent correspondre à la force d’une clé RSA de 2 048 bits.

Stockage non volatile

Utilisé pour stocker la clé de confirmation, la clé racine (Storage Root Key, SRK), les données d'autorisation et divers indicateurs.

Clé d'approbation (EK)

Générateur de clé RSA

Crée des paires de clés RSA. TCG n’impose pas d’exigences minimales de temps de génération de clé.

Moteur RSA

Utilisé pour les signatures numériques et le cryptage. Il n'y a aucune restriction sur la mise en œuvre de l'algorithme RSA. Les fabricants peuvent utiliser le théorème chinois des résidus ou toute autre méthode. La longueur de clé minimale recommandée est de 2 048 bits. La valeur de l'exposant ouvert doit être .

La plateforme de confiance

Dans les systèmes TCG, les racines de confiance sont des composants auxquels il faut faire confiance. Un ensemble complet de racines de confiance possède la fonctionnalité minimale requise pour décrire une plateforme, ce qui affecte la confiance dans cette plateforme. Il existe trois racines de confiance : la racine de confiance pour les mesures (RTM), la racine de confiance pour le stockage (RTS) et la racine de confiance pour les messages (RTR). RTM est un moteur de calcul qui effectue des mesures fiables de l'intégrité de la plateforme. RTS est un moteur informatique capable de stocker des hachages de valeurs d'intégrité. RTR est un mécanisme qui rapporte de manière fiable les informations stockées dans RTS. Les données de mesure décrivent les propriétés et les caractéristiques des composants mesurés. Les hachages de ces mesures sont un « instantané » de l’état de l’ordinateur. Leur stockage est réalisé par les fonctionnalités RTS et RTR. En comparant le hachage des valeurs mesurées avec le hachage de l'état de confiance de la plateforme, on peut parler de l'intégrité du système.

Applications possibles

Authentification

Le TPM peut être considéré comme un jeton de sécurité de nouvelle génération. Le processeur de chiffrement prend en charge l'authentification des utilisateurs et des ordinateurs, garantissant que seuls les utilisateurs et ordinateurs autorisés ont accès au réseau. Cela peut être utilisé, par exemple, pour protéger le courrier électronique basé sur le cryptage ou pour signer avec des certificats numériques liés à un TPM. De plus, l'élimination des mots de passe et l'utilisation de TPM permettent de renforcer les modèles d'authentification pour les accès filaires, sans fil et VPN.

Protection des données contre le vol

C’est l’objectif principal d’un « conteneur sécurisé ». Les appareils à chiffrement automatique basés sur les spécifications du Trusted Computing Group permettent un chiffrement intégré et un contrôle d'accès aux données. Ces appareils assurent le cryptage complet du disque, protégeant ainsi les données en cas de perte ou de vol de votre ordinateur.

Avantages :

• Amélioration des performances

Le cryptage matériel vous permet de fonctionner avec l'ensemble des données sans perte de performances.

• Sécurité accrue

Le cryptage est toujours activé. De plus, les clés sont générées au sein de l'appareil et ne le quittent jamais.

• Faibles coûts d'utilisation

Aucune modification du système d'exploitation, des applications, etc. n'est requise. Aucune ressource CPU n'est utilisée pour le cryptage.

La combinaison TPM+Bitlocker a de grandes perspectives : cette solution permet de chiffrer l'intégralité du disque de manière transparente depuis le logiciel.

Contrôle d'accès au réseau (NAC)

TPM peut confirmer l'identité d'un ordinateur et même ses fonctionnalités avant d'accéder au réseau et, si nécessaire, mettre l'ordinateur en quarantaine.

Protection du logiciel contre les modifications

La certification du code du programme protégera les jeux contre la triche, et les programmes sensibles tels que les clients bancaires et postaux seront protégés contre toute modification intentionnelle. L’ajout d’un « cheval de Troie » à l’installateur de la dernière version du messager sera stoppé immédiatement.

Protection contre la copie

La protection contre la copie repose sur la chaîne suivante : le programme dispose d'un certificat qui lui donne (et lui seul) accès à la clé de déchiffrement (qui est également stockée dans le TPM). Cela fournit une protection contre la copie qui ne peut être contournée par un logiciel.

Mise en œuvre

Fabricants

Déjà plus de 300 000 000 d’ordinateurs sont équipés d’une puce TPM. À l’avenir, le TPM pourrait être installé sur des appareils tels que les téléphones mobiles. Les microcontrôleurs TPM sont fabriqués par les sociétés suivantes :

• Sinosun,
• Nuvoton,

Critique

Trusted Platform Module est également critiqué pour son nom. confiance- toujours réciproque, alors que les développeurs du TPM ne font pas confiance à l'utilisateur), et pour les atteintes à la liberté qui y sont associées. Pour ces infractions, l'appareil est souvent appelé Informatique perfide(« calculs perfides »).

Perdre la « propriété » de l'ordinateur

Le propriétaire d'un ordinateur ne peut plus en faire ce qu'il veut, transférant certains droits aux éditeurs de logiciels. En particulier, le TPM peut interférer (en raison de bugs dans le logiciel ou d'une décision intentionnelle des développeurs) :

• transférer des données vers un autre ordinateur ;
• choisissez librement un logiciel pour votre ordinateur ;
• traiter les données existantes à l’aide de tous les programmes disponibles.

Perte d'anonymat

Il suffit de rappeler la polémique sur le numéro d'identification du processeur Pentium III pour comprendre à quoi peut conduire un identifiant informatique lisible à distance et immuable.

Suppression des concurrents

Un programme leader du secteur (comme AutoCAD, Microsoft Word ou Adobe Photoshop) peut installer un cryptage sur ses fichiers, rendant impossible l'accès de programmes tiers à ces fichiers, menaçant ainsi potentiellement la libre concurrence sur le marché des logiciels d'application.

Rupture

Si le TPM échoue, les conteneurs protégés deviennent inaccessibles et les données qu'ils contiennent deviennent irrécupérables. Le TPM n'est pratique que s'il existe un système de sauvegarde complexe - naturellement, pour garantir le secret, il doit disposer de ses propres TPM.

Astuces

Lors de la conférence sur la sécurité informatique Black Hat 2010, il a été annoncé que la puce Infineon SLE66 CL PE, fabriquée selon les spécifications TPM, avait été piratée. Cette puce est utilisée dans les ordinateurs, les équipements de communication par satellite et les consoles de jeux. Un microscope électronique (coûtant environ 70 000 dollars) a été utilisé pour le piratage. La coque de la puce a été dissoute avec de l'acide et de minuscules aiguilles ont été utilisées pour intercepter les commandes. Infineon affirme qu'elle était consciente que la puce pouvait être physiquement piratée. Borchert, vice-président de l'entreprise, a assuré que les équipements coûteux et la complexité technique du piratage ne constituent pas un danger pour la grande majorité des utilisateurs de puces.

Un module de plateforme de confiance, ou TPM (trusted platform module), est une puce distincte située sur la carte mère d'un ordinateur qui effectue une gamme spécifique de tâches liées à la cryptographie et à la sécurité informatique.

Par exemple, à l’aide du cryptoprocesseur TPM, vous pouvez chiffrer le disque dur d’un ordinateur. Bien sûr, le processeur central peut le faire, mais il devra alors effectuer davantage de tâches et la vitesse de cryptage et de décryptage sera bien inférieure. Le chiffrement matériel dans le TPM se produit pratiquement sans perte de performances.

Le décryptage est parfois appelé à tort déchiffrement. La différence entre eux est que lors du décryptage, vous connaissez l'algorithme et la clé secrète avec lesquels les données sont cryptées, mais pas lors du décryptage.

TPM peut également protéger les informations d'identification et vérifier les programmes exécutés sur le système. Empêche l'infection par les rootkits et les bootkits (types de logiciels malveillants qui pénètrent dans l'ordinateur avant le démarrage du système d'exploitation ou cachent leur présence dans le système et ne peuvent donc pas être reconnus par le système), garantissant que la configuration de l'ordinateur n'est pas modifiée à l'insu de l'utilisateur.

De plus, chaque module cryptographique TPM possède un identifiant unique qui est inscrit directement dans la puce et ne peut être modifié. Par conséquent, la puce cryptographique peut être utilisée pour l’authentification lors de l’accès à un réseau ou à toute application.

TPM peut générer des clés de chiffrement fortes lorsque le système d'exploitation (OS) l'exige.

Mais avant de pouvoir utiliser le TPM, il doit être configuré. La configuration du module se résume à quelques étapes simples.

• Tout d'abord, la puce doit être activée dans le BIOS de l'ordinateur (si elle n'est pas activée).
• Deuxièmement, vous devez en devenir propriétaire au niveau du système d'exploitation.

Examinons ces étapes plus en détail.

1 Activation du TPM dans le BIOS de l'ordinateur

Pour activer le module, accédez au BIOS et accédez à la section sécurité. Bien que le BIOS puisse varier considérablement d'un ordinateur à l'autre, en règle générale, la section contenant les paramètres de sécurité est appelée « Sécurité ». Il devrait y avoir une option dans cette section appelée « Puce de sécurité ».

Le module peut être dans trois états :

• Désactivé.
• Activé et non activé (Inactif).
• Activé et activé (Actif).

Dans le premier cas, elle ne sera pas visible dans le système d'exploitation, dans le second, elle sera visible, mais le système ne l'utilisera pas, et dans le troisième, la puce est visible et sera utilisée par le système. Définissez le statut sur « actif ».

Vous pouvez également effacer les anciennes clés générées par la puce dans les paramètres.

Effacer le TPM peut s'avérer utile si vous souhaitez vendre votre ordinateur, par exemple. Attention, si vous effacez les clés, vous ne pourrez pas récupérer les données chiffrées par ces clés (à moins bien sûr de chiffrer votre disque dur).

Enregistrez maintenant les modifications ("Enregistrer et quitter" ou touche F10) et redémarrez l'ordinateur.

Après le démarrage de votre ordinateur, ouvrez le Gestionnaire de périphériques et assurez-vous que le module de confiance apparaît dans la liste des périphériques. Il devrait se trouver dans la section « Dispositifs de sécurité ».

2 Initialisation du TPM sous Windows

Il ne reste plus qu'à initialiser la puce dans le système d'exploitation. Pour ce faire, vous devez ouvrir le composant logiciel enfichable de gestion du module TPM. Cliquez sur les boutons Windows+R(la fenêtre « Exécuter » s'ouvrira), saisissez tpm.msc dans le champ de saisie et appuyez sur « Entrée ». Le composant logiciel enfichable va démarrer "Gestion du Trusted Platform Module (TPM) sur l'ordinateur local".

Ici, en passant, vous pouvez lire des informations supplémentaires - ce qu'est le TPM, quand vous devez l'activer et le désactiver, changer le mot de passe, etc. Une bonne série d'articles dédiés au TPM se trouve sur le site Web de Microsoft.

Sur le côté droit du composant logiciel enfichable se trouve un menu d'action. Cliquez sur "Initialiser le TPM...". Si cette option n'est pas active, alors votre puce a déjà été initialisée. S'il n'a pas été initialisé par vous et que vous ne connaissez pas le mot de passe du propriétaire, il est alors conseillé de réinitialiser et d'effacer la mémoire du module, comme décrit dans le paragraphe précédent.

Lorsque l'assistant d'initialisation du TPM démarre, il vous invite à créer un mot de passe. Sélectionnez l'option Générer automatiquement le mot de passe.

Le programme d'initialisation du TPM générera un mot de passe. Enregistrez-le sous forme de fichier ou imprimez-le. Cliquez maintenant sur le bouton « Initialiser » et attendez un peu.

Une fois terminé, le programme signalera une initialisation réussie du module. Une fois l'initialisation terminée, toutes les autres actions avec le module - désactivation, nettoyage, récupération des données en cas de panne, réinitialisation du verrouillage - ne seront possibles qu'en utilisant le mot de passe que vous venez de recevoir.

Désormais l'action d'initialisation est devenue inactive, mais il est désormais possible de désactiver le TPM, de changer le mot de passe propriétaire et de réinitialiser le verrouillage du module si cela se produit (le module se verrouille pour éviter toute fraude ou attaque).

En fait, c'est là que s'arrêtent les capacités de gestion du module TPM. Toutes les opérations ultérieures qui nécessiteront les capacités de la puce se produiront automatiquement - de manière transparente pour le système d'exploitation et invisible pour vous. Tout cela doit être implémenté dans un logiciel. Les systèmes d'exploitation plus récents, tels que Windows 8 et Windows 10, utilisent plus largement les fonctionnalités TPM que les systèmes d'exploitation plus anciens.