TPM芯片在中国曾是禁品,直到实现自主可控

TechSugar 今天

以下文章来源于电子工程专辑 ,作者刘于苇

电子工程专辑
电子工程专辑

电子工程专辑》中国版创建于1993年,致力于为中国的设计、研发、测试工程师及技术管理社群提供资讯服务。

作者:刘于苇

有人曾说,是软件行业推动了硬件行业的发展。要运行包含越来越多代码的大型操作系统,你需要处理能力强劲的CPU;要装下体积越来越大的APP,你需要更大的NAND Flash;要玩上带各种视觉特效的游戏,你就得跟矿工抢显卡去……

上月底,微软正式发布了Windows 11操作系统,不少喜欢尝鲜的用户打算“就地升级”时却遇到了麻烦,他们的电脑少了一样必须的硬件支持—— TPM(Trusted Platform Module, 可信赖平台模块)2.0。

图片

什么是 TPM?为什么安装 Windows 11 会需要它?老电脑没有这个东西还能用Windows 11吗?这是小伙伴们问的最多的几个问题。

微软企业和操作系统安全总监大卫·韦斯顿(David Weston)在 Windows 安全博客上解释过:“TPM 是一种芯片,它可以集成到 PC 的主板上,也可以单独添加到 CPU 中。其目的是保护加密密钥、用户凭据等敏感数据,使得恶意软件和攻击者无法访问或篡改这些数据。”

如此看来,在崭新的用户界面(UI)、Android 应用程序支持(WSA 子系统)、手写笔交互等体验刷新之外,微软这次更加注重Windows 11能够为用户安全带来改进。强制要求TPM,也是微软多年来一直在推进的重大硬件更新之一。

图片
微软企业和操作系统安全总监大卫·韦斯顿(David Weston)(图自:Microsoft)

不同于其他安全防护软件TPM 芯片可以为用户提供硬件级的数据保护,它不但适用于 BitLocker 等 Windows 功能加密磁盘,也能防止针对密码的字典攻击。符合TPM的芯片首先必须具有产生加解密密钥的功能,此外还必须能够进行高速的资料加密和解密,以及充当保护BIOS和操作系统不被修改的辅助处理器

关于微软大力推广TPM芯片的理由,还有一个,那就是防止和打击盗版。

雅达利公司创建者之一的诺兰·布什内尔(Nolan Bushnell)曾在2008年时预言,游戏产业面临的盗版泛滥问题,在过不久将随着新型加密芯片的逐步普及而成为历史。

“一种名为TPM的加密芯片即将被使用在今后的大部分电脑主板上。”布什内尔说道:“这就意味着游戏产业将迎来一种全新的、绝对安全的加密方式,它无法在网络上被破解也不存在注册码被散播的危险,它将允许我们在那些盗版极为严重的地区开拓巨大的新市场。”

布什内尔认为,电影和音乐的盗版很难被阻止,因为只要是“能看、能听的就可以拷贝”。然而电子游戏的情况则完全不同,由于这类产品与代码的紧密联系性,使用TPM芯片将能够完全阻止盗版游戏的运行。

“一旦TPM芯片的普及率达到足够高的水准,我们就可以开始看到在亚洲,印度等盗版泛滥地区正版软件收入的逐步增长,而这在以前是几乎是不可想象的。”

这也是微软希望看到的,盗版软件不但影响了他们的营收,更给整个行业带来了一大笔真金白银的损失。2014年微软网络犯罪中心的副总顾问兼执行董事大卫-费恩(David Finn)在一篇博文中写道,“经由盗版软件入侵的恶意程序给企业造成的打击尤其严重。今年,IDC公司预计,企业将会花费1270亿美元来处理安全问题,3640亿美元来处理数据失窃。”

TPM芯片并不是新鲜事物


由此可见,TPM 芯片并不是什么新鲜事物。

早在1999年10月,多家IT巨头就联合发起成立可信赖运算平台联盟(Trusted Computing Platform Alliance,TCPA),初期加入者有康柏、HP、IBM英特尔、微软等,该联盟致力于促成新一代具有安全且可信赖的硬件运算平台。

2003年3月,TCPA增加了诺基亚索尼等厂家的加入,并改组为可信赖计算组织(Trusted Computing Group,TCG),希望从跨平台和操作环境的硬件和软件两方面,制定可信赖电脑相关标准和规范,并提出了TPM规范。

最先响应号召的是广大笔记本厂商,他们早早地内置了TPM功能,但更多的是防患于未然,毕竟当时支持TPM的操作系统还没有出现,OEM厂商都是采用第三方软件来实现TPM的部分功能。

直到2007年,Windows Vista正式发布之后,TPM安全芯片才开始发挥其幕后英雄的作用,大量的系统安全功能通过其来实现。

在 2011 年,TPM 1.2 芯片已广泛存在于各类商业用途的主机中。考虑到各种网络钓鱼、勒索软件、供应链和物联网漏洞,这对于企业用户来说是极为必要的安全手段。而且每个单独的 TPM 都具有制造期间初始化的唯一签名,可提高信任/安全效率。每个 TPM 都必须拥有一个所有者才能使用。TPM 用户必须亲自到场才能获得所有权。在此过程结束且 TPM 拥有唯一所有者后,TPM 将被激活。


图片
部分有关 TPM 1.2和2.0支持的加密算法表汇总。(数据来自DELL)

“我们发现,83% 的企业经历过固件攻击,只有 29% 的企业有分配资源来保护它们的关键数据。”韦斯顿对当时企业用户采用TPM的背景这样描述道。

但微软的目标不只是企业用户,他们想把 TPM 芯片应用到每一台 PC 上,借助这种现代硬件的信任根(root-of-trust)来帮助抵御常见和复杂的攻击,比如勒索软件和重量级黑客组织的复杂攻击。

独立芯片和基于固件的TPM有何不同?


2015年, Windows 10 发布以后,微软开始要求 OEM 厂商在硬件上提供TPM 芯片支持,不过这一要求并不是强制性的。TPM 2.0芯片也是从这一年开始在一些笔记本上出现,虽然传统上来讲,TPM是焊接到计算机主板的离散芯片,但英特尔AMD均在后续较新的处理器层面做了固件支持,除非特别老旧的设备才需要加装TPM 2.0专用模块。

图片
微星(msi)的TPM 模块(图自:The Verge)

TPM模块通常是一种小众的主板配件,微星、华硕等OEM厂商均有生产,但只有少数台式机主板有对应的20-1脚座,并且由于“国安”原因在网上几乎买不到。据悉最近因为Windows 11的发布导致TPM模块价格上涨不少,达到了几十到上百美元不等。加装之后,能够拯救H77、Z97、AMD FM2等老平台。

图片

TPM安全芯片的原厂也不少,大部分是国外厂商,这是由于国外对于TPM安全芯片的研发、制造起步较早。主要厂家有英飞凌(Infineon)、意法半导体(ST)以及Atmel(2016年被Microchip收购)。

中国台湾厂商华邦电子(收购了美国国家半导体公司旗下PC部门)也是主力厂商之一,不过大陆厂商这方面的研发起步较晚,大家比较熟悉的是联想自家的“恒智”芯片以及国民技术兆日科技的产品。目前市面上的国行产品大部分搭载的是国民技术TPM芯片。

这里还有个小故事,联想研究院在2003年就开始了TPM芯片的自研,但直到2005年合并了IBM的PC事业部后才正式宣布。当时的恒智TPM芯片采用了SoC设计,内置32位处理器,采用0.25微米工艺,达到了当时的国际先进水平。藉由“安全芯片”涉及国家安全的概念和IBM 的品牌效应,联想开始叫板当时的PC龙头惠普,这当年也被称为“TPM门”事件,下面我们会谈到。

独立 TPM 作为隔离的、单独的功能芯片实施,并且所有必需的计算资源都包含在独立物理芯片包中。独立 TPM 完全控制专用内部资源(例如易失性存储器非易失性存储器和加密逻辑。),它是访问和利用这些资源的唯一功能。

基于固件的 TPM (英特尔叫PTT,AMD叫fTPM) 则有很大不同,它不是使用独立芯片来工作,而是利用计算设备中的其他资源和环境(如 SoCCPU 或其它类似计算环境)工作,同时仍然提供类似于离散 TPM 芯片的逻辑分离。

基于固件的 TPM 没有自己的专用存储。它依赖于操作系统和平台服务,以访问平台内的存储。没有专用存储的一种含义是存在签注密钥 (EK) 证书。独立TPM 制造商可将 TPM 存储中装有 EK 证书,以用于 TPM 签注密钥的独立 TPM 设备交付给平台制造商,但这对于固件 TPM 无法实现。固件 TPM 供应商通过制造商的特定流程为最终用户提供证书。要获得系统的 EK 证书,平台所有者需要联系该平台的芯片组/CPU 供应商

此外,还需要 TCG 认证的独立 TPM,以满足合规性和安全要求,包括强化芯片及其与智能卡类似的内部资源。TCG合规性可证明TPM正确实施了TCG的规格。TCG认证所需的硬化使经认证的独立TPM免受更复杂的物理攻击。

中国只能用国产TPM芯片


外媒 Tom ' s Hardware 发现,微软在其官方 PDF第 16页的"Windows 11最低硬件要求"中写道:经过微软批准、用于特殊领域的 OEM 系统不需要在出货时启用 TPM 支持。

图片

也就是说,微软将允许那些“特殊用途的商业系统、自定义订单和具有自定义系统的 OEM 客户系统”设备可以不支持 TPM 模块,但也仅限于经过官方认证的机型。
微软这是为什么又“怂”了呢? 因为一些国家,例如中国和俄罗斯根本就不允许任何系统附带外国产 TPM 芯片。而且,有关密码技术的选用在中国都需要经过国家有关部门的认证与批准,特别是销售和使用。条文依据如下:

据 1999 年 10 月 7 日发布的中华人民共和国国务院第 273 号令《商用密码管理条例》明确规定“商用密码技术属于国家秘密。国家对商用密码产品的科研、生产、销售和使用实行专控管理。”

《商用密码管理条例》第三章第十条规定“商用密码产品由国家密码管理机构许可的单位销售。未经许可,任何单位或者个人不得销售商用密码产品。”

《商用密码管理条例》第十三条及第十四条分别规定:“进口密码产品以及含有密码技术的设备或者出口商用密码产品,必须报经国家密码管理机构批准。任何单位或者个人不得销售境外的密码产品。”、“任何单位或者个人只能使用经国家密码管理机构认可的商用密码产品,不得使用自行研制的或者境外生产的密码产品。”

在2005年前后,中国开始力推自主的 TCM 系统(Trusted Cryptographic Module,有时称为子卡),且也允许国产的 TPM模块(完全在中国本土生产的 TPM 才可以),只是不允许装载欧美生产的 TPM。

当时中国政府要求,国内企业生产的 TPM 芯片必须符合 TCG v1.2 标准,只有符合了 TCG v1.2 标准,国家密码管理局才能予以认可。时至今日,国密标准也没有许可TPM 2.0的椭圆曲线算法(据说包含NSA后门Dual_EC_DRBG),导致国行的PC都是采用国内专用版算法生产的TPM2.0芯片/模块,默认设置也必须是禁止使用,需要手工去BIOS修改。

前文提到的联想“TPM门”,起因就是此前惠普戴尔等厂商曾销售违法的带国外 TPM芯片 PC,但在软件上没有激活,打了一个擦边球。当时国内并没有自己的TPM芯片,为了防止泄密是禁止任何设备搭载这类芯片的。直到2005年4月初,联想推出恒智芯片,成为了当时除Atmel美国国家半导体、英飞凌和ST之外,第五个拥有TPM安全芯片自主知识产权的厂商。

随后4月中旬,国家商用密码管理办公室表示,国外企业不能擅自销售带有TPM安全芯片的PC,但可以同国内企业合作。

TPM门”的结果,所有国行PC要么不搭载TPM芯片,要么只能用国产芯片。目前国内的微软Surface book产品和联想的高端机搭载的TPM芯片,都属于本土生产经过国家密码局的相关认证的产品。

如何开启你的TPM 2.0?


在 Windows 11 的官网中,微软列出了 Windows 11 的最低系统要求,其中明确提到用户的设备需要支持 TPM 2.0。

为了确保设备达到这一要求,微软要求用户下载 PC Health 应用程序,以检查设备是否支持并启用了 TPM 2.0。这意味着如果你的 PC 在出厂时没有启用这些功能,那么你将不得不去 BIOS 中寻找开启该功能的入口。

图片
PC Health(图自:Bleeping Computer)

除了上述方法,还有什么办法可以查看本机是否有TPM相关硬件模块,版本如何呢?

办法一
第一步,Windows+R调出运行对话框,输入tpm.msc;
第二步,在弹出的对话框中“状态”一栏查看是否显示为TPM已就绪,可以使用。
第三步,在右下角查看TPM模块对应的规范版本。

图片

办法二

打开设备管理器(如右键开始按钮并进入)

安全设备一栏下查看本机是否安装了受信任的平台模块2.0。

图片

截图演示的是采用英特尔第五代酷睿低电压处理器平台的PC,TPM 2.0已启用,满足Win11最低硬件要求,应该用的是独立TPM模块。目前已知的是,包括宏碁华硕戴尔惠普、联想、松下等在内的 OEM 厂商,都已为新系统提供 TPM 2.0 支持。

鉴于目前主流 PC 基本都在处理器层面固件支持 TPM 2.0功能,只是默认处于关闭状态,所以只要开启就可以了。上述方法如何查到没有开启,就可以进入 UEFI 界面,也就是 BIOS 中进行开启。在英特尔平台中被称为 PTT 功能,而 AMD 平台的描述为 AMD fTPM,找不到的话可以尝试搜索关键词。

如果在开启 TPM 2.0 之后检测结果仍是无法运行 Windows 11 的话,可能有两个原因,一是硬件支持的 TPM 不是 2.0 版本,是 1.2。如果是这个原因,那么微软只是“不建议运行 Windows 11”,不过在检查工具中会把话说得比较绝,显示“不能运行 Windows 11”。

小结


TPM 2.0 并不是安装 Windows 11 的唯一硬件要求,如果你已经启用 TPM 但是仍未通过 Windows 11 升级检查器,有可能是因为你的 CPU 不在支持的列表中,也可能是主板的BIOS不支持UEFI安全启动。

根据微软给出的英特尔 CPUAMD CPU 的支持范围来看,目前针对第八代 Intel Core i 或以上的产品,和AMD 3000 系列及更新产品提供支持,基本上是最近3年的新处理器。这些处理器之外的计算机,微软表示无法为其提供 Windows 11 系统的安装与运行。很大一部分原因在于7代以下的酷睿没有TPM,也间接导致了此前英特尔CPU曝出幽灵/熔断BUG,强制TPM某种意义上来说就是为了兜底这种CPU设计漏洞而存在的。

点击查看Windows 11支持的处理器列表:


英特尔处理器

https://docs.microsoft.com/en-us/windows-hardware/design/minimum/supported/windows-11-supported-intel-processors

AMD处理器

https://docs.microsoft.com/zh-cn/windows-hardware/design/minimum/supported/windows-11-supported-amd-processors


除了处理器,从 2023 年 1 月起,微软还要求除台式机外的所有 Windows 11 设备都配备前置摄像头。这是自 2012 年 Windows 8 发布以来 Windows 硬件要求的一次重大转变,我们猜测微软是在为普及PC面部识别解锁做准备。

也有高手找到了突破TPM 2.0限制,给“老爷机”安装Windows 11的方法,例如将 Windows 11 安装 ISO 文件中的 appraiserres.dll 替换为 Windows 10 的 appraiserres.dll文件。

但小编认为太老的机器安装新系统的意义不大,一方面是系统运行流畅度,另一方面相当于舍弃了安全性。而且目前系统还是初期预览、体验版阶段,很多功能设定或在不停调整,从 Windows 10 过度还需要一段时间。当然如果你还在用WinXP,要么忽略Win11,要么考虑换台电脑——基本上2016年之后出厂的新机器,硬件上都支持TPM 2.0,安装Win11系统也是没问题的。

这大概也是微软这次强推TPM的主要动机之一,利用Win11 淘汰一批旧机型,既满足了微软新系统提高市占率的目标,又完成了了OEM合作伙伴的硬件出货指标。

免责声明:本文系网络转载,版权归原作者所有。本文所用视频、图片、文字如涉及作品版权问题,请第一时间告知,我们将立即删除内容!本文内容为原作者观点,并不代表本公众号赞同其观点和对其真实性负责。

图片
图片