Správa čipu TPM je modul snap-in konzoly MMC (Microsoft Management Console), který správcům umožňuje ovládat služby čipu TPM (Trusted Platform Module). Služby TPM (Trusted Platform Module) slouží ke správě hardwaru zabezpečení TPM v počítači. Architektura služby TPM poskytuje infrastrukturu pro hardwarové zabezpečení tím, že zajišťuje sdílení na úrovni aplikací a přístup k čipu TPM.
Co je čip Trusted Platform Module?
Čip Trusted Platform Module (TPM) je mikročip, který byl navržený tak, aby zajišťoval základní funkce zabezpečení, převážně spojené s šifrovacími klíči. Obvykle je čip TPM umístěn na základní desce počítače a s ostatními částmi systému komunikuje prostřednictvím hardwarové sběrnice.
Počítače vybavené čipem TPM dokážou vytvářet kryptografické klíče a šifrovat je tak, že mohou být opět dešifrovány pouze tímto čipem TPM. Tento proces, kterému se často říká "zabalení" nebo "vazba" klíče, může chránit klíč od jeho odhalení. Každý čip TPM má svůj hlavní (tzv. „balicí“) klíč SRK (Storage Root Key), který je uložen v samotném čipu TPM. Soukromá část klíče vytvořeného čipem TPM nebude nikdy odhalena žádné jiné součásti, programu, procesu nebo osobě.
Počítače vybavené čipem TPM mohou také vytvořit klíč, který ke svému „zabalení“ ještě přiřazuje návaznost na určité hodnoty počítače. Tento typ klíče lze rozbalit pouze tehdy, jestliže mají součásti platformy stejné hodnoty jako při vytvoření klíče. Tomuto procesu se říká „vázání“ klíče na čip TPM. Dešifrování je označováno jako „zrušení vazby“. Čip TPM může také vázat a zrušit vazbu dat, která je vytvořena mimo čip TPM. S tímto klíčem vazby a programy, jako například BitLocker Drive Encryption, je možné uzamknout data do doby, než budou splněny dané hardwarové a softwarové podmínky.
Při používání čipu TPM jsou privátní části dvojic klíčů udržovány odděleně od paměti kontrolované operačním systémem. Klíče mohou být vázány na čip TPM a určité ujištění o stavu systému, tj. ujištění definující důvěryhodnost systému, může být provedeno ještě před tím, než bude zrušena vazba klíčů a budou používány. Čip TPM ke zpracování instrukcí používá svůj vlastní firmware a logické obvody. Není závislý na operačním systému a zranitelnosti, která může operační systém a aplikace postihnout.
Součásti čipu Trusted Platform Module
Následující tabulka obsahuje podrobné informace o jednotlivých součástech funkce Služby TPM.
Součást TPM | Účel |
---|---|
Ovladač čipu TPM |
Ovladač čipu TPM je ovladač zařízení režimu jádra, který byl navržen pro zabezpečovací hardware TPM. Je v souladu se specifikacemi Trusted Computing Group (TCG) verze 1.2. Soulad s verzí TCG 1.2 poskytuje platformě lepší stabilitu. Díky ní také nejsou potřeba ovladače zařízení pro jednotlivé výrobce. |
Služby TPM Base Services (TBS) |
TPM Base Services je služba zajišťující sdílení omezených prostředků čipu TPM. Slouží k řízení prostředků pro všechny aplikace, které využívají čip TPM. |
Zprostředkovatel služby Windows Management Instrumentation (WMI) pro čip TPM |
Zprostředkovatel služby WMI pro čip TPM umožňuje správcům programově nastavit běžné úlohy čipu TPM. Pomocí tohoto zprostředkovatele mohou správci naprogramovat potřebné skripty. |
Modul snap-in Správa čipu TPM |
Prostřednictvím modulu snap-in Správa čipu TPM mají správci přes uživatelské rozhraní k dispozici běžné úlohy konfigurace čipu TPM. Správci mohou pomocí tohoto modulu snap-in získat přístup k Průvodci inicializací technologie TPM. |
Průvodce inicializací čipu TPM |
Hlavním účelem Průvodce inicializací čipu TPM je zapnout a nastavit čip TPM pro práci s aplikacemi a službami, které čip TPM využívají (jako je např. program BitLocker Drive Encryption). |
Další informace naleznete v dalších tématech tohoto souboru nápovědy a ve zdrojích informací, které jsou uvedeny v tématu Zdroje pro Správu čipu TPM.