TPM (Trusted Platform Module) låser sig själv för att förhindra modifiering eller attacker. Detta kallas utelåsning. TPM-utelåsningen varar ofta olika länge eller tills datorn stängs av. När TPM är i utelåsningsläge returneras vanligtvis ett fel när TPM får ett kommando som kräver ett auktoriseringsvärde. Ett undantag är att ägaren alltid får minst ett försök att återställa TPM-utelåsningen när TPM är i utelåsningsläge. Om TPM är i utelåsningsläge eller svarar långsamt på kommandon, rekommenderar vi att du återställer utelåsningsvärdet. För att återställa TPM-utelåsningen krävs TPM-ägarauktorisering. TPM-ägarauktoriseringen ställs in när administratören till en början blir ägare till TPM:en. Lösenordet för ägarauktoriseringen hashas i syfte att skapa ett ägarauktoriseringsvärde, som lagras i TPM. Administratören uppmanas att spara det hashade ägarauktoriseringsvärdet i en TPM-ägarlösenordsfil med filnamnstillägget TPM som innehåller det hashade ägarauktoriseringsvärdet i en XML-struktur. Av säkerhetsskäl innehåller filen med TPM-ägarlösenordet inte ägarens ursprungliga lösenord. TPM-ägarskap övertas vanligtvis första gången BitLocker-diskkryptering aktiveras för datorn. Då sparas lösenordet för TPM-ägarauktoriseringen tillsammans med återställningsnyckeln för BitLocker. När återställningsnyckeln för BitLocker sparas i en fil, sparas även en TPM-ägarlösenordsfil (TPM) med TPM-ägarens hashade lösenord. När återställningsnyckeln för BitLocker skrivs ut, skrivs TPM-ägarens lösenord ut samtidigt. Du kan även spara TPM-ägarens hashade lösenord i AD DS (Active Directory Domain Services) om din organisations grupprincipinställningar konfigurerats för det.

Så här fungerar TPM-skyddet

I vissa fall skyddas krypteringsnycklarna i en TPM genom att ett giltigt auktoriseringsvärde krävs för att komma åt nyckeln. (Ett vanligt exempel är BitLocker-diskkryptering som konfigurerats att använda TPM och PIN-nyckelskydd. Användaren måste då ange korrekt PIN-kod under startprocessen för att komma åt den krypteringsnyckel för volym som skyddas i TPM.) I TPM:erna används skyddslogik för att förhindra skadliga enheter från att upptäcka auktoriseringsvärden. Skyddslogiken är utformad att sakta ned eller stoppa svar från TPM:en om det upptäcks att en enhet försöker gissa auktoriseringsvärden.

I branschstandarderna från TCG (Trusted Computing Group) anges att TPM-tillverkare måste använda någon typ av skyddslogik i TPM 1.2-kretsar. Olika TPM-tillverkare använder olika skyddsmekanismer och -metoder. Den generella riktlinjen är att TPM-kretsen ska ta exponentiellt längre tid på sig att svara om felaktiga auktoriseringsvärden skickas till TPM. I vissa TPM-kretsar lagras inte misslyckade försök med tiden. I andra TPM-kretsar lagras alla misslyckade försök permanent. Därför kan vissa användare få vänta mycket längre när de skriver fel auktoriseringsvärde som skickas till TPM:en, vilket i princip hindrar dem från att använda TPM:en under en viss tid. De kan dock återställa skyddsmekanismerna i TPM:en genom proceduren nedan.

OBS

Skyddslogiken i TPM:en gäller även TPM-ägarens auktoriseringsvärde. I branschstandarderna anges att ägaren alltid får minst ett försök att återställa TPM-utelåsningen genom att använda ägarauktoriseringsvärdet, även när TPM är i utelåsningsläge. Om fel värde används när TPM-utelåsningen försöker återställas, kan det hända att TPM svarar som om korrekt värde är felaktigt eller svarar att TPM:en är låst de följande gångerna användaren försöker ange ägarauktoriseringsvärdet.

 

Återställa TPM-utelåsningen
  1. Öppna snapin-modulen TPM-hantering (tpm.msc)

  2. I rutan Åtgärder klickar du på Återställ TPM-utelåsning för att starta guiden Återställ TPM-utelåsning.

  3. Välj metod för att ange TPM-ägarens lösenord:

    • Om du har sparat TPM-ägarens lösenord i en TPM-fil klickar du på Jag har filen med ägarlösenordet och anger antingen sökvägen till filen eller klickar på Bläddra för att gå till filens plats.

    • Om du vill ange TPM-ägarlösenordet manuellt klickar du på Jag vill ange ägarlösenordet och anger sedan lösenordet i fältet. Om du aktiverade BitLocker och TPM:en samtidigt och skrev ut återställningslösenordet för BitLocker när du aktiverade BitLocker, skrevs kanske ditt TPM-ägarlösenord ut på samma papper.

När TPM-ägarlösenordet är autentiserat visas en dialogruta som bekräftar att TPM-utelåsningen har återställts.

Vanliga frågor och svar

När ska jag återställa TPM-utelåsningen?

Det troligaste scenariot är att användare under startprocessen upptäcker att svarstiderna är långsamma när de använder en skyddsnyckel (som består av TPM:en och en PIN-kod) och anger felaktig PIN-kod. Systemet verkar låsas en stund innan användaren får information om att felaktig PIN-kod har angetts och att TPM:en är låst. När TPM:en är låst är det även möjligt att användare anger korrekt PIN-kod, men TPM:en svarar som om felaktig PIN-kod angetts under en tid. Ett liknande problem kan inträffa för andra program där TPM används med auktoriseringsvärden, men det är troligare att bara det program som kommunicerar med TPM:en inte svarar om operativsystemet redan startat. Eftersom en TPM kan lagra alla felaktiga auktoriseringsförsök permanent, kan användare återställa TPM-utelåsningen om de ofta skriver fel auktoriseringsvärden, t.ex. PIN-koden till BitLocker.

Vad kan jag förvänta mig om TPM:ens skyddslogik är aktiverad för att skydda auktoriseringsvärden?

Hur maskinvaruplattformen fungerar beror på de implementeringsval som gjorts av plattformstillverkaren. Vanligtvis försenar maskinvarutillverkarna svar från TPM-kretsen exponentiellt. Det är även möjligt att TPM-kretsen svarar, men svarar som om korrekt auktoriseringsvärde är felaktigt under en tid. Kontakta plattformstillverkaren om du vill ha mer information.

Om TPM:en är låst när du använder BitLocker, finns det möjlighet att under startprocessen antingen öppna återställningskonsolen i BitLocker eller vänta och ange PIN-koden på nytt.

När Windows har startats visas TPM:ens status som låst i TPM-hantering.

Alla kommandon som rör auktoriseringsvärden eller försök att skicka TPM-ägarlösenordet till TPM:en resulterar i ett fel från TPM:en när TPM:en är låst.

Vad ska jag göra om jag glömmer bort mitt TPM-ägarlösenord?

Det kan hända att det hashade TPM-ägarauktoriseringsvärdet sparats i en fil med filnamnstillägget TPM när administratören tog över ägarskapet av TPM:en för din dator. Sök igenom filsystemet för en fil som slutar på TPM. Om du har skrivit ut återställningslösenordet för BitLocker, kan TPM-ägarlösenordet ha skrivits ut samtidigt. Om du inte hittar TPM-ägarlösenordet kan du rensa TPM:en och ta över ägarskapet igen. Var försiktig när du gör detta eftersom data som krypterats med TPM:en förloras. Om du använder BitLocker ska du se till att pausa eller inaktivera BitLocker innan du rensar TPM:en. Mer information om hur du rensar TPM:en finns i Rensa TPM:en.

Är det viktigt att jag håller mitt hashade TPM-ägarauktoriseringsvärde hemligt?

Ja. Om en skadlig enhet får tag i ditt hashade TPM-ägarauktoriseringsvärde kan den göra flera försök att gissa ett auktoriseringsvärde för krypteringsnyckeln (t.ex. PIN-koden till BitLocker), använda det hashade TPM-ägarauktoriseringsvärdet för att återställa TPM-utelåsningen och upprepa permanent. Det är troligt att auktoriseringsvärdet kan upptäckas om storleken är liten.

Vilket är sambandet mellan TPM-ägarlösenordet och det hashade TPM-ägarauktoriseringsvärdet?

TPM-ägarlösenordet hashas med SHA-1 och är Base64-kodat för att skapa det hashade TPM-ägarauktoriseringsvärdet.