摘要:从7月28日开始,微软会将基于 TPM 2.0 硬件的安全层级设为智能手机、PC和平板端 Windows 10 的要求。 |
从7月28日开始,微软会将基于 TPM 2.0 硬件的安全层级设为智能手机、PC和平板端 Windows 10 的要求。
微软提出了 Windows 10 计算机和移动设备的基本硬件要求改动,并期望硬件制造商遵从,让设备变得更佳安全。
从上周四开始,PC制造商应当在 Windows 10 计算机中加入被称为TPM(Trusted Platform Module,可信平台模块)2.0的硬件级安全特性。
TPM 2.0特性将对用户有利,它将在保护PC敏感信息方面做得更好。
TPM 2.0安全层可能以芯片或固件的形式出现,它能通过在可信容器中管理密钥来保护用户数据。微希望通过一种被称为 Windows Hello 的生物认证特性来干掉密码。该特性允许用户通过指纹、面部、虹膜识别来登陆PC。TPM 2.0芯片对 Windows Hello 很重要,它会在安全的区域创建并保存所有加密密钥。
TPM 2.0也能通过 Microsoft Passport,使用生物和PIN结合的方式,实现双因素认证。这种特性在 Windows 10 PC 之间很常见。Passport特性能够在网页登陆、应用登陆、其它服务登陆上使用。
微软表示,Windows Hello 并不需要TPM,但建议使用该安全层保护生物登录信息。TPM芯片很难入侵,而且在保护敏感信息方面比基于软件的机制做得更好。Windows Hello 登陆数据之前是通过软件方式保护的。
安全公司IOActive执行副总裁 Kevin Murphy 称:TPM显然为笔记本电脑提供了一次安全性能提升,而且它对于保护密钥和其它PC认证所需的关键数据非常有效。
由于它基于硬件,而不是软件,密钥不会暴露在PC内存中。PC内存是攻击者窃取知识资产的好去处。不过,使用TPM并不会防止攻击者滥用密钥。如果攻击者“拥有”设备,比如通过伪装成合法用户,TPM就会像遇到合法用户一样进行响应。
Murphy称:“它不会注意到区别。在这个场景下,它带来的好处在于攻击的边界被限制在了当前的范围内,黑客无法为未来的攻击窃取密钥。”
有可能攻破TPM芯片,但难度系数比较高,比如需要大量技术、设备、时间、投资。
磁盘加密系统BitLocker已经在使用TPM来存储加密密钥了。TPM也被用于保护软件更新、虚拟机,认证智能卡。英特尔的vPro远程管理服务在开始远程修复PC之前,要求TPM提供的认证。
TPM 2.0 将会成为所有 Windows 10 设备的底线要求,除了树莓派3这样运行轻量版 Windows 10 IoT Core 的开发者实验设备。
这一安全特性并不是新鲜事物。事实上,它存在很多年了,主要是对于商用PC而言。许多新的PC已经拥有 TPM 2.0, 除了低成本PC以外。有些Windows笔记本配备了较老的 TPM 1.2 标准。但PC制造商现在被期待遵从微软的新硬件要求,引入TPM 2.0。惠普的 Elite X3 Windows 10 智能手机基于高通最新的骁龙820处理器,它已经拥有 TPM 2.0 了。该特性没有引入华硕的 Jade Primo 和 Nokia Lumia 机型,它们的组件都相对较老。
微软近期屡次尝试引导PC领域的硬件和软件变革,有些举措被认为是有争议的。基于英特尔 Kaby Lake 芯片的下一代PC可能将在第三季度上市,它们将只支持 Windows 10,而不是老版本操作系统。
微软今年早些时候表示将在2017年7月17日之前保持对 Windows 7 和8.1在Skylake设备上的支持,但由于强制用户升级 Windows 10 受到批评,并被迫将该期限延长了一年。
发言人说,微软正与硬件合作商协同合作,在多设备上部署 TPM 2.0。TPM 2.0能够最大化 Windows Hello 和Passport的的安全能力,并帮助保证使用DRM的4K流媒体视频安全。
发言人说:“未来,更多关键特性将基于它。”
根据可信计算组织的解释,TPM 2.0 是ISO/IEC在去年6月通过的一项国际标准。
责任编辑:DJ编辑