从7月28日开始，微软会将基于 TPM 2.0 硬件的安全层级设为智能手机、PC和平板端 Windows 10 的要求。

　　微软提出了 Windows 10 计算机和移动设备的基本硬件要求改动，并期望硬件制造商遵从，让设备变得更佳安全。

　　从上周四开始，PC制造商应当在 Windows 10 计算机中加入被称为TPM(Trusted Platform Module，可信平台模块)2.0的硬件级安全特性。

　　TPM 2.0特性将对用户有利，它将在保护PC敏感信息方面做得更好。

　　TPM 2.0安全层可能以芯片或固件的形式出现，它能通过在可信容器中管理密钥来保护用户数据。微希望通过一种被称为 Windows Hello 的生物认证特性来干掉密码。该特性允许用户通过指纹、面部、虹膜识别来登陆PC。TPM 2.0芯片对 Windows Hello 很重要，它会在安全的区域创建并保存所有加密密钥。

　　TPM 2.0也能通过 Microsoft Passport，使用生物和PIN结合的方式，实现双因素认证。这种特性在 Windows 10 PC 之间很常见。Passport特性能够在网页登陆、应用登陆、其它服务登陆上使用。

　　微软表示，Windows Hello 并不需要TPM，但建议使用该安全层保护生物登录信息。TPM芯片很难入侵，而且在保护敏感信息方面比基于软件的机制做得更好。Windows Hello 登陆数据之前是通过软件方式保护的。

　　安全公司IOActive执行副总裁 Kevin Murphy 称：TPM显然为笔记本电脑提供了一次安全性能提升，而且它对于保护密钥和其它PC认证所需的关键数据非常有效。

　　由于它基于硬件，而不是软件，密钥不会暴露在PC内存中。PC内存是攻击者窃取知识资产的好去处。不过，使用TPM并不会防止攻击者滥用密钥。如果攻击者“拥有”设备，比如通过伪装成合法用户，TPM就会像遇到合法用户一样进行响应。

　　Murphy称：“它不会注意到区别。在这个场景下，它带来的好处在于攻击的边界被限制在了当前的范围内，黑客无法为未来的攻击窃取密钥。”

　　有可能攻破TPM芯片，但难度系数比较高，比如需要大量技术、设备、时间、投资。

　　磁盘加密系统BitLocker已经在使用TPM来存储加密密钥了。TPM也被用于保护软件更新、虚拟机，认证智能卡。英特尔的vPro远程管理服务在开始远程修复PC之前，要求TPM提供的认证。

　　TPM 2.0 将会成为所有 Windows 10 设备的底线要求，除了树莓派3这样运行轻量版 Windows 10 IoT Core 的开发者实验设备。

　　这一安全特性并不是新鲜事物。事实上，它存在很多年了，主要是对于商用PC而言。许多新的PC已经拥有 TPM 2.0， 除了低成本PC以外。有些Windows笔记本配备了较老的 TPM 1.2 标准。但PC制造商现在被期待遵从微软的新硬件要求，引入TPM 2.0。惠普的 Elite X3 Windows 10 智能手机基于高通最新的骁龙820处理器，它已经拥有 TPM 2.0 了。该特性没有引入华硕的 Jade Primo 和 Nokia Lumia 机型，它们的组件都相对较老。

　　微软近期屡次尝试引导PC领域的硬件和软件变革，有些举措被认为是有争议的。基于英特尔 Kaby Lake 芯片的下一代PC可能将在第三季度上市，它们将只支持 Windows 10，而不是老版本操作系统。

　　微软今年早些时候表示将在2017年7月17日之前保持对 Windows 7 和8.1在Skylake设备上的支持，但由于强制用户升级 Windows 10 受到批评，并被迫将该期限延长了一年。

　　发言人说，微软正与硬件合作商协同合作，在多设备上部署 TPM 2.0。TPM 2.0能够最大化 Windows Hello 和Passport的的安全能力，并帮助保证使用DRM的4K流媒体视频安全。

　　发言人说：“未来，更多关键特性将基于它。”

　　根据可信计算组织的解释，TPM 2.0 是ISO/IEC在去年6月通过的一项国际标准。

　　责任编辑：DJ编辑