Kaj je TPM in zakaj ga potrebujem za Windows 11?

Microsoft pravi, da bo Windows 11 potreboval osebni računalnik z modulom Trusted Platform Module (TPM), kar je sprožilo vihar dvomov in negotovosti. Kaj pravzaprav je TPM, ga že imate? Pojasnimo.

Microsoftov operacijski sistem Windows 11 bo zahteval doslej malo znano varnostno funkcijo osebnega računalnika, Trusted Platform Module (TPM), kar je razlog za zaskrbljenost med zgodnjimi uporabniki, ki komaj čakajo, da dobijo v roke nov OS.

»Ali imam TPM, ki deluje z operacijskim sistemom Windows?« je vprašanje, za katerega si verjetno nikoli niste mislili, da ga boste morali zastaviti. Toda dobra novica za ljudi, ki so v zadnjih nekaj letih kupili računalnik, je, da je odgovor skoraj zagotovo “da”. Za vse ostale, ki želijo nadgraditi na Windows 11, zlasti za ljudi, ki so izdelali ali nadgradili svoje namizje Windows, bi bil odgovor lahko bolj zapleten.

Oglejmo si, kaj počnejo TPM-ji in kako jih Microsoft vključuje v naslednjo različico sistema Windows, na podlagi tega kar vemo do zdaj.

Kaj je TPM?

V svoji najbolj osnovni obliki je TPM majhen čip na matični plošči vašega računalnika, ki je včasih ločen od glavnega procesorja in pomnilnika. Čip je podoben tipkovnici, ki jo uporabljate za onemogočanje varnostnega alarma doma vsakič, ko vstopite v vrata ali aplikaciji za preverjanje pristnosti, ki jo uporabljate v telefonu za prijavo v svoj bančni račun. V tem scenariju je vklop računalnika podoben odpiranju vhodnih vrat vašega doma ali vnosu uporabniškega imena in gesla na stran za prijavo. Če kode ne vnesete v kratkem času, se bodo oglasili alarmi ali pa ne boste mogli dostopati do svojega denarja.

Podobno, ko pritisnete gumb za vklop na novejšem računalniku, ki uporablja šifriranje celotnega diska in TPM, bo majhen čip zagotovil edinstveno kodo, imenovano kriptografski ključ. Če je vse normalno, je šifriranje pogona odklenjeno in vaš računalnik se zažene. Če pride do težave s ključem – morda vam je heker ukradel prenosnik in poskušal posegati v šifrirani pogon v notranjosti – se vaš računalnik ne bo zagnal.

Čeprav tako delujejo sodobne implementacije TPM na najbolj osnovni ravni, to še zdaleč ni vse, kar lahko storijo. Pravzaprav številne aplikacije in druge funkcije računalnika uporabljajo TPM, potem ko se je sistem že zagnal. E-poštna odjemalca Thunderbird in Outlook uporabljata TPM za obdelavo šifriranih sporočil ali sporočil, podpisanih s ključem. Spletna brskalnika Firefox in Chrome uporabljata TPM tudi za nekatere napredne funkcije, kot je vzdrževanje potrdil SSL za spletna mesta. Veliko potrošniške tehnologije poleg osebnih računalnikov uporablja tudi TPM, od tiskalnikov do dodatkov za povezan dom.

Tako kot lahko TPM poleg svojega osnovnega namena zagotavljanja zaščite osebnih računalnikov ob zagonu opravljajo številne druge funkcije, lahko poleg samostojnega čipa prevzamejo veliko različnih oblik. Trusted Computing Group (TCG), odgovorna za vzdrževanje standardov TPM, ugotavlja, da obstajata dve dodatni vrsti TPM. TPM-je je mogoče integrirati v glavni CPE, bodisi kot fizični dodatek ali kot kodo, ki se izvaja v namenskem okolju znanem kot vdelana programska oprema. Ta metoda je skoraj tako varna kot samostojni čip TPM, saj uporablja zaupanja vredno okolje, ki je ločeno od ostalih programov, ki uporabljajo CPE.

Tretja vrsta TPM je virtualna. V celoti deluje v programski opremi. To ni priporočljivo za uporabo v resničnem svetu, opozarja TCG, ker je ranljivo tako za posege kot za morebitne varnostne napake, ki bi lahko bile prisotne v operacijskem sistemu.

Za bolj poglobljen (a še vedno dostopen) pogled na delovanje TPM-jev je vredno prebrati kratko knjigo Praktični vodnik po TPM 2.0. Za primer vseh načinov uporabe TPM-jev v potrošniških osebnih računalnikih si oglejte tudi Applov vodnik po varnostnih čipih T2 za računalnike Mac. (Čeprav Apple tega izraza ne uporablja, je T2 v bistvu TPM.)

Kaj je z Windowsi in TPM-ji?

Windows 8 in Windows 10 imata obsežno podporo za TPM. Prenosni in namizni računalniki, namenjeni uporabi v velikih organizacijah s strogimi varnostnimi zahtevami IT, so bili glavni uporabniki. V mnogih primerih so TPMji zamenjali okorne pametne kartice, ki so jih IT oddelki nekoč izdajali zaposlenim. Pametne kartice je treba vstaviti v režo ali pritisniti ob vgrajeni brezžični bralnik, da se prepričate, da sistem ni bil poškodovan.

Varnostne funkcije na ravni operacijskega sistema tudi že uporabljajo TPM-je. Ste kdaj uporabljali funkcijo za prijavo v Windows Hello za prepoznavanje obrazov na novejšem prenosniku? To zahteva TPM.

TPM-ji so učinkovita alternativa starejšim metodam zaščite osebnih računalnikov Windows. Pravzaprav od julija 2016 Microsoft dejansko zahteva podporo za TPM 2.0 na vseh novih računalnikih, ki izvajajo katero koli različico sistema Windows 10 za namizne računalnike (Home, Pro, Enterprise ali Education). Podobno bo Windows 11 deloval samo na osebnih računalnikih, ki imajo zmogljivosti TPM. Microsoft je bil strog pri tej zahtevi pred splošno razpoložljivostjo sistema Windows 11, ki naj bi prišel kot brezplačna nadgradnja v tej praznični sezoni za osebne računalnike z operacijskim sistemom Windows 10. Če zdaj prenesete orodje za združljivost s sistemom Windows 11, bo to pomenilo, da je vaš sistem pripravljen le, če je TPM 2.0 vzpostavljen in deluje. (Microsoft ugotavlja, da bo orodje v prihodnjih dneh in tednih prilagodil, da bo bolj v pomoč pri razlagi posebnosti združljivosti.)

Ali moj računalnik že ima TPM 2.0?

Če imate računalnik, ki izpolnjuje druge minimalne sistemske zahteve sistema Windows 11, obstaja možnost, da podpira TPM 2.0. Vendar je standard relativno nov. Če ste računalnik kupili po letu 2016, je skoraj zagotovo priložen TPM 2.0. Če je vaš računalnik starejši od nekaj let, ima verjetno starejšo različico TPM 1.2 (za katero Microsoft pravi, da ni priporočljiva za Windows 11) ali pa sploh nima TPM.

Microsoft poskuša situacijo poenostaviti s sklicevanjem na svoj rok za uvedbo TPM 2.0 iz leta 2016. Podjetje v svojih pogostih vprašanjih o sistemu Windows 11 ugotavlja, da se bodo “številni računalniki, ki so stari manj kot štiri leta, lahko nadgradili na Windows 11.”

Ker imajo TPM-ji toliko oblik, kot je bilo omenjeno prej, ni mogoče z enim samim pogledom preveriti, ali ima vaš računalnik omogočen čip ali vdelano programsko opremo, ki je združljiv s TPM 2.0. Windows ponuja splošen indikator stanja “varnostnega procesorja”, vendar se boste morali za to prepričati pri podjetju, ki je izdelalo vaš namizni ali prenosni računalnik.

Večina večjih prodajalcev ima na svojem spletnem mestu objavljene preproste članke o podpori, ki pojasnjujejo, kateri izdelki imajo podporo za TPM 2.0. Dell na primer objavi priročen grafikon, ki kaže, katera vrsta TPM je nameščena v katerem sistemu. Podjetje uporablja tri različne vrste TPM 2.0 v sodobnih prenosnih in namiznih računalnikih Latitude, Precision, OptiPlex ter potrošniških prenosnih računalnikih.

Ali lahko v svoj računalnik dodam TPM?

Če ste v zadnjih nekaj letih zgradili svoj namizni računalnik in se vam da ukvarjati z varnostnimi nastavitvami strojne in programske opreme v sistemskem BIOS-u, lahko na svojo matično ploščo verjetno dodate diskretni čip TPM 2.0. Številne matične plošče so opremljene s skupino pinov z jasno oznako »TPM«. In kot ugotavljamo, lahko za nekatere modele matičnih plošč kupite modul TPM za manj kot 50 €.

Vendar to ni tako preprosto kot kupiti dodatni modul TPM 2.0 in ga priključiti. Tudi če imate v vašem domačem računalniku nameščen TPM strojne opreme, se morate prepričati, da je pravilno nastavljen v BIOS-u, da ga bo operacijski sistem Windows prepoznal. Ta postopek se močno razlikuje glede na to, katero matično ploščo in CPE uporabljate. Tudi Microsoft priznava, da vklop TPM ni nujno preprost postopek. Microsoftov podpredsednik za upravljanje izdelkov Steve Dispense predlaga, da bo morda treba omogočiti nastavitev, kot je Platform Trust Technology (PTT) v BIOS-u računalnikov, ki temeljijo na Intelu ali fTPM za tiste, ki temeljijo na AMD.

In če ste eden od mnogih ljudi, ki so pred leti porabili znaten denar za izdelavo vrhunskega igralnega računalnika z matično ploščo ali CPU, ki morda nimata zmogljivosti TPM ali možnosti dodajanja, je vaš sistem ima še vedno leta življenjske dobe, vendar morda ne bo mogel zagnati operacijskega sistema Windows 11. Rešitev TPM 2.0, ki temelji na vdelani programski opremi, je lahko možnost za nekatere osebne računalnike brez zmožnosti TPM na matični plošči, čeprav bo za samostojno implementacijo skoraj zagotovo potrebno nekaj poskusov in napak.

Ali mi bo TPM preprečil zagon Linuxa?

Nasprotno pa ima veliko ljubiteljev osebnih računalnikov računalnike, ki podpirajo TPM, vendar so se odločili, da jih onemogočijo iz različnih razlogov. Če ste to vi, Windows 11 prinaša dobre in slabe novice.

Dobra novica je, da je skoraj vse kar želite danes narediti z osebnim računalnikom mogoče narediti z omogočenimi TPM-ji. Da, obstajajo izjeme, vendar bodo vplivale le na majhen odstotek uporabnikov. TCG je na primer že dolgo določil zahteve TPM za odprtokodni operacijski sistem Linux, kar pomeni, da bi ljudje, ki želijo svoje osebne računalnike preklopiti med operacijskim sistemom Windows 11 in različnimi distribucijami Linuxa, to narediti brez problema.

Ali bo TPM omejil, katere funkcije sistema Windows 11 lahko uporabljam?

Eden od mnogih zapletenih delov zahteve TPM 2.0 v sistemu Windows 11 je, da lahko Microsoft vzame stran iz Applovega priročnika in v prihodnjih posodobitvah sistema Windows uvede dodatne omejitve, povezane z varnostjo TPM. Na primer, računalniki Mac s čipom T2 imajo številne zmogljivosti, ki jih računalniki Apple brez njega nimajo, vključno s prepoznavanjem prstnih odtisov in izboljšano obdelavo signala slike. Ta situacija obstaja tudi v svetu Windows 10, pri čemer je prej omenjeno prepoznavanje obrazov Windows Hello odličen primer.

Z operacijskim sistemom Windows 11 in prihodnjimi različicami TPM bi lahko Microsoft dodatno segmentiral izkušnjo Windows. To bi lahko vključevalo dodajanje novih funkcij, ki zahtevajo TPM, lahko pa bi vključevalo tudi uvedbo dodatnih zaklenjenih različic sistema Windows, podobnih trenutnemu načinu Windows 10 S. Za večino potrošnikov to ne bo težava, vendar je treba to upoštevati, če nameravate nadgraditi na Windows 11.

Piškotek	Trajanje	Opis
cookielawinfo-checkbox-advertisement	1 year	Ta piškotek, ki ga nastavi vtičnik GDPR Cookie Consent, se uporablja za beleženje privolitve uporabnika za piškotke v kategoriji »Oglasi«.
cookielawinfo-checkbox-analytics	1 year	Ta piškotek, ki ga nastavi vtičnik GDPR Cookie Consent, se uporablja za beleženje privolitve uporabnika za piškotke v kategoriji »Analitika«.
cookielawinfo-checkbox-necessary	1 year	Ta piškotek, ki ga nastavi vtičnik GDPR Cookie Consent, se uporablja za beleženje privolitve uporabnika za piškotke v kategoriji »Potrebno«.
cookielawinfo-checkbox-others	1 year	Ta piškotek, ki ga nastavi vtičnik GDPR Cookie Consent, se uporablja za shranjevanje privolitve uporabnika za piškotke v kategoriji »Drugo«.
cookielawinfo-checkbox-performance	1 year	Ta piškotek, ki ga nastavi vtičnik GDPR Cookie Consent, se uporablja za shranjevanje privolitve uporabnika za piškotke v kategoriji »Uspešnost«.
CookieLawInfoConsent	1 year	Zapiše privzeto stanje gumba ustrezne kategorije in status CCPA. Deluje samo v sodelovanju s primarnim piškotkom.
elementor	never	Ta piškotek uporablja tema spletnega mesta WordPress. Lastniku spletnega mesta omogoča implementacijo ali spreminjanje vsebine spletne strani v realnem času.

Piškotek	Trajanje	Opis
_ga	2 years	Piškotek _ga, ki ga namesti Google Analytics, izračuna podatke o obiskovalcih, sejah in oglaševalskih akcijah ter spremlja tudi uporabo spletnega mesta za analitično poročilo spletnega mesta. Piškotek shranjuje podatke anonimno in dodeli naključno ustvarjeno številko za prepoznavanje edinstvenih obiskovalcev.
_ga_5E4ZCG14Z9	2 years	Ta piškotek namesti Google Analytics.