Компания Microsoft заявила, что ее грядущая операционная система Windows 11 потребует наличия модуля доверенной платформы (TPM), что вызвало бурю сомнений и неопределенности. Что именно такое TPM, и есть ли он уже у вашего ПК? Вот что вам нужно знать.
Том Брант
Грядущая операционная система Windows 11 от Microsoft потребует до сих пор малоизвестной функции безопасности ПК - модуля доверенной платформы (TPM), что вызывает беспокойство у ранних пользователей, которым не терпится получить в свои руки новую ОС.
"Есть ли у меня TPM, который работает с Windows?" - это вопрос, который вы, вероятно, никогда не думали, что вам придется задавать. Но хорошая новость для тех, у кого есть ПК, купленный в последние несколько лет, заключается в том, что ответ почти наверняка будет "Да". Для всех остальных, кто хочет перейти на Windows 11, особенно для тех, кто создал или обновил свой собственный настольный компьютер с Windows, ответ может быть более сложным.
Давайте рассмотрим, что делают TPM и как компания Microsoft собирается включить их в следующую версию Windows, основываясь на том, что нам известно на данный момент.
Что такое TPM?
В самом простом понимании TPM - это крошечный чип на материнской плате компьютера, иногда отдельно от основного процессора и памяти. Этот чип похож на клавиатуру, которую вы используете для отключения охранной сигнализации каждый раз, когда входите в дом, или на приложение аутентификатора, которое вы используете на своем телефоне для входа в свой банковский счет. В этом сценарии включение компьютера аналогично открытию входной двери вашего дома или вводу имени пользователя и пароля на странице входа в систему. Если вы не введете код в течение короткого периода времени, раздастся сигнал тревоги или вы не сможете получить доступ к своим деньгам.
Аналогичным образом, после нажатия кнопки питания на новом ПК, в котором используется шифрование всего диска и TPM, крошечный чип выдает уникальный код, называемый криптографическим ключом. Если все в порядке, шифрование диска разблокируется, и компьютер включится. Если с ключом возникли проблемы - возможно, хакер украл ваш ноутбук и попытался подделать зашифрованный диск внутри - ваш компьютер не загрузится.
Хотя современные реализации TPM функционируют именно так на самом базовом уровне, это далеко не все, что они могут делать. На самом деле, многие приложения и другие функции ПК используют TPM уже после загрузки системы. Клиенты электронной почты Thunderbird и Outlook используют TPM для обработки зашифрованных или подписанных ключом сообщений. Веб-браузеры Firefox и Chrome также используют TPM для некоторых расширенных функций, таких как поддержка SSL-сертификатов для веб-сайтов. Кроме ПК, TPM используются и во многих потребительских технологиях, от принтеров до аксессуаров для подключенного дома.
Как TPM могут выполнять множество других функций, помимо своей основной задачи - обеспечения защиты загрузки ПК, так и они могут принимать различные формы, помимо отдельного чипа. Trusted Computing Group (TCG), ответственная за поддержание стандартов TPM, отмечает, что существует два дополнительных типа TPM. TPM могут быть интегрированы в основной процессор, либо как физическое дополнение, либо как код, который выполняется в специальной среде, известной как микропрограмма. Этот метод почти так же безопасен, как и отдельный чип TPM, поскольку он использует доверенную среду, изолированную от остальных программ, использующих процессор.
Третий тип TPM - виртуальный. Он полностью работает в программном обеспечении. Его не рекомендуется использовать в реальных условиях, предупреждает TCG, поскольку он уязвим как для взлома, так и для любых ошибок безопасности, которые могут присутствовать в операционной системе.
Для более глубокого (но при этом доступного) изучения работы TPM стоит прочитать небольшую книгу "Практическое руководство по TPM 2.0". Для примера всех способов использования TPM в потребительских ПК ознакомьтесь также с руководством Apple по чипам безопасности T2 для компьютеров Mac. (Хотя Apple не использует этот термин, T2 - это, по сути, TPM).
Как обстоят дела с Windows и TPM?
Windows 7 и Windows 10 имеют широкую поддержку TPM. Ноутбуки и настольные компьютеры, предназначенные для использования в крупных организациях со строгими требованиями к ИТ-безопасности, были основными пользователями. Во многих случаях TPM заменили громоздкие смарт-карты, которые ИТ-отделы когда-то выдавали сотрудникам. Смарт-карты необходимо вставлять в слот или прикладывать к встроенному беспроводному считывателю, чтобы убедиться, что система не подверглась взлому.
Функции безопасности на уровне операционной системы также уже используют TPM. Вы когда-нибудь пользовались функцией распознавания лица для входа в систему Windows Hello на новых ноутбуках? Для этого требуется TPM.
TPM являются эффективной альтернативой старым методам защиты ПК с ОС Windows. На самом деле, с июля 2016 года Microsoft требует поддержки TPM 2.0 на всех новых ПК, на которых установлена любая версия Windows 10 для настольных систем (Home, Pro, Enterprise или Education). Аналогичным образом, Windows 11 будет работать только на ПК с поддержкой TPM. Microsoft строго придерживается этого требования в преддверии общей доступности Windows 11, которая должна появиться в качестве бесплатного обновления в праздничный сезон для ПК с Windows 10. Если вы загрузите инструмент совместимости Windows 11 сейчас, он покажет, что ваша система готова, только если в ней установлен TPM 2.0. (Microsoft отмечает, что в ближайшие дни и недели инструмент будет доработан, чтобы стать более полезным в объяснении особенностей совместимости).
Однако Microsoft тихо отметила, что в определенных ситуациях Windows 11 будет работать на ПК с TPM старше версии 2.0. В документах поддержки компании указано, что TPM 2.0 - это скорее требование "мягкого пола", и что ПК с TPM 1.2 также смогут работать под управлением Windows 11. Однако "устройства, соответствующие мягкому требованию, получат уведомление о том, что обновление не рекомендуется", - предупреждает Microsoft.
Имеет ли мой компьютер уже TPM 2.0?
Если ваш компьютер соответствует другим минимальным системным требованиям Windows 11, есть вероятность, что он поддерживает TPM 2.0. Однако этот стандарт появился относительно недавно. Если вы купили свой компьютер после 2016 года, он почти наверняка поставляется с TPM 2.0. Если ваш компьютер старше нескольких лет, скорее всего, он либо оснащен более старой версией TPM 1.2 (которая, по словам Microsoft, не рекомендуется для Windows 11), либо вообще не имеет TPM.
Microsoft пытается упростить ситуацию, ссылаясь на срок внедрения TPM 2.0 в 2016 году. Компания отмечает в FAQ по Windows 11, что "многие ПК, которым менее четырех лет, смогут обновиться до Windows 11".
Поскольку TPM имеют так много форм, как упоминалось ранее, не существует способа проверить с одного взгляда, есть ли на вашем ПК чип или прошивка, совместимые с TPM 2.0. Windows предлагает общий индикатор состояния "процессора безопасности", но чтобы быть уверенным, вам придется обратиться в компанию, которая произвела ваш настольный компьютер или ноутбук.
Большинство крупных производителей публикуют на своих веб-сайтах прямые статьи поддержки, которые объясняют, какие продукты поддерживают TPM 2.0. Например, компания Dell публикует удобную диаграмму, которая показывает, какой тип TPM установлен в той или иной системе. Компания использует три различных типа TPM 2.0 в современных ноутбуках и настольных компьютерах Latitude, Precision, OptiPlex и потребительских компьютерах.
Могу ли я добавить TPM в свой ПК?
Если вы собрали свой настольный ПК в последние несколько лет и вам удобно возиться с аппаратными и программными настройками безопасности в BIOS системы, вы, вероятно, можете добавить дискретную микросхему TPM 2.0 в материнскую плату. Многие материнские платы поставляются со скоплением контактов заголовка с четкой надписью "TPM". И, как отмечает ExtremeTech, вы можете приобрести модуль TPM для некоторых моделей материнских плат менее чем за 50 долларов.
Но это не так просто - купить дополнительный модуль TPM 2.0 и подключить его к заголовку. Даже если в вашем самодельном компьютере установлен аппаратный TPM, вам нужно убедиться, что он правильно настроен в BIOS, чтобы операционная система Windows его распознала. Этот процесс сильно варьируется в зависимости от того, какую материнскую плату и процессор вы используете. Даже компания Microsoft признает, что включение TPM не всегда является простым процессом. Вице-президент Microsoft по управлению продуктами Стив Диспенза предполагает, что может потребоваться включить в BIOS компьютеров на базе Intel такой параметр, как Platform Trust Technology (PTT), или fTPM для компьютеров на базе AMD.
И если вы один из многих людей, потративших значительные деньги на создание высококлассного игрового ПК несколько лет назад, с материнской платой или процессором, в которых могут отсутствовать возможности TPM или возможность их добавления, ваша система, скорее всего, еще проживет годы, но, возможно, не сможет работать под управлением Windows 11. Решение TPM 2.0 на базе встроенного ПО может быть вариантом для некоторых ПК без возможности TPM на материнской плате, хотя самостоятельная реализация такого решения почти наверняка потребует проб и ошибок.
Сможет ли TPM помешать мне запустить Linux?
И наоборот, у многих энтузиастов ПК есть компьютеры, которые поддерживают TPM, но они решили отключить их по разным причинам. Если вы относитесь к таким людям, Windows 11 принесет хорошие и плохие новости.
Хорошая новость заключается в том, что практически все, что вы хотите сделать с ПК в наши дни, можно сделать с включенными TPM. Да, есть исключения, но они затронут лишь небольшой процент пользователей. Например, TCG уже давно определила требования к TPM для операционной системы Linux с открытым исходным кодом, что означает, что люди, которые хотят переключать свои ПК между Windows 11 и различными дистрибутивами Linux, должны иметь такую возможность. Поддержка будет зависеть от того, какой дистрибутив Linux вы используете, и как требования TPM могут взаимодействовать со средами с двойной загрузкой, пока не ясно на 100%.
Ограничит ли TPM использование функций Windows 11?
Одна из многих сложностей требования TPM 2.0 в Windows 11 заключается в том, что Microsoft может взять пример с Apple и ввести дополнительные ограничения, связанные с безопасностью TPM, в будущих обновлениях Windows. Например, компьютеры Mac с чипом T2 имеют множество возможностей, которых нет у компьютеров Apple без него, включая распознавание отпечатков пальцев и улучшенную обработку сигналов изображения. Подобная ситуация существует и в мире Windows 10, ярким примером чего является упомянутое ранее распознавание лица Windows Hello.
В Windows 11 и будущих версиях TPM компания Microsoft может еще больше сегментировать работу Windows. Это может включать добавление новых функций, требующих TPM, но также может включать создание дополнительных заблокированных версий Windows, подобных текущей Windows 10 S Mode. Для большинства потребителей это не будет проблемой, но об этом следует помнить, если вы планируете перейти на Windows 11, как только она станет доступна.
