从7月28日开始,微软会将基于 TPM 2.0 硬件的安全层级设为智能手机、PC和平板端 Windows 10 的要求。
微软提出了 Windows 10 计算机和移动设备的基本硬件要求改动,并期望硬件制造商遵从,让设备变得更佳安全。
从上周四开始,PC制造商应当在 Windows 10 计算机中加入被称为TPM(Trusted Platform Module,可信平台模块)2.0的硬件级安全特性。
TPM 2.0特性将对用户有利,它将在保护PC敏感信息方面做得更好。
TPM 2.0安全层可能以芯片或固件的形式出现,它能通过在可信容器中管理密钥来保护用户数据。
微希望通过一种被称为 Windows Hello 的生物认证特性来干掉密码。该特性允许用户通过指纹、面部、虹膜识别来登陆PC。TPM 2.0芯片对 Windows Hello 很重要,它会在安全的区域创建并保存所有加密密钥。
TPM 2.0也能通过 Microsoft Passport,使用生物和PIN结合的方式,实现双因素认证。这种特性在 Windows 10 PC 之间很常见。Passport特性能够在网页登陆、应用登陆、其它服务登陆上使用。
微软表示,Windows Hello 并不需要TPM,但建议使用该安全层保护生物登录信息。TPM芯片很难入侵,而且在保护敏感信息方面比基于软件的机制做得更好。Windows Hello 登陆数据之前是通过软件方式保护的。
安全公司IOActive执行副总裁 Kevin Murphy 称:TPM显然为笔记本电脑提供了一次安全性能提升,而且它对于保护密钥和其它PC认证所需的关键数据非常有效。
“
由于它基于硬件,而不是软件,密钥不会暴露在PC内存中。PC内存是攻击者窃取知识资产的好去处。
不过,使用TPM并不会防止攻击者滥用密钥。如果攻击者“拥有”设备,比如通过伪装成合法用户,TPM就会像遇到合法用户一样进行响应。
Murphy称:“它不会注意到区别。在这个场景下,它带来的好处在于攻击的边界被限制在了当前的范围内,黑客无法为未来的攻击窃取密钥。”
有可能攻破TPM芯片,但难度系数比较高,比如需要大量技术、设备、时间、投资。
磁盘加密系统BitLocker已经在使用TPM来存储加密密钥了。TPM也被用于保护软件更新、虚拟机,认证智能卡。英特尔的vPro远程管理服务在开始远程修复PC之前,要求TPM提供的认证。
TPM 2.0 将会成为所有 Windows 10 设备的底线要求,除了树莓派3这样运行轻量版 Windows 10 IoT Core 的开发者实验设备。
这一安全特性并不是新鲜事物。事实上,它存在很多年了,主要是对于商用PC而言。许多新的PC已经拥有 TPM 2.0, 除了低成本PC以外。有些Windows笔记本配备了较老的 TPM 1.2 标准。但PC制造商现在被期待遵从微软的新硬件要求,引入TPM 2.0。惠普的 Elite X3 Windows 10 智能手机基于高通最新的骁龙820处理器,它已经拥有 TPM 2.0 了。该特性没有引入华硕的 Jade Primo 和 Nokia Lumia 机型,它们的组件都相对较老。
微软近期屡次尝试引导PC领域的硬件和软件变革,有些举措被认为是有争议的。基于英特尔 Kaby Lake 芯片的下一代PC可能将在第三季度上市,它们将只支持 Windows 10,而不是老版本操作系统。
微软今年早些时候表示将在2017年7月17日之前保持对 Windows 7 和8.1在Skylake设备上的支持,但由于强制用户升级 Windows 10 受到批评,并被迫将该期限延长了一年。
发言人说,微软正与硬件合作商协同合作,在多设备上部署 TPM 2.0。TPM 2.0能够最大化 Windows Hello 和Passport的的安全能力,并帮助保证使用DRM的4K流媒体视频安全。
发言人说:“未来,更多关键特性将基于它。”
根据可信计算组织的解释,TPM 2.0 是ISO/IEC在去年6月通过的一项国际标准。
====================================分割线================================
本文转自d1net(转载)