可信平台模塊

可信平台模塊（Trusted Platform Module）安全芯片，是指符合TPM(可信賴平台模塊)標準的安全芯片，它能有效地保護PC、防止非法用户訪問。 ^[1] 

1999年10月，多家IT巨頭聯合發起成立可信賴運算平台聯盟（Trusted Computing Platform Alliance，TCPA），初期加入者有康柏、HP、IBM、Intel、微軟等，該聯盟致力於促成新一代具有安全且可信賴的硬件運算平台。2003年3月，TCPA增加了諾基亞、索尼等廠家的加入，並改組為可信賴計算組織（Trusted Computing Group，TCG），希望從跨平台和操作環境的硬件和軟件兩方面，制定可信賴電腦相關標準和規範。並在並提出了TPM規範。

符合TPM的芯片首先必須具有產生加解密密匙的功能，此外還必須能夠進行高速的資料加密和解密，以及充當保護BIOS和操作系統不被修改的輔助處理器。

TPM安全芯片用途十分廣泛，配合專用軟件可以實現以下用途：

1、存儲、管理BIOS開機密碼以及硬盤密碼

以往這些事務都是由BIOS做的，玩過的朋友可能也知道，忘記了密碼只要取下BIOS電池，給BIOS放電就清除密碼了。如今這些密鑰實際上是存儲在固化在芯片的存儲單元中，即便是掉電其信息亦不會丟失。相比於BIOS管理密碼，TPM安全芯片的安全性要大為提高。

2、TPM安全芯片可以進行範圍較廣的加密

TPM安全芯片除了能進行傳統的開機加密以及對硬盤進行加密外，還能對系統登錄、應用軟件登錄進行加密。比如人們常用的MSN、QQ、網遊以及網上銀行的登錄信息和密碼，都可以通過TPM加密後再進行傳輸，這樣就不用擔心信息和密碼被人竊取

3、加密硬盤的任意分區

人們可以加密本本上的任意一個硬盤分區，您可以將一些敏感的文件放入該分區以策安全。其實有些本本廠商採用的一鍵恢復功能，就是該用途的集中體現之一（其將系統鏡像放在一個TPM加密的分區中）。

TPM實施過程隨不同的服務器BIOS版本、TPM標準、操作系統和TPM實用程序版本而有所不同。

基本上，IT管理員需要首先在服務器BIOS的安全菜單中啓用TPM並重新啓動。服務器不支持遠程更改TPM狀態，因此，管理員需要在數據中心實地操作。在管理的需要安全性的遠程服務器時，請記住這些：

一旦在BIOS中啓用了TPM，記得在操作系統中激活它並“取得所有權”。一些系統使用TPM管理實用程序完成這些操作，例如英特爾的Embassy Security Center。支持TPM的操作系統可以通過PowerShell命令行執行TPM管理工作。堅持參照TPM實用程序或操作系統文檔來找出準確的操作方法，但也會經常需要手動設置TPM的密碼並核對TPM參數配置。再次提醒，必須在啓用TPM的同時執行這些任務。若在啓用TPM之後執行這些操作，操作可能會被視為惡意入侵。

永遠別忘了記錄或備份TPM相關的密碼和密鑰，並將備份副本異地保存在安全的物理位置。

TPM啓用並激活後將一直保持運行，除非管理員直接干預，則需要管理TPM指令——這種情況極少發生。例外情況是，管理員需要關閉或甚至清除TPM。

例如，有些服務器退役後在企業內得到重新利用，並且不再需要TPM功能。TPM關閉後，新的應用程序和數據可以在沒有TPM支持的服務器上處理。

可以通過操作系統停用TPM，例如使用 PowerShell cmdlet。如果操作系統不支持禁用TPM，從BIOS中的TPM管理菜單手動操作也能完成TPM啓用或清除任務。

管理員可以通過BIOS清除TPM。如果完全清除TPM，就會恢復主板的出廠默認設置，重置所有的密鑰和TPM中的密碼，任何加密的數據將變得無法訪問。如果丟失了密碼，或者準備回收或出售服務器，請清除TPM。千萬不要在生產服務器上清除TPM！

一些主板包括TPM清除跳線——設置跳線之後將對TPM進行清除和重新設置。因為跳線操作需要具有額外的物理訪問條件，並要求管理員熟悉服務器的內部佈局，可以一定程度上防止意外篡改。然而，Windows Server 2012允許管理員通過PowerShell cmdlet實現清除TPM的操作。

提供TPM安全芯片的廠商也不少，由於其不面對最終消費者，人們可能都比較陌生。由於國外對於TPM安全芯片的研發、製造起步較早，故而國外廠商在這方面有着相當大的優勢。國外生產的TPM安全芯片的主要廠家有：英飛凌、意法半導體（ST）、Atmel、華邦電子（收購美國國家半導體公司）等。國內廠商這方面的研發起步較晚，僅有聯想的“恆智”芯片以及兆日公司的產品。

廣大筆記本廠商內置TPM更多的是防患於未然，畢竟支持TPM的系統還沒有出現，廣大廠商都是採用第三方軟件來實現TPM的部分功能，提供例如文件加解密等服務。在Vista正式發佈之後，TPM安全芯片將真正開始發揮其幕後英雄的本色，大量的系統安全功能也都將通過其來實現。隨着微軟NGSCB技術的正式推廣，TPM將在真正意義上扮演PC的保護神，讓人們的電腦真正擺脱木馬、病毒的騷擾。看來得到軟硬件兩方面支持的TPM安全芯片前途無量，TPM安全芯片在本本安全領域上的作用將更加凸現。

在Wedbush Morgan Securities年度高層會議上，雅達利公司創建者之一的諾蘭·布什內爾（Nolan Bushnell）稱，遊戲產業面臨的盜版氾濫問題，在過不久將隨着新型加密芯片的逐步普及而成為歷史。 “一種名為TPM的加密芯片即將被使用在大部分電腦主板上。”布什內爾在會議上説道：“這就意味着遊戲產業將迎來一種全新的、絕對安全的加密方式，它無法在網絡上被破解也不存在註冊碼被散播的危險，它將允許我們在那些盜版極為嚴重的地區開拓巨大的新市場。” 布什內爾認為，電影和音樂的盜版很難被阻止，因為只要是“能看、能聽的就可以拷貝”。然而電子遊戲的情況則完全不同，由於這類產品與代碼的緊密聯繫性，使用TPM芯片將能夠完全阻止盜版遊戲的運行。

“一旦TPM芯片的普及率達到足夠高的水準，人們就可以開始看到在亞洲和印度等盜版氾濫地區正版軟件收入的逐步增長，而這在以前是幾乎是不可想象的。” ^[2]