TPM安全芯片

1999年10月，多家IT巨頭聯合發起成立可信賴運算平台聯盟（Trusted Computing Platform Alliance，TCPA），初期加入者有康柏、HP 、IBM、Intel、微軟等，該聯盟致力於促成新一代具有安全且可信賴的硬件運算平台。2003年3月，TCPA增加了諾基亞 、索尼等廠家的加入，並改組為可信賴計算組織（Trusted Computing Group，TCG），希望從跨平台和操作環境的硬件和軟件兩方面，制定可信賴電腦相關標準和規範，並提出了TPM規範，最新版本為2.0。

符合TPM的芯片首先必須具有產生加解密密鑰的功能，此外還必須能夠進行高速的資料加密和解密，以及充當保護BIOS和操作系統不被修改的輔助處理器。

TPM安全芯片用途十分廣泛，配合專用軟件可以實現以下用途：

以往這些事務都是由BIOS做的，玩過的朋友可能知道，忘記了密碼只要取下CMOS電池，給CMOS放電就清除密碼了。如今這些密鑰實際上是存儲於固化在芯片的存儲單元中，即便是掉電其信息亦不會丟失。相比於BIOS管理密碼，TPM安全芯片的安全性要大為提高。

TPM安全芯片除了能進行傳統的開機加密以及對硬盤進行加密外，還能對系統登錄、應用軟件登錄進行加密。比如MSN、QQ、網遊以及網上銀行的登錄信息和密碼，都可以通過TPM加密後再進行傳輸，這樣就不用擔心信息和密碼被人竊取。

我們可以加密本本上的任意一個硬盤分區，您可以將一些敏感的文件放入該分區以策安全。其實有些筆記本廠商採用的一鍵恢復功能，就是該用途的集中體現之一（其將系統鏡像放在一個TPM加密的分區中）。還有一些大型商業軟件公司(如：Microsoft)也會利用其作為加密分區的手段(如：著名的BitLocker)。

提供TPM安全芯片的廠商也不少，由於其不面對最終消費者，大家可能都比較陌生。由於國外對於TPM安全芯片的研發、製造起步較早，故而國外廠商在這方面有着相當大的優勢。國外生產的TPM安全芯片的主要廠家有：英飛凌、意法半導體（ST）、Atmel、華邦電子（收購美國國家半導體公司）等。國內廠商這方面的研發起步較晚，僅有聯想的“恆智”芯片以及兆日公司的產品。

有些朋友以為TPM只能管理、保存密鑰，功能不是太強，今後會不會沒有發展前途呀？事實是否定的。廣大筆記本廠商內置TPM更多的是防患於未然，畢竟支持TPM的系統還沒有出現，因而廣大廠商都是採用第三方軟件來實現TPM的部分功能，提供例如文件加解密等服務。在Vista正式發佈之後，TPM安全芯片將真正開始發揮其幕後英雄的本色，大量的系統安全功能也都將通過其來實現。而在將來，隨着微軟NGSCB技術的正式推廣，TPM將在真正意義上扮演PC的保護神，讓我們的電腦真正擺脱木馬、病毒的騷擾。看來得到軟硬件兩方面支持的TPM安全芯片今後前途無量，TPM安全芯片在今後的本本安全領域上的作用將更加凸現。

在2008年05月27日的Wedbush Morgan Securities年度高層會議上，雅達利公司創建者之一的諾蘭·布什內爾（Nolan Bushnell）稱，遊戲產業面臨的盜版氾濫問題，在過不久將隨着新型加密芯片的逐步普及而成為歷史。

“一種名為TPM的加密芯片即將被使用在今後的大部分電腦主板上。”布什內爾在會議上説道：“這就意味着遊戲產業將迎來一種全新的、絕對安全的加密方式，它無法在網絡上被破解也不存在註冊碼被散播的危險，它將允許我們在那些盜版極為嚴重的地區開拓巨大的新市場。”

布什內爾認為，電影和音樂的盜版很難被阻止，因為只要是“能看、能聽的就可以拷貝”。然而電子遊戲的情況則完全不同，由於這類產品與代碼的緊密聯繫性，使用TPM芯片將能夠完全阻止盜版遊戲的運行。

“一旦TPM芯片的普及率達到足夠高的水準，我們就可以開始看到在亞洲和印度等盜版氾濫地區正版軟件收入的逐步增長，而這在以前是幾乎是不可想象的。”

安全芯片是一項針對商業用户的安全技術。主要的優點是對存儲在安全芯片裏的數據進行高可靠性的加密處理，使這些數據很難被非法竊取。

IBM有一個專門的安全軟件：IBM Client Security Software，配合安全芯片使用，可以對用户的數據進行加密處理，將密鑰通過安全芯片加密後存儲在安全芯片中。通俗地講，就是將你設置的開機密碼、硬盤密碼、BIOS密碼、指紋信息、硬盤上數據加密使用的密鑰之類的全部再次加密後，存儲在安全芯片中，如果想要破解就需要首先破解安全芯片。

正常使用的時候完全可以不管它，如果不是通過CCS軟件主動使用安全芯片，完全可以當它不存在，也與安裝操作系統無關，安全芯片不需要任何的驅動程序。所謂把機器用成磚頭是指如果你丟失了硬件的密碼，比如開機密碼、BIOS密碼、硬盤密碼，因為首先要破解安全芯片，所以就比一般的機器更難破解了。

IBM提供了很多的安全功能來保護數據安全，比如硬盤密碼，如果設置了硬盤密碼，因為硬盤密碼是存儲在安全芯片裏，安全芯片是裝在主板上的，所以這塊硬盤就算被拆到別的機器上也無法讀出數據。如果你忘記了硬盤密碼，那這塊硬盤裏邊的數據就不可能再解密了，數據也就完全丟失。所以一般不要隨意設置密碼，如果設置了一定要牢記。

受信任的平台模塊 (TPM) 是加密協處理器，其中包含隨機數生成、加密密鑰的安全生成以及它們的使用限制的功能。 它還包括諸如遠程證明和密封存儲等功能。 TPM 的技術規範由受信任的計算組 (TCG) 來制定並公開發行。 最新版本的 TPM 2.0（2014 年 10 月發佈）主要對規範進行了重新設計，該版本添加了新的功能並修復了之前 TPM 1.2 的缺陷。 ^[1] 

採用 TPM 的計算機可以創建加密密鑰並對它們加密，這樣一來它們只能由 TPM 進行解密。 此過程（通常稱為“封裝”或“綁定”密鑰）可以幫助保護密鑰以避免泄露。 每個 TPM 都有一個主“封裝”密鑰（稱為存儲根密鑰），它存儲在 TPM 本身的內部。 在 TPM 中創建的密鑰的隱私部分從不暴露給其他組件、軟件、進程或者人員。 ^[1] 

採用 TPM 的計算機還可以創建一個密鑰，該密鑰不僅可被封裝而且還可以被綁定到特定平台測量。 只有在那些平台度量具有的值與創建該密鑰時具有的值相同時，才能取消覆蓋這種類型的密鑰。 此過程稱為將密鑰“封裝”到 TPM。 解密密鑰的過程稱為“解封”。 TPM 還可以對在 TPM 外部生成的數據進行密封和解封。 使用此封裝的密鑰和軟件（例如 BitLocker 驅動器加密），可以鎖定數據，直到符合特定的硬件或軟件條件為止。 ^[1] 

藉助 TPM，可保持密鑰對的私鑰部分獨立於操作系統控制的內存。 可以將密鑰封裝到 TPM，並且在解封並釋放該密鑰以供使用之前，可以就係統的狀態（定義系統”可信賴”的保證）提供某些保證。 因為 TPM 使用自身的內部固件和邏輯電路來處理指令，所以它不依賴於操作系統，也不會受操作系統或應用程序中可能存在的漏洞影響。 ^[1] 

TPM 規範已開發了兩次。 第一次，即從版本 1.1b 到版本 1.2 的開發，合併了由規範委員會要求/認可的新功能。 此種功能擴展形式的演變使得最終的 TPM 1.2 規範非常複雜。 最後，SHA-1（TPM 1.2 中最強的商業算法）加密缺陷的暴露導致有必要對規範進行更改。 從頭開始重新設計 TPM 體系結構，從而誕生更集成和統一設計的 TPM 2.0。 ^[1] 

相較於以前的 TPM 1.2，更改和增強功能如下所示：