Как настроить и использовать криптопроцессор TPM на компьютере

Во многих компьютерах и ноутбуках сегодня можно встретить дополнительный чип, который называется TPM. В операционной системе он определяется в разделе "Устройства безопасности". Что это за зверь такой и для чего он, собственно, нужен - поговорим сегодня.

Статьи по теме:

Как настроить и использовать криптопроцессор TPM на компьютере
Как запустить службы криптографии на компьютере?
Как правильно инициализировать УЭК

Вопрос « Фотошоп CS3» - 1 ответ

Доверенный платформенный модуль, или TPM (trusted platform module) - это отдельный микрочип на системной плате компьютера, который выполняет специфический круг задач, связанных с криптографией и защитой компьютера.

Например, с помощью криптопроцессора TPM можно осуществлять шифрование жёсткого диска компьютера. Конечно, это может делать и центральный процессор, но тогда ему придётся выполнять больше задач, и скорость шифрования и дешифрирования будет гораздо ниже. Аппаратно реализованное шифрование в модуле TPM происходит практически без потери производительности.

Также TPM может защищать учётные данные и проверять программы, запущенные в системе. Предотвращает заражение руткитами и буткитами (разновидности вредоносных программ, которые проникают в компьютер до загрузки операционной системы или скрывают своё присутствие в системе, и потому не могут быть распознаны системой), следя за тем, чтобы конфигурация компьютера не была изменена без ведома пользователя.

Кроме того, каждый криптографический модуль TPM имеет уникальный идентификатор, который записан прямо в микросхему и не может быть изменён. Поэтому крипточип может использоваться для проверки подлинности при доступе к сети или какому-либо приложению.

TPM может генерировать стойкие ключи шифрования, когда это требуется операционной системе (ОС).

Но прежде чем использовать модуль TPM, его необходимо настроить. Настройка модуля сводятся к нескольким простым действиям.

Во-первых, чип нужно задействовать в BIOS компьютера. Для этого зайдите в BIOS и перейдите в раздел, связанный с безопасностью. Хотя BIOS может существенно отличаться на разных компьютерах, как правило, раздел с настройками безопасности называется "Security". В этом разделе должна быть опция, которая называется "Security Chip".

Настройки безопасности в BIOS

Модуль может находиться в трёх состояниях:

Выключен (Disabled).
Включён и не задействован (Inactive).
Включён и задействован (Active).

В первом случае он не будет виден в операционной системе, во втором - он будет виден, но система не будет его использовать, а в третьем - чип виден и будет использоваться системой. Установите состояние "активен".

Тут же в настройках можно очистить старые ключи, сгенерированные чипом. Это может пригодиться, если вы, например, захотите продать свой компьютер. Учтите, что стерев ключи, вы не сможете восстановить данные, закодированные этими ключами (если, конечно, вы шифруете свой жёсткий диск).

Очистка памяти чипа TPM

Теперь сохраните измнения и перезагрузите компьютер ("Save and Exit" или клавиша F10).

После загрузки компьютера откройте диспетчер устройств и убедитесь, что доверенный модуль появлися в списке устройств.

Чип TPM в диспетчере устройств Windows

Осталось инициализировать чип в операционной системе. Для этого нужно открыть оснастку управления модулем TPM. Нажмите кнопки Windows+R (откроется окно "Выполнить") и введите в поле ввода tpm.msc. Запустится оснастка "Управление доверенным платформенным модулем (TPM) на локальном компьютере". Здесь, кстати, можно почитать дополнительную информацию - что такое TPM, когда его нужно включать и выключать, менять пароль и т.д.

Оснастка для управления чипом TPM

В правой части оснастки находится меню действий. Нажмите "Инициализировать TPM...". Если эта возможность не активна, значит, ваш чип уже инициализирован.

Инициализация оборудования безопасности для TPM Когда запустится мастер инициализации TPM, он предложит создать пароль. Выберите вариант "Автоматически". Программа инициализации модуля TPM сгенерирует пароль. Сохраните его в файле или распечатайте.

Пароль владельца для TPM создан Теперь нажмите кнопку "Инициализировать" и немного подождите. По завершении программа сообщит об успешной инициализации модуля. После завершения инициализации все дальнейшие действия с модулем - отключение, очистка, восстановление данных при сбоях - будут возможны только с помощью пароля, который вы только что получили.

Собственно, на этом заканчиваются возможности управления модулем TPM. Все дальнейшие операции, которые будут требовать возможности чипа, будут происходить автоматически - прозрачно для операционной системы и незаметно для вас. Всё это должно быть реализовано в программном обеспечении. В более свежих операционных системах, например Windows 8 и Windows 10, возможности TPM используются более широко, чем в более старых ОС.