TPM 2.0 požadované Windows 11 už možná máte, aniž byste to věděli. Dnešní procesory ho mají integrované v BIOSu/UEFI
Microsoft odhalil novou verzi OS, Windows 11. Kromě novinek a zlepšení ale také má vyšší hardwarové nároky než Windows 10. Ne úplně na výkon, spíš na zvláštní výbavu, kterou nemusí každé PC mít. Největší pozdvižení způsobilo, že W11 dle Microsoftu vyžaduje součástku TPM 2.0 (neboli Trusted Platform Module), po níž se teď řada lidí shání. Ale nemusíte se stresovat, protože ve skutečnosti ji už nejspíš máte, jen ji stačí zapnout. Jak na to?
Pokud vás požadavky Windows 11 zneklidnily, v prvé řadě zachovejte klid. Zatím není jasné, zda se třeba ještě některé požadavky nezmírní tím, že by je Microsoft uplatňoval jenom u nově vydávaných počítačů a notebooků, ale něco třeba odpustil při upgradu staršího počítače zejména skládaného z komponent. Když se podíváte do seznamů podporovaných CPU, jsou momentálně hodně drsné, chybí v nich i třeba Ryzeny první generace (a APU generace 2000) nebo Intel Core 7. generace. Minimálně někde snad ale půjde neoficiálně používat i starší CPU, nebo aspoň doufáme.
TPM moduly a TPM Headery
Každopádně teď se ještě budeme věnovat jenom požadavku na TPM 2.0, který zdá se spustil menší paniku a lidé začali shánět moduly TPM 2.0. Už se dokonce objevily i případy zvyšování cen a „scalperů“, kteří se snaží na jinak pár dolarů/eur stojících modulech TPM rýžovat mnohanásobky.
Thanks to Windows 11, people are scalping TPM2.0 modules as well now.
$24.90 ➡ $99.90 in just 12 hours pic.twitter.com/9TTHC2c47w
— Shen Ye (@shen) June 25, 2021
Trusted Platform Module je malý čip, který slouží k uchovávání šifrovacích klíčů, certifikátů a podobných citlivých kousků dat, používá ho třeba šifrování Bitlocker a je možné, že ve Windows 11 se na něj bude spoléhat více komponent – což je asi důvod, proč by ho Microsoft mohl požadovat. Potíž je v tom, že ne každé PC ho má. Před lety pro něj základní desky mívaly – bohužel také ne všechny – speciální vývod na desce, do kterého se zasunul malý modul s čipem TPM. Najdete ho na PCB nebo v manuálu označený „TPM Header“.
Právě po těchto modulech se teď začali lidé hodně shánět a řeší třeba jejich kompatibilitu. Raději je ale překotně nekupujte. Je problém v tom, že konektory se liší mezi jednotlivými výrobci. A také se liší verze rozhraní, které používají. Starší desky pro Intel například mají TPM připojené přes sběrnici LPC (jako SuperIO čip), ale novější přes sběrnici SPI – to nebude kompatibilní a možná byste i riskovali i poškození.
Pokud byste chtěli na desku s prázdným vývodem TPM doplnit tento modul, musíte z manuálu nebo webu výrobce zjistit přesný typ modulu, který je deskou kompatibilní, a koupit ten. Rozhodně nezkoušejte kupovat „na blind“ modul jednoho výrobce, když máte desku jiného.
Ve skutečnosti nejspíš TPM 2.0 kupovat nemusíte, máte ho ve firmwaru
Realita je ale taková, že pokud máte aktuální nebo jen pár let starý procesor a desku, pravděpodobně vůbec TPM dokupovat nemusíte. Už pár let totiž procesory přímo podporují tzv. funkci fTPM (Firmware TPM), který fungování modulu TPM 2.0 implementuje na úrovni firmwaru desky a procesoru. Žádný další hardware už není třeba, stačí jenom v BIOSu najít tuto volbu a zapnout ji. Obvykle není ve výchozím stavu aktivní, takže se vaše PC může tvářit, že TPM 2.0 nemá, ale opravdu stačí zajít do firmwaru a zapnout potřebnou možnost.
Nejdřív je dobré se podívat, jestli vůbec něco musíte řešit. Možná už fTPM máte zapnutý, nebo máte starší OEM počítač či notebook, který má hardwarový čip TPM napevno osazený. Nejdřív tedy ověříme, zda je TPM 2.0 přítomno a zapnuto. Otevřete Nastavení Windows 10, sekci „Aktualizace a zabezpečení“, tam zvolte „Zabezpečení Windows“, dále „Zabezpečení zařízení“ a v okně, které na vás vyskočí, se podívejte na „Procesor zabezpečení“, klikněte na „Podrobnosti o procesoru zabezpečení“. Pokud tato volba není vidět, znamená to, že TPM nemáte nebo není zapnuté.
Pokud TPM máte, vypadá to takto:
Tam už uvidíte detaily vašeho TPM. Pokud se vám ukazuje to co mě a u řádku „Verze specifikace“ máte „2.0“, tak už máte hotovo, TPM 2.0 již máte – hardwarové nebo firmwarové.
Jiná a rychlejší verze, jak se k této informaci proklikat, je zmáčknout klávesu Windows a „R“, čímž se otevře dialog pro spuštění příkazu. Napište „tpm.msc“ bez uvozovek a máčkněte enter, čímž se otevře toto okno. Opět můžete vidět „Verze specifikace“, pokud 2.0, máte vyhráno.
Jak zapnout TPM 2.0 v BIOSu (UEFI)
Pokud volbu nemáte aktivní, budete muset do BIOSu desky, přesněji do nastavení jejího UEFI firmwaru, protože dnes máte místo BIOSu UEFI, jen tomu často ze zvyku pořád říkáme BIOS. V manuálu desky nebo na internetu se podívejte, jak se do nastavení UEFI dostat, obvykle je to držením určité klávesy (Del, F2, F10 a podobné) při spouštění počítač (ne při probuzení ze spánku, musíte provést restart). Alternativa je použít volbu z Windows (dělá se to přes možnost „Změnit možnosti spuštění s upřesněným nastavením“).
Postup pro AMD
Volba zapnutí fTPM či Firmware TPM bývá na různých místech. Moje deska Gigabyte ji například má v nastavení „Peripherals“ pod označením „AMD CPU fTPM“. U Asusu se zdá se možnost nachází v oddělení „Advanced“ a dále „AMD fTPM configuration“.
V těchto volbách buď může být nabízena volba zapnutí nebo vypnutí fTPM, ale také alternativně může jít o volbu mezi „Discrete TPM“ a „Firmware TPM“. Pokud fyzický modul TPM nemáte, logicky chcete zapnout volbu Firmware TPM.
Postup pro Intel
U Intelu se sice také někdy hovoří o „Firmware TPM“, ale v BIOSu nemusíte volbu najít pod tímto jménem, Intel si totiž tuto funkcionalitu překřtil na „Platform Trust Technology“, neboli PTT. V BIOSech se proto volba většinou objevuje pod tímto jménem, hledejte tedy PTT (nebo tu dlouhou verzi Platform Trust Technology). V případě Intelu jinak není tato funkce provozována procesorem, ale čipsetem, což je však jen implementační detail. Nicméně z tohoto důvodu najdete nastavení fTPM, respektive PTT mezi volbami pro čipovou sadu, pod označením „Platform Controller Hub“ nebo PCH Options/Settings a podobně.
Například na deskách Asus se tato forma firmwarového TPM zapíná v sekci „Advanced“, dále „PCH-FW Configuration“ a tam byste měli (doufejme) nalézt možnost PTT.
Někdy asi budete mít možnost prostě zapnout PTT, jindy může být volba mezi „fPTT“, tedy firmwarovým PTT a „dPTT“ nebo discrete PTT, což znamená samostatný modul. Zvolení fPTT zapne firmwarový modul TPM, který my chceme.
Volby zapínající fTPM či (f)PTT se mohu jmenovat různě, takže pokud hned nenajdete, nezoufejte. Zkuste zagooglit označení vaší desky a „PTT“ nebo „fTPM“. Případně se můžete na umístění této volby v BIOSu dotázat podporu výrobce, ale hledání na internetu bude asi obvykle rychlejší.
Které procesory umožňují zapnout TPM 2.0 v BIOSu (UEFI)?
Ještě než předchozí postup vyzkoušíte, asi bude dobré se podívat na to, u kterých generací procesorů a jejich platforem je tato volba vůbec dostupná. U úplně starého hardwaru nepochodíte. Například u procesorů AMD FX a starších APU na bázi Piledriveru, Steamrolleru a Excavatoru (různé A6, A8, A10) funkce fTPM ještě nebyla.
Na platformě AMD by mělo firmwarové TPM 2.0 být dostupné až od platformy AM4, a to s procesory Ryzen nebo Athlony majícími architekturu Zen. Mělo by to být možné použít už od A320/B350/X370 desek.
Procesory před Zenem by mohly vyžadovat skutečně zakoupení onoho modulu a osazení do headeru na desce – pokud ho ovšem deska má!
Na platformě Intel by to mělo být ještě lepší. Zdá se, že PTT (Platform Trust Technology) by měly mít už některé procesory Haswell, respektive jejich čipsety (ale zřejmě jen ty pro notebooky) a také by ji měly umět moderní out-of-order Atomy a na nich založené Celerony a Pentia od 22nm čipu Bay Trail (s architekturou Silvermont). Tudíž i pozdější lowendové a úsporné SoC by měly být schopné PTT zapnout – za podmínky, že tuto volbu výrobce desky nebo notebooku v UEFI poskytuje. Je možné, že někdy se na to výrobce vyflákl a bohužel tuto možnost nemáte šanci zapnout, i když by ji hardware uměl.
U desktopových počítačů je volba PTT zdá se přítomná až u generace procesorů Skylake a desek pro ně. Čipsety B150, Z170 i H110 tuto technologii podporují. Máte-li tedy počítač na bázi Skylake (Intel Core 6. generace) a novější, určitě po PTT zapátrejte, vaše deska a její BIOS/UEFI už by tuto možnost mohla nabízet.
Starší počítače s procesorem Haswell nebo Sandy Bridge a Ivy Bridge opět zřejmě už budou odkázané na samostatný přídavný modul TPM zasunutý do TPM headeru. Nicméně opět bych zopakoval, ať raději počkáte na vyjasnění situace a zda se nakonec neukáže, že třeba Windows 11 budou fungovat i bez TPM. Nebo zda se třeba nakonec nerozhodnete, že ani Windows 11 nepotřebujete.
Microsoft potvrdil, že podpora Windows 10 bude udržena až do roku 2025, takže po vydání Windows 11 bude možné poměrně dlouhou dobu dál fungovat i bez tohoto upgradu. Všechny populární aplikace by měly na W10 dál fungovat, takže se jen budete muset smířit, že váš OS bude mít starý vzhled bez některých nových, ale nijak kritických prvků.
UEFI, GPT a Secure Boot povinné
Jinak také pozor na to, že TPM není jediný problematický požadavek Windows 11. Microsoft také uvádí požadavek na UEFI. Takže pokud máte desku s klasickým standardním BIOSem, třeba s Phenomem, AMD FX nebo Intel Core 2, tak máte smůlu kvůli tomuto a je zbytečné shánět TPM. Dále je v požadavcích také grafika s podporou DirectX 12 a ovladačem typu WDDM 2.0. To znamená GeForce alespoň generace 400/500/600 (Fermi nebo novější), Radeon HD 7000 (architektura GCN – u integrovaných grafik pak APU Kabini nebo Kaveri) nebo novější, nebo grafiku Intel asi až od generace procesorů Skylake (Haswelly dřív DX12 podporovaly, ale Intel podporu odstranil kvůli bezpečnostní zranitelnosti, kterou otevírala). Pokud toto nesplňujete, tak opět nemá smysl teď řešit TPM.
Kromě toho, že musí vaše deska/notebook mít firmware typu UEFI, také Windows 11 vyžaduje, aby v režimu UEFI také bootovala. Nesmí tedy být zapnutá emulace legacy BIOSu, která se často označuje jako CSM. Tu tedy musíte vypnout (ale pozor, pokud jste v tomto režimu nainstalovali Windows, přestaly by vám fungovat; tuto změnu v nastaveních tedy udělejte až předtím, než budete Windows 11 instalovat a po záloze svých dat). S tímto souvisí, že také musíte mít operační systém nainstalovaný na disku a oddílu typu GPT, nikoliv MBR.
Další požadavek je, že pro Windows 11 musí být zapnutý Secure Boot. Ten znamená, že UEFI při spouštění počítače ověřuje, zda je zavaděč a potažmo Windows legitimní tím, že u nich ověří kryptografický podpis proti klíčům, které má uložené v sobě. Zabraňuje to tomu, aby vám nějaký malware podstrčil infikované jádro operačního systému. Při použití Secure Boostu to bude detekováno a kompromitovaná binárka se nespustí. Secure Boot bývá považován za překážku či komplikaci při instalaci Linuxu, ale to je jen vedlejším produktem a dnes již Linuxové distribuce také Secure Boot běžně podporují a nebrání jim ve fungování.
Secure Boot se také zapíná v nastaveních firmwaru (UEFI) základní desky. Nebudeme to už komplikovat dlouhým popisem, pokud máte problémy toto nastavení najít, pohledejte ho v manuálu desky (v PDF verzi, kde s dá vyhledávat). Secure Boot naštěstí není komplikovaný a výrobci ho neoznačují nějakými jinými názvy, a současně je dobrá zpráva, že by ho měly umět prakticky všechny desky a notebooky s UEFI firmwarem, na rozdíl od fTPM.
TPM 2.0 nebo jen TPM 1.2?
Ačkoliv se ve většině zpráv i dokumentů objevuje informace, je bude potřeba TPM 2.0, objevují se i konfliktní zprávy, že by mohlo dokonce stačit i starší zařízení TPM 1.2. Opět tedy opakujeme, že asi zatím není třeba se stresovat. Do vydání Windows 11 zbývají dlouhé měsíce, je klidně možné, že se ještě nějaké požadavky změní. Proto bude lepší s těmito přípravami počkat až na pozdější dobu, protože se jinak může stát, že si teď budete dělat zbytečné starosti. Jiná věc je, pokud byste teď stavěli či kupovali nové PC a vybírali komponenty a specifikace. Pak se raději zařiďte tak, aby aktuální požadavky na velikost RAM, podporu UEFI Secure Boostu, DirectX 12 grafiku a také TPM 2.0 (klidně ale firmwarové, hardwarové nepotřebujete) byly splněné.
Zdroje: Microsoft, TenForums, Asus, MSI, Heureka.cz, Gigabyte, vlastní
Jan Olšan, redaktor Cnews.cz
Bylo by hezke udelat clanek co TPM umi, mozne aplikace. A jak to jde zneuzit.
Napriklad vyvoj hardwaroweho udelatka ktere desifruje vase data, dulezity nastroj pro statni organy.
Nebo tvorbu unikatni identifikace zarizeni, jako IMEI pro mobily. Kazde PC ktere komunikuje po siti, pak pujde jednoznacne identifikovat po celou dobu zivotnosti.
Nebo pro tvorbu sooftwaru zamceneho DRM. Licencni klic zamceny pomoci TPM nehacknete. Skvely navyseni prijemu z MS online storu ze? a take v podstate konec stahovani programu/filmu/hudby z neautorizovanych zdroju.
Jiiste tohle vse neprijde najednou, doporucene je TPM cip Microsoftem od roku 2016. Teprve po 5 letech a dostatecne penetraci backdoor chipu se priistupuje k pozadavku vynuceni.
Vďaka za článok!
Ak to chápem správne, moja B450 doska má aj fTPM aj TPM konektor. Rozdiel je v tom, že ak do fTPM systém bude ukladať šifrovacie kľúče, budem mať problém ak vymením procesor. Preto je asi na doske aj možnosť HW TPM, kde teoreticky by stačilo dať ten chip do inej kompatibilnej dosky, alebo na pôvodnej bezproblémov vymeniť CPU, ako sa teraz chystám (čakám na) Ryzen APU 5000.
Za mňa TPM nechcem ani v jednej forme. Viem si predstaviť, že jediné čo mi to prinesie, nemožnosť len tak preniesť disk z jedného PC do druhého, zaktualizovať ovládače a fungovať ďalej. Bude to fungovať ako s prehliadačmi, keď sa neprenášajú uložené heslá tak ako v minulosti ani pri prenosných verziách. Je to naviazané na konkrétny systém.
Systém bude tak bezpečný, že keď sa s ním niečo stane, budem v zadnici.
TPM som sa nevenoval, viem že sa dá použiť pri šifrovaní, ale zároveň je to riziko pre prenosné disky. Preto som vždy vyberal software šifrovanie.
Ešte raz vďaka za článok, o fTPM som sa doteraz nezaujímal, túto položku som prehliadal a aj Gigabyte ju defaultne necháva vypnutú. Čakajú nás zaujímavé časy. Ešte presadiť, aby systém bol naviazaný na biometrické údaje, nech sa dá dokonale stotožniť s konkrétnou osobou.
Ten šifrovací klíč a jiná data nebudou uložené v CPU, to na to nemá nevolatilní úložiště (proto se aktualizace mikroódu musí z OS nebo desky nahrávat při každém bootu).
Pokud mám správné informace, tak při použití fTPM poskytuje operační systém nebo zavaděč kousek místa na SSD/HDD pro data fTPM (jsou tam samozřejmě uložená zašifrovaně). Takže výměna CPu je neohrozí. Naopak by tedy mělo fungovat přenést disk do jiného PC, ale teda za předpokladu, že nemá nějakou nekompatibilní implementaci TPM, která by ty data hledala na jiném místě nebo měla jiný formát dat.
Vďaka za odpoveď. Ak to bude tak, potom niet problém. Naučíme sa niečo nové. Najlepšie by bolo, keby to boolo len voliteľné. Spomenul som si, že mám jeden externý disk zašifrovaný BitLockerom. Zabudol som po rokoch na to, spomenul si až po jeho pripojení ku inému PC. Doma rozhodne nechcem šifrovaný PC. Uvidíme jak to Microsoft porieši a prečo tá podmienka na TPM.
Ešte raz vďaka za článok i odpoveď! Pekný víkend!
CPU nema, ale deska ma … nejak se mi nechce zdat, ze by to pouzivalo pripojene disky misto eMMC na desce kde jsou treba hodnoty BIOS, ulozene profily a dalsi veci co se nevypaluji do firmware.
Musím se opravit. Sice se dá najít informace, že se používá úložiště v systémovém disku, ale minimálně některé desky klíče ukládají do části paměti Flash (eMMC to není, měla by to být jen Flash na rozhraní SPI) určené pro BIOS. (Taky jsem si to myslel, když jsem ten komntář začal psát, ale pak jsem si to chtěl ověřit…)
Třeba Asus uvádí, že ukládá do flash pro BIOS.
https://pbs.twimg.com/media/E4rH2TlWUAci7aq?format=jpg&name=orig
Upozorňuje taky, že kdybyste vyměnili čip s BIOSem, tak přijdete o klíč a nebudete moci otevřít SSD, pokud bylo šifrované Bitlockerem. Ale není tam zmínka o flashování nové verze BIOSu, takže zřejmě pokud použijete utilitu od výrobce desky, tak ta pohlídá, aby se ta část nepřepsala. (Pokud byste použili externí programátor nebo přepsali mimo počítač celý čip flash, tak o ten klíč ale přijdete).
Toto je hodne nedokumentovana oblast, z logiky veci by snad kazda deska co podporuje ukladani Win klicu a UEFI Secure Boot mela mit nejakej ten flash cip, ze to neni jen u ASUSu … osobne se nedivim, ze existuji snahy o Open Source pocitace, pac cim modernejsi system, tim vetsi black box.
Dekuji za krasny clanek. Muj problem je trosicku z jineho testa. Mam Win 11, mam v UEFI Bios-e nastavenou funkci Firmware TPM (na Asus ROG Strix Z370-F Gaming) vse funguje. Najednou po updatu Win 11 na build 22000.120 se neco podelalo. Po zapnuti PC nenabootuje, ale zustane stat v Bios-e s tim, ze mam stisknou F1 pro nastaveni. V Bios zjistuji, ze se me Firmware TPM zmenil na Discrete TPM. Nastavim, ulozim, reset a uspesny start PC az do doby pokud PC nevypnu. Potom vse od zacatku. Zkousel jsem nejnovejsi Bios 3004 pro Win 11 nepomohlo, problem pretrvava. Ze by zla baterie na MB? Uvidim, pokud se to nezmeni s dalsim update (nyni uz mam build 22000.132), tak si asi koupim novou baterii.
Pratele prominte za zmatecny komentar. Jak se nakonec ukazalo problem nebyl na strane Microsoftu, ale v HW meho PC.
Pocitac byl vyrobeny v listopadu 2017 a me ani ve snu nenapadlo, ze za 4 roky se mi znehodnoti batere na zakladni desce.
Po vymene baterie je vse v poradku. Zaroven jsem mel moznost se presvedcit kolik prachu se dostane do ventilatoru a take do
radiatoru pro chlazeni CPU a samozrejme do chladice graficke karty.