مایکروسافت به فاصله کوتاهی از انتشار ویندوز 11 اعلام کرد تنها سامانه‌هایی قادر به نصب ویندوز 11 هستند که مجهز به تراشه TPM 2.0 هستند…

تراشه TPM چیست و چرا ویندوز 11 به آن نیاز دارد؟

مایکروسافت به فاصله کوتاهی از انتشار ویندوز 11 اعلام کرد تنها سامانه‌هایی قادر به نصب ویندوز 11 هستند که مجهز به تراشه TPM 2.0 هستند.

TPM چیست و چرا ویندوز 11 کاربران را مجبور به استفاده از آن می‌کند؟ مایکروسافت در زمان رونمایی از ویندوز 11 نشان داد که رابط کاربری این سیستم‌عامل جدید که قرار است در پاییز به شکل رسمی در اختیار کاربران قرار بگیرد به لحاظ ظاهری تفاوت زیادی نسبت به ویندوز 10 دارد. با این‌حال، این سیستم‌عامل جدید در ارتباط با قابلیت‌های امنیتی سخت‌گیرتر از ویندوز 10 است و به ویژگی‌های امنیتی خاصی نیاز دارد. دو مورد از این ویژگی‌ها وجود تراشه TPM و قابلیت Secure Boot است. با این‌حال ویندوز 11 تنها از نسخه 2.0 تراشه فوق پشتیبانی می‌کند. در شرایطی که ویندوز 11 به شکل رایگان در اختیار کاربران قرار می‌گیرد، اما به ملزومات سخت‌افزاری خاصی نیاز دارد. به‌طور مثال تنها سیستم‌هایی قادر به نصب ویندوز 11 هستند که پردازنده مرکزی آن‌ها نسل هشتم به بالاتر اینتل و رایزن 2000 و جدیدتر ای‌ام‌دی باشند. این‌گونه به نظر می‌رسد که ویندوز 11 قرار است نقش مهمی در اکوسیستم مایکروسافت بازی کند و به همین دلیل است که مایکروسافت روی ویژگی‌های امنیتی و سخت‌افزاری این سیستم‌عامل و سامانه‌هایی که قرار است ویندوز 11 روی آن‌ها نصب شود حساس است.

تراشه TPM چیست؟

ماژول پلتفرم مطمئن (TPM) سرنام Trusted Platform Module تراشه کوچکی در مادربورد است (شکل 1). هدف از توسعه این تراشه محافظت از کلیدهای رمزنگاری، اعتبارنامه‌های کاربران و سایر داده‌های حساس در پشت یک دیوار مستحکم سخت‌افزاری است تا بدافزارها و هکرها نتوانند به سادگی به اطلاعات حساس دسترسی پیدا کرده و آن‌ها را دستکاری کنند. عملکرد ریزتراشه فوق را می‌توان شبیه به صفحه شماره‌ای توصیف کرد که برای غیر فعال کردن زنگ هشدار خانه از آن استفاده می‌شود یا برنامه احراز هویتی که برای ورود به حساب بانکی از آن استفاده می‌کنید. اگر سیستمی از یک تراشه TPM و دیسک رمزگذاری شده استفاده کند، هنگامی که دکمه پاور را فشار می‌دهید مکانیزم رمزنگاری کامل دیسک (FDE) فعال می‌شود و باید در مدت زمان مشخص گذرواژه را وارد کنید تا به سیستم وارد شوید. در این حالت تراشه فوق یک کد منحصر به فرد تولید می‌کند که کلید رمزنگاری نام دارد. اگر فرآیند تطابق الگوها به درستی انجام شود، درایو رمزگشایی شده و سیستم راه‌اندازی می‌شود. اگر کلید مشکلی پیدا کند یا به‌طور مثال لپ‌تاپ دزدیده شود و سارق بخواهد داده‌های درایو را دستکاری کند سیستم راه‌اندازی نمی‌شود. هنگامی که سیستم به‌طور کامل راه‌اندازی شد، برنامه‌ها و سرویس‌هایی که نیازمند TPM هستند به‌طور خودکار از قابلیت‌های امنیتی آن استفاده می‌کنند. به‌طور مثال، فایرفاکس و کروم برای برخی عملکردهای پیشرفته از TPM استفاده می‌کنند و حتا برخی تولیدکنندگان چاپگرها نیز از قابلیت‌های امنیتی این تراشه بهره می‌برند.

بر مبنای این تعریف مشاهده می‌کنیم که تراشه TPM امنیت سامانه‌ها را به میزان قابل‌توجهی افزایش می‌دهد و یک‌لایه حفاظتی سخت‌افزاری پیرامون داده‌ها قرار می‌دهد تا کاربران برای محافظت از اطلاعات خود محدود به راه‌حل‌های نرم‌افزاری نباشند. کاربران از تراشه فوق می‌توانند برای رمزگذاری دیسک‌ها با استفاده از قابلیت بیت‌لاکر استفاده کنند. هنگامی که سرویس بیت‌لاکر با قابلیت‌های امنیتی TPM ادغام شود، تقریباً دسترسی به اطلاعات برای افراد غیرمجاز غیر ممکن می‌شود.

قدمت تراشه TPM

تراشه TPM یک فناوری جدید نیست و قدمت آن دست‌کم به ده سال قبل باز می‌گردد. تراشه TPM 1.2 از سال 2011 میلادی به دنیای کامپیوترهای شخصی و سرورها وارد شد، اما بیشتر برای لپ‌تاپ‌ها و ایستگاه‌های کاری استفاده می‌شد. با این‌حال، مایکروسافت در نظر دارد همراه با عرضه ویندوز 11 این سطح از محافظت را در اختیار تمامی کاربران اکوسیستم ویندوز قرار دهد. TPMها اشکال مختلفی دارند، اما آن‌گونه که شرکت Trusted Computing Group مسئول تعیین استانداردهای این تراشه به آن اشاره کرده، TPM منحصر به یک تراشه مجزا نیست که روی مادربورد نصب می‌شود و می‌تواند به شکل یک تراشه‌ فیزیکی یکپارچه در پردازنده اصلی یا کدی در میان‌افزار اجرا شود (شکل 2). در تمامی حالات امنیت TPM در سطح بالایی قرار دارد، زیرا برای اجرای پروتکل‌های امنیتی از محیطی مطمئن و مجزا از دیگر برنامه‌ها استفاده می‌کند. اینتل، ای‌ام‌دی و کوال‌کام از TPM‌های قابل اجرا در میان‌افزار استفاده می‌کنند. TPM به شکل مجازی نیز قابل استفاده است و در نرم‌افزاری مجزا اجرا می‌شود. با این‌حال، شرکت Trusted Computing Group استفاده از این مدل TPM را پیشنهاد نمی‌کند، زیرا در برابر دستکاری هکرها و مشکلات احتمالی سیستم‌عامل آسیب‌پذیر است.

ماژول پلتفرم مطمئن چه کاربردهایی دارد؟

اصلی‌ترین کاربرد ماژول TPM ساخت گذرواژه برای ورود به سیستم است. این تراشه به‌جای آنکه گذرواژه را در دیسک سخت یا درایو حالت جامد ذخیره‌سازی کند به شکل خودکار و توکار از آن محافظت می‌کند. اگر سیستمی مجهز به تراشه مذکور باشد، کاربران می‌توانند برای قفل سیستم یا فایل‌های خاص، کلیدهای گذرواژه ایجاد و آن‌ها را مدیریت کنند. کاربرانی که از سامانه‌هایی استفاده می‌کنند که اطلاعات حساس روی آن‌ها ذخیره می‌شود، این شانس را دارند تا برای محافظت از اطلاعات از ترکیب ابزار رمزنگاری بیت‌لاکر ویندوز همراه با ماژول فوق استفاده کنند. هنگامی که سیستم مجهز به تراشه فوق‌ و بیت‌لاکر را روشن می‌کنید، تراشه آزمایش‌هایی برای اطمینان از امن بودن شرایط برای بوت سیستم انجام می‌دهد. اگر TPM متوجه شود که دیسک سخت یا درایو حالت جامد جابه‌جا شده‌اند، سیستم را قفل می‌کند و در عمل اجازه دسترسی به سامانه را نمی‌دهد. لپ‌تاپ‌هایی که قابلیت خواندن اثر انگشت روی آن‌ها وجود دارد، به طور معمول اثر انگشت کاربر را در تراشه TPM ذخیره می‌کنند. البته کاربردهای TPM محدود به کامپیوترها و لپ‌تاپ‌های شخصی نیست. تراشه فوق به شکل گسترده‌ای در کارت‌خوان‌های هوشمندی که برخی شرکت‌ها برای احراز هویت از آن‌ها استفاده می‌کنند به کار گرفته می‌شود. از کاربردهای دیگر TPM می‌توان به مدیریت پیام‌های رمزنگاری شده یا دارای امضا دیجیتال در سرویس‌ ایمیل تاندربرد و اوت‌لوک، محافظت از گواهی‌نامه‌های SSL مورد استفاده توسط وب‌سایت‌ها در مرورگرهای فایرفاکس و کروم و دستگاه‌های مصرف‌کنندگان مثل چاپگر اشاره کرد.

چرا ویندوز 11 به تراشه TPM 2.0 نیاز دارد؟

ویندوز 11 اولین سیستم‌عامل مایکروسافت نیست که قصد دارد از مزایای بالقوه TPM استفاده کند، واقعیت این است که ویندوز 7 و ویندوز 10 نیز به شکل گسترده‌ای از تراشه فوق پشتیبانی می‌کردند. لپ‌تاپ‌ها و دسکتاپ‌هایی که در سازمان‌های بزرگ با خط‌مشی‌های امنیتی سخت‌گیرانه‌ای استفاده می‌شوند از مشتریان اصلی تراشه فوق هستند. در بیشتر مواقع TPMها عملکردی بهتر از کارت‌های هوشمندی دارند که کارمندان برای ثبت ورود و خروج خود به سازمان باید از آن‌ها استفاده کنند. برخی از قابلیت‌های امنیتی و سرویس‌های سیستم‌عامل‌ها نیز از TPM استفاده می‌کنند. یکی از شناخته‌شده‌ترین سرویس‌های امنیتی در این زمینه ویژگی امنیتی تشخیص چهره Windows Hello است که برای ورود به سیستم استفاده می‌شود. این قابلیت تنها زمانی قابل استفاده است که لپ‌تاپ مجهز به TPM باشد و روی سیستم فعال باشد. واقعیت این است که TPM گزینه به مراتب بهتری نسبت به روش‌های قدیمی ایمن‌سازی کامپیوترهای شخصی ویندوزی است. از جولای 2016 میلادی مایکروسافت پشتیبانی از TPM 2.0 را برای تمامی کامپیوترهای شخصی اجباری کرد و نسخه‌های مختلف ویندوز 10 نیز از آن استفاده می‌کردند. به بیان دقیق‌تر، از چهار سال پیش تا به امروز مایکروسافت به شکلی که برای کاربران مشکلی ایجاد نشود چگونگی استفاده بهینه از این تراشه در سیستم‌عامل ویندوز 10 را آغاز کرده تا مطمئن شود در نسخه بعدی بدون مشکل قادر به استفاده از آن است. اکنون زمان برداشت محصول فرارسیده و ویندوز 11 قرار است به شکل ملموس و حرفه‌ای از TPM برای ایمن‌سازی دستگاه‌های کاربران استفاده کند، اما چرا؟ پاسخ مثبت است. حمله‌های بدافزاری، باج‌افزاری، سرقت اطلاعات، روت‌کیت‌ها، بات‌نت‌ها و در نهایت ابزارهایی که قادر هستند گذرواژه‌های ساده را در مدت زمان کوتاهی بشکنند و از سد مکانیزم‌های امنیتی عبور کنند بلای جان سازمان‌های بزرگ شده‌اند. بهترین راهکار برای مقابله با این حمله‌ها، دفاع در پایه‌ای‌ترین سطح است و تاکنون هیچ مولفه‌ای به اندازه TPM در این زمینه موفق نبوده است. حتا UEFI که به عنوان جایگزین ایمنی برای بایوس شناخته می‌شد در چند سال گذشته در معرض تهدیدات بدافزاری قرار گرفت، با این‌حال TPM همچنان در برابر هکرها و بدافزارها مقاومت کرده و اجازه نداده است، هکرها یا سارقان به راحتی به سامانه‌ها دسترسی پیدا کنند. به دلیل همین مایکروسافت در این زمینه کاملا حساس و جدی است و تصمیم گرفته تا ویندوز 11 تنها روی کامپیوترها و لپ‌تاپ‌هایی که مجهز به تراشه TPM 2.0 هستند اجرا می‌شود. اگر ابزار PC Health Check را برای بررسی سازگاری ویندوز 11

دانلود و اجرا کنید، تنها در صورت فعال بودن TPM 2.0 و سازگاری سایر ملزومات سخت‌افزاری به شما نشان می‌دهد که سیستمتان آماده دریافت به‌روزرسانی بزرگ بعدی مایکروسافت خواهد بود. علاوه بر این ابزار فوق اطلاعات دقیقی در ارتباط با ویژگی‌های فنی سیستم در اختیارتان قرار می‌دهد. البته مایکروسافت در مستنداتی که چند وقت پیش منتشر کرد به این نکته اشاره کرد که برخی کامپیوترهای شخصی که مجهز به TPM 1.2 هستند تحت شرایط خاص قادر به نصب ویندوز 11 هستند. با این حال، در زمان نصب به کاربر هشدار داده می‌شود که بهتر است ویندوز 11 را نصب نکنند.

چه سامانه‌هایی از TPM 2.0 پشتیبانی می‌کنند؟

اگر کامپیوتر یا لپ‌تاپی که از آن استفاده می‌کنید از مشخصات سخت‌افزاری موردنیاز برای اجرای ویندوز 11 پشتیبانی می‌کند به احتمال زیاد از TPM 2.0 نیز پشتیبانی می‌کند. به بیان دقیق‌تر اگر کامپیوتر خود را بعد از سال 2011 خریداری کرده‌اید بدون تردید مادربورد آن مجهز به تراشه TPM 2.0 است، اگر تاریخ خرید کامپیوتر به قبل از این سال باز می‌گردد مایکروسافت پیشنهاد کرده که ویندوز 11 را روی آن نصب نکنید. با توجه به این‌که TPMها انواع مختلفی دارند، به‌طور قاطع نمی‌توان گفت که آیا کامپیوتری که از آن استفاده می‌کنید از TPM 2.0 پشتیبانی می‌کند یا خیر. با این‌حال، ویندوز 11 وضعیت امنیتی پردازنده را بررسی می‌کند و اگر شرایط ایده‌آل بود فرآیند نصب را آغاز می‌کند.

این امکان وجود دارد تا به شکل جانبی TPM را به کامپیوتر اضافه کرد؟

اگر کاربر حرفه‌ای هستید و هراسی از دست‌کاری تنظیمات امنیتی سخت‌افزاری و نرم‌افزاری بایوس سیستم ندارید، به احتمال زیاد این شانس را دارید تا تراشه TPM 2.0 را به مادربورد اضافه کنید. برخی از مادربوردها هدری به نام TPM دارند. قیمت ماژول TPM برای برخی از مدل‌های مادربوردها کمتر از 50 دلار است (شکل 3). البته به این نکته دقت کنید که اضافه کردن TPM به مادربورد به سادگی خرید ماژول و اتصال آن به هدر فوق نیست و باید مطمئن شوید در بایوس تنظیمات را به درستی پیکربندی کرده‌اید تا سیستم‌عامل توانایی شناسایی ویندوز را داشته باشد. فرایند اضافه کردن ماژول به نوع مادربورد و پردازنده مرکزی بستگی دارد و قاعده یکسانی در این مورد وجود ندارد. به‌طوری که مایکروسافت در وب‌سایت این شرکت اعلام کرده که فرایند فعال‌سازی TPM کار ساده‌ای نیست و کاربر مجبور است تنظیماتی مانند Technology Platform Trust را در بایوس کامپیوترهای مبتنی بر اینتل و تنظیمات fTPM را برای کامپیوترهای مجهز به ای‌ام‌دی فعال کند. اگر مادربورد کامپیوتر شخصی قابلیت اتصال تراشه TPM 2.0 را ندارد این امکان وجود دارد تا TPM 2.0 را در محیط میان‌افزار سیستم‌عامل اجرا کرد، البته این راه‌حل فرایندی مبتنی بر آزمون و خطا است.

آیا فعال‌سازی TPM مانع اجرای لینوکس می‌شود؟

خوشبختانه تراشه TPM انعطاف‌پذیری زیادی با تمامی برنامه‌ها و کارهایی دارد که روی کامپیوتر شخصی انجام می‌دهید و تنها درصد کمی از کاربران تحت تأثیر فعال‌سازی تراشه TPM قرار می‌گیرند. شرکت TCG از مدت‌ها قبل الزامات موردنیاز برای سیستم‌عامل لینوکس را تعریف کرده است؛ بنابراین کاربرانی که در نظر دارند روی کامپیوتر شخصی از ویندوز 11 به توزیع‌های مختلف لینوکس مهاجرت کنند، در حالی که TPM روی آن فعال است مشکل خاصی در این زمینه ندارند. البته بسته به توزیع لینوکسی که از آن استفاده می‌کنید، پشتیبانی متفاوت است. بااین‌حال، هنوز به درستی مشخص نیست TPM در محیط‌هایی که قابلیت بوت دوگانه چه عملکردی خواهد داشت.

TPM قابلیت‌های ویندوز 11 و برنامه‌های کاربردی را محدود می‌کند؟

یکی از مهم‌ترین پرسش‌های مطرح شده توسط کاربران این است که آیا فعال‌سازی TPM 2.0 برای اجرای ویندوز 11 الگوبرداری از کاری است که اپل انجام داده و قرار است محدودیت‌هایی در زمینه دریافت به‌روزرسانی‌ها و ویژگی‌های امنیتی گریبان‌گیر آن‌ها شود؟ به‌طور مثال، مک‌هایی با تراشه T2 به قابلیت‌های زیادی مثل تشخیص اثرانگشت و پردازش سیگنال پیشرفته مجهز هستند که مک‌های بدون تراشه از این قابلیت‌ها بی بهره هستند. این وضیعت در دنیای ویندوز نیز وجود دارد. به‌طور مثال، در ویندوز 10 قابلیت تشخیص چهره Windows Hello تنها در دسترس کاربرانی قرار دارند که سامانه‌ آن‌ها مجهز به تراشه TPM است. به احتمال زیاد پس از عرضه رسمی ویندوز 11 و عرضه نسخه‌های بعدی TPM، مایکروسافت تجربه به‌کارگیری قابلیت‌های تراشه فوق را بسط خواهد داد و قابلیت‌هایی به سیستم‌عاملش اضافه خواهد کرد که حتما به وجود تراشه TPM نیاز دارند یا برخی ویژگی‌های امنیتی را منوط به TPM خواهد کرد. البته چنین تغییراتی برای کاربران عادی مشکل خاصی ایجاد نمی‌کند یا حداقل در کوتاه‌مدت دردسرآفرین نیستند، اما پس از عرضه رسمی ویندوز 11 و همراه با انتشار به‌روزرسانی‌های بعدی شاهد تغییرات بزرگی خواهیم بود.

منبع:Shabakeh-mag

آموزش دوره مایکروسافت