تراشه TPM چیست و چرا ویندوز 11 به آن نیاز دارد؟
مایکروسافت به فاصله کوتاهی از انتشار ویندوز 11 اعلام کرد تنها سامانههایی قادر به نصب ویندوز 11 هستند که مجهز به تراشه TPM 2.0 هستند.
TPM چیست و چرا ویندوز 11 کاربران را مجبور به استفاده از آن میکند؟ مایکروسافت در زمان رونمایی از ویندوز 11 نشان داد که رابط کاربری این سیستمعامل جدید که قرار است در پاییز به شکل رسمی در اختیار کاربران قرار بگیرد به لحاظ ظاهری تفاوت زیادی نسبت به ویندوز 10 دارد. با اینحال، این سیستمعامل جدید در ارتباط با قابلیتهای امنیتی سختگیرتر از ویندوز 10 است و به ویژگیهای امنیتی خاصی نیاز دارد. دو مورد از این ویژگیها وجود تراشه TPM و قابلیت Secure Boot است. با اینحال ویندوز 11 تنها از نسخه 2.0 تراشه فوق پشتیبانی میکند. در شرایطی که ویندوز 11 به شکل رایگان در اختیار کاربران قرار میگیرد، اما به ملزومات سختافزاری خاصی نیاز دارد. بهطور مثال تنها سیستمهایی قادر به نصب ویندوز 11 هستند که پردازنده مرکزی آنها نسل هشتم به بالاتر اینتل و رایزن 2000 و جدیدتر ایامدی باشند. اینگونه به نظر میرسد که ویندوز 11 قرار است نقش مهمی در اکوسیستم مایکروسافت بازی کند و به همین دلیل است که مایکروسافت روی ویژگیهای امنیتی و سختافزاری این سیستمعامل و سامانههایی که قرار است ویندوز 11 روی آنها نصب شود حساس است.
تراشه TPM چیست؟
ماژول پلتفرم مطمئن (TPM) سرنام Trusted Platform Module تراشه کوچکی در مادربورد است (شکل 1). هدف از توسعه این تراشه محافظت از کلیدهای رمزنگاری، اعتبارنامههای کاربران و سایر دادههای حساس در پشت یک دیوار مستحکم سختافزاری است تا بدافزارها و هکرها نتوانند به سادگی به اطلاعات حساس دسترسی پیدا کرده و آنها را دستکاری کنند. عملکرد ریزتراشه فوق را میتوان شبیه به صفحه شمارهای توصیف کرد که برای غیر فعال کردن زنگ هشدار خانه از آن استفاده میشود یا برنامه احراز هویتی که برای ورود به حساب بانکی از آن استفاده میکنید. اگر سیستمی از یک تراشه TPM و دیسک رمزگذاری شده استفاده کند، هنگامی که دکمه پاور را فشار میدهید مکانیزم رمزنگاری کامل دیسک (FDE) فعال میشود و باید در مدت زمان مشخص گذرواژه را وارد کنید تا به سیستم وارد شوید. در این حالت تراشه فوق یک کد منحصر به فرد تولید میکند که کلید رمزنگاری نام دارد. اگر فرآیند تطابق الگوها به درستی انجام شود، درایو رمزگشایی شده و سیستم راهاندازی میشود. اگر کلید مشکلی پیدا کند یا بهطور مثال لپتاپ دزدیده شود و سارق بخواهد دادههای درایو را دستکاری کند سیستم راهاندازی نمیشود. هنگامی که سیستم بهطور کامل راهاندازی شد، برنامهها و سرویسهایی که نیازمند TPM هستند بهطور خودکار از قابلیتهای امنیتی آن استفاده میکنند. بهطور مثال، فایرفاکس و کروم برای برخی عملکردهای پیشرفته از TPM استفاده میکنند و حتا برخی تولیدکنندگان چاپگرها نیز از قابلیتهای امنیتی این تراشه بهره میبرند.
بر مبنای این تعریف مشاهده میکنیم که تراشه TPM امنیت سامانهها را به میزان قابلتوجهی افزایش میدهد و یکلایه حفاظتی سختافزاری پیرامون دادهها قرار میدهد تا کاربران برای محافظت از اطلاعات خود محدود به راهحلهای نرمافزاری نباشند. کاربران از تراشه فوق میتوانند برای رمزگذاری دیسکها با استفاده از قابلیت بیتلاکر استفاده کنند. هنگامی که سرویس بیتلاکر با قابلیتهای امنیتی TPM ادغام شود، تقریباً دسترسی به اطلاعات برای افراد غیرمجاز غیر ممکن میشود.
قدمت تراشه TPM
تراشه TPM یک فناوری جدید نیست و قدمت آن دستکم به ده سال قبل باز میگردد. تراشه TPM 1.2 از سال 2011 میلادی به دنیای کامپیوترهای شخصی و سرورها وارد شد، اما بیشتر برای لپتاپها و ایستگاههای کاری استفاده میشد. با اینحال، مایکروسافت در نظر دارد همراه با عرضه ویندوز 11 این سطح از محافظت را در اختیار تمامی کاربران اکوسیستم ویندوز قرار دهد. TPMها اشکال مختلفی دارند، اما آنگونه که شرکت Trusted Computing Group مسئول تعیین استانداردهای این تراشه به آن اشاره کرده، TPM منحصر به یک تراشه مجزا نیست که روی مادربورد نصب میشود و میتواند به شکل یک تراشه فیزیکی یکپارچه در پردازنده اصلی یا کدی در میانافزار اجرا شود (شکل 2). در تمامی حالات امنیت TPM در سطح بالایی قرار دارد، زیرا برای اجرای پروتکلهای امنیتی از محیطی مطمئن و مجزا از دیگر برنامهها استفاده میکند. اینتل، ایامدی و کوالکام از TPMهای قابل اجرا در میانافزار استفاده میکنند. TPM به شکل مجازی نیز قابل استفاده است و در نرمافزاری مجزا اجرا میشود. با اینحال، شرکت Trusted Computing Group استفاده از این مدل TPM را پیشنهاد نمیکند، زیرا در برابر دستکاری هکرها و مشکلات احتمالی سیستمعامل آسیبپذیر است.
ماژول پلتفرم مطمئن چه کاربردهایی دارد؟
اصلیترین کاربرد ماژول TPM ساخت گذرواژه برای ورود به سیستم است. این تراشه بهجای آنکه گذرواژه را در دیسک سخت یا درایو حالت جامد ذخیرهسازی کند به شکل خودکار و توکار از آن محافظت میکند. اگر سیستمی مجهز به تراشه مذکور باشد، کاربران میتوانند برای قفل سیستم یا فایلهای خاص، کلیدهای گذرواژه ایجاد و آنها را مدیریت کنند. کاربرانی که از سامانههایی استفاده میکنند که اطلاعات حساس روی آنها ذخیره میشود، این شانس را دارند تا برای محافظت از اطلاعات از ترکیب ابزار رمزنگاری بیتلاکر ویندوز همراه با ماژول فوق استفاده کنند. هنگامی که سیستم مجهز به تراشه فوق و بیتلاکر را روشن میکنید، تراشه آزمایشهایی برای اطمینان از امن بودن شرایط برای بوت سیستم انجام میدهد. اگر TPM متوجه شود که دیسک سخت یا درایو حالت جامد جابهجا شدهاند، سیستم را قفل میکند و در عمل اجازه دسترسی به سامانه را نمیدهد. لپتاپهایی که قابلیت خواندن اثر انگشت روی آنها وجود دارد، به طور معمول اثر انگشت کاربر را در تراشه TPM ذخیره میکنند. البته کاربردهای TPM محدود به کامپیوترها و لپتاپهای شخصی نیست. تراشه فوق به شکل گستردهای در کارتخوانهای هوشمندی که برخی شرکتها برای احراز هویت از آنها استفاده میکنند به کار گرفته میشود. از کاربردهای دیگر TPM میتوان به مدیریت پیامهای رمزنگاری شده یا دارای امضا دیجیتال در سرویس ایمیل تاندربرد و اوتلوک، محافظت از گواهینامههای SSL مورد استفاده توسط وبسایتها در مرورگرهای فایرفاکس و کروم و دستگاههای مصرفکنندگان مثل چاپگر اشاره کرد.
چرا ویندوز 11 به تراشه TPM 2.0 نیاز دارد؟
ویندوز 11 اولین سیستمعامل مایکروسافت نیست که قصد دارد از مزایای بالقوه TPM استفاده کند، واقعیت این است که ویندوز 7 و ویندوز 10 نیز به شکل گستردهای از تراشه فوق پشتیبانی میکردند. لپتاپها و دسکتاپهایی که در سازمانهای بزرگ با خطمشیهای امنیتی سختگیرانهای استفاده میشوند از مشتریان اصلی تراشه فوق هستند. در بیشتر مواقع TPMها عملکردی بهتر از کارتهای هوشمندی دارند که کارمندان برای ثبت ورود و خروج خود به سازمان باید از آنها استفاده کنند. برخی از قابلیتهای امنیتی و سرویسهای سیستمعاملها نیز از TPM استفاده میکنند. یکی از شناختهشدهترین سرویسهای امنیتی در این زمینه ویژگی امنیتی تشخیص چهره Windows Hello است که برای ورود به سیستم استفاده میشود. این قابلیت تنها زمانی قابل استفاده است که لپتاپ مجهز به TPM باشد و روی سیستم فعال باشد. واقعیت این است که TPM گزینه به مراتب بهتری نسبت به روشهای قدیمی ایمنسازی کامپیوترهای شخصی ویندوزی است. از جولای 2016 میلادی مایکروسافت پشتیبانی از TPM 2.0 را برای تمامی کامپیوترهای شخصی اجباری کرد و نسخههای مختلف ویندوز 10 نیز از آن استفاده میکردند. به بیان دقیقتر، از چهار سال پیش تا به امروز مایکروسافت به شکلی که برای کاربران مشکلی ایجاد نشود چگونگی استفاده بهینه از این تراشه در سیستمعامل ویندوز 10 را آغاز کرده تا مطمئن شود در نسخه بعدی بدون مشکل قادر به استفاده از آن است. اکنون زمان برداشت محصول فرارسیده و ویندوز 11 قرار است به شکل ملموس و حرفهای از TPM برای ایمنسازی دستگاههای کاربران استفاده کند، اما چرا؟ پاسخ مثبت است. حملههای بدافزاری، باجافزاری، سرقت اطلاعات، روتکیتها، باتنتها و در نهایت ابزارهایی که قادر هستند گذرواژههای ساده را در مدت زمان کوتاهی بشکنند و از سد مکانیزمهای امنیتی عبور کنند بلای جان سازمانهای بزرگ شدهاند. بهترین راهکار برای مقابله با این حملهها، دفاع در پایهایترین سطح است و تاکنون هیچ مولفهای به اندازه TPM در این زمینه موفق نبوده است. حتا UEFI که به عنوان جایگزین ایمنی برای بایوس شناخته میشد در چند سال گذشته در معرض تهدیدات بدافزاری قرار گرفت، با اینحال TPM همچنان در برابر هکرها و بدافزارها مقاومت کرده و اجازه نداده است، هکرها یا سارقان به راحتی به سامانهها دسترسی پیدا کنند. به دلیل همین مایکروسافت در این زمینه کاملا حساس و جدی است و تصمیم گرفته تا ویندوز 11 تنها روی کامپیوترها و لپتاپهایی که مجهز به تراشه TPM 2.0 هستند اجرا میشود. اگر ابزار PC Health Check را برای بررسی سازگاری ویندوز 11
دانلود و اجرا کنید، تنها در صورت فعال بودن TPM 2.0 و سازگاری سایر ملزومات سختافزاری به شما نشان میدهد که سیستمتان آماده دریافت بهروزرسانی بزرگ بعدی مایکروسافت خواهد بود. علاوه بر این ابزار فوق اطلاعات دقیقی در ارتباط با ویژگیهای فنی سیستم در اختیارتان قرار میدهد. البته مایکروسافت در مستنداتی که چند وقت پیش منتشر کرد به این نکته اشاره کرد که برخی کامپیوترهای شخصی که مجهز به TPM 1.2 هستند تحت شرایط خاص قادر به نصب ویندوز 11 هستند. با این حال، در زمان نصب به کاربر هشدار داده میشود که بهتر است ویندوز 11 را نصب نکنند.
چه سامانههایی از TPM 2.0 پشتیبانی میکنند؟
اگر کامپیوتر یا لپتاپی که از آن استفاده میکنید از مشخصات سختافزاری موردنیاز برای اجرای ویندوز 11 پشتیبانی میکند به احتمال زیاد از TPM 2.0 نیز پشتیبانی میکند. به بیان دقیقتر اگر کامپیوتر خود را بعد از سال 2011 خریداری کردهاید بدون تردید مادربورد آن مجهز به تراشه TPM 2.0 است، اگر تاریخ خرید کامپیوتر به قبل از این سال باز میگردد مایکروسافت پیشنهاد کرده که ویندوز 11 را روی آن نصب نکنید. با توجه به اینکه TPMها انواع مختلفی دارند، بهطور قاطع نمیتوان گفت که آیا کامپیوتری که از آن استفاده میکنید از TPM 2.0 پشتیبانی میکند یا خیر. با اینحال، ویندوز 11 وضعیت امنیتی پردازنده را بررسی میکند و اگر شرایط ایدهآل بود فرآیند نصب را آغاز میکند.
این امکان وجود دارد تا به شکل جانبی TPM را به کامپیوتر اضافه کرد؟
اگر کاربر حرفهای هستید و هراسی از دستکاری تنظیمات امنیتی سختافزاری و نرمافزاری بایوس سیستم ندارید، به احتمال زیاد این شانس را دارید تا تراشه TPM 2.0 را به مادربورد اضافه کنید. برخی از مادربوردها هدری به نام TPM دارند. قیمت ماژول TPM برای برخی از مدلهای مادربوردها کمتر از 50 دلار است (شکل 3). البته به این نکته دقت کنید که اضافه کردن TPM به مادربورد به سادگی خرید ماژول و اتصال آن به هدر فوق نیست و باید مطمئن شوید در بایوس تنظیمات را به درستی پیکربندی کردهاید تا سیستمعامل توانایی شناسایی ویندوز را داشته باشد. فرایند اضافه کردن ماژول به نوع مادربورد و پردازنده مرکزی بستگی دارد و قاعده یکسانی در این مورد وجود ندارد. بهطوری که مایکروسافت در وبسایت این شرکت اعلام کرده که فرایند فعالسازی TPM کار سادهای نیست و کاربر مجبور است تنظیماتی مانند Technology Platform Trust را در بایوس کامپیوترهای مبتنی بر اینتل و تنظیمات fTPM را برای کامپیوترهای مجهز به ایامدی فعال کند. اگر مادربورد کامپیوتر شخصی قابلیت اتصال تراشه TPM 2.0 را ندارد این امکان وجود دارد تا TPM 2.0 را در محیط میانافزار سیستمعامل اجرا کرد، البته این راهحل فرایندی مبتنی بر آزمون و خطا است.
آیا فعالسازی TPM مانع اجرای لینوکس میشود؟
خوشبختانه تراشه TPM انعطافپذیری زیادی با تمامی برنامهها و کارهایی دارد که روی کامپیوتر شخصی انجام میدهید و تنها درصد کمی از کاربران تحت تأثیر فعالسازی تراشه TPM قرار میگیرند. شرکت TCG از مدتها قبل الزامات موردنیاز برای سیستمعامل لینوکس را تعریف کرده است؛ بنابراین کاربرانی که در نظر دارند روی کامپیوتر شخصی از ویندوز 11 به توزیعهای مختلف لینوکس مهاجرت کنند، در حالی که TPM روی آن فعال است مشکل خاصی در این زمینه ندارند. البته بسته به توزیع لینوکسی که از آن استفاده میکنید، پشتیبانی متفاوت است. بااینحال، هنوز به درستی مشخص نیست TPM در محیطهایی که قابلیت بوت دوگانه چه عملکردی خواهد داشت.
TPM قابلیتهای ویندوز 11 و برنامههای کاربردی را محدود میکند؟
یکی از مهمترین پرسشهای مطرح شده توسط کاربران این است که آیا فعالسازی TPM 2.0 برای اجرای ویندوز 11 الگوبرداری از کاری است که اپل انجام داده و قرار است محدودیتهایی در زمینه دریافت بهروزرسانیها و ویژگیهای امنیتی گریبانگیر آنها شود؟ بهطور مثال، مکهایی با تراشه T2 به قابلیتهای زیادی مثل تشخیص اثرانگشت و پردازش سیگنال پیشرفته مجهز هستند که مکهای بدون تراشه از این قابلیتها بی بهره هستند. این وضیعت در دنیای ویندوز نیز وجود دارد. بهطور مثال، در ویندوز 10 قابلیت تشخیص چهره Windows Hello تنها در دسترس کاربرانی قرار دارند که سامانه آنها مجهز به تراشه TPM است. به احتمال زیاد پس از عرضه رسمی ویندوز 11 و عرضه نسخههای بعدی TPM، مایکروسافت تجربه بهکارگیری قابلیتهای تراشه فوق را بسط خواهد داد و قابلیتهایی به سیستمعاملش اضافه خواهد کرد که حتما به وجود تراشه TPM نیاز دارند یا برخی ویژگیهای امنیتی را منوط به TPM خواهد کرد. البته چنین تغییراتی برای کاربران عادی مشکل خاصی ایجاد نمیکند یا حداقل در کوتاهمدت دردسرآفرین نیستند، اما پس از عرضه رسمی ویندوز 11 و همراه با انتشار بهروزرسانیهای بعدی شاهد تغییرات بزرگی خواهیم بود.
منبع:Shabakeh-mag