TPM (Trusted Platform Module): de­fi­ni­zio­ne e fun­zio­na­men­to

Con Trusted Platform Module si indica uno speciale chip integrato nei laptop o nei computer che offre im­por­tan­ti fun­zio­na­li­tà di sicurezza, utili a ve­ri­fi­ca­re l’integrità e la sicurezza dei sistemi e dei software ap­par­te­nen­ti a uno stesso ambiente protetto. Nei sistemi che lo sup­por­ta­no, il TPM si attiva (o disattiva) tramite le fun­zio­na­li­tà del BIOS.

Che cosa significa Trusted Platform Module?

I mec­ca­ni­smi di sicurezza per la pro­te­zio­ne dei sistemi così come per la difesa dai malware o dai ran­som­ware giocano un ruolo im­por­tan­te per i singoli utenti e per le imprese. Oltre ai firewall e ai software antivirus, a essere usati per questo scopo sono anche quegli strumenti come il Trusted Platform Module. Per TPM si intende un chip integrato nei laptop e nei computer, che offre fun­zio­na­li­tà di sicurezza ag­giun­ti­ve per hardware e software. Tra queste fun­zio­na­li­tà rientrano anche l’au­ten­ti­ca­zio­ne di un di­spo­si­ti­vo, l’iden­ti­fi­ca­zio­ne degli utenti o la verifica delle licenze software e l’ar­chi­via­zio­ne di chiavi, password e cer­ti­fi­ca­ti.

Un TPM funge da ambiente isolato, protetto da ma­ni­po­la­zio­ni e malware. Durante l’avvio di com­po­nen­ti software e hardware, il TPM ne verifica l’integrità. In questo modo si può stabilire con certezza che un sistema operativo non sia com­pro­mes­so e che il suo avvio non presenti dei rischi. Anche se in passato i chip TPM venivano usati come chip a sé stanti nei computer aziendali, le CPU AMD e Intel più moderne di­spon­go­no di fun­zio­na­li­tà TPM. Tuttavia, alcune schede madri ri­chie­do­no un chip TPM ag­giun­ti­vo. In futuro, gli hardware saranno dotati di norma di TPM integrati, tanto che il sistema operativo Windows 11 richiede TPM 2.0 come requisito per un corretto fun­zio­na­men­to.

Dove si trova un TPM?

Un chip TPM funge da pro­ces­so­re dedicato e si trova quindi sulla scheda madre di un di­spo­si­ti­vo. Le schede madri senza chip TPM pre­in­stal­la­to offrono uno slot per l’aggiunta di questo chip. Tale slot consente l’in­stal­la­zio­ne di un TPM in­di­pen­den­te dalla CPU del computer. Se avete bisogno di un chip a sé stante per ottenere le fun­zio­na­li­tà TPM, è rac­co­man­da­to scegliere e uti­liz­za­re soltanto moduli com­pa­ti­bi­li dello stesso anno e dello stesso pro­dut­to­re della scheda madre.

Quali vantaggi offre un Trusted Platform Module?

Le fun­zio­na­li­tà TPM offrono i seguenti vantaggi:

• Creazione e sal­va­tag­gio di password, cer­ti­fi­ca­ti o chiavi crit­to­gra­fi­che per processi crit­to­gra­fi­ci ag­giun­ti­vi sicuri.
• Verifica/mo­ni­to­rag­gio dell’integrità di piat­ta­for­me tramite l’utilizzo di metriche e processi com­pa­ra­ti­vi, al fine di ri­co­no­sce­re eventuali ma­ni­po­la­zio­ni durante l’avvio.
• Au­ten­ti­ca­zio­ne hardware del sistema operativo tramite l’utilizzo di crit­to­gra­fia RSA.
• Pro­te­zio­ne del sistema da modifiche da parte di ma­lin­ten­zio­na­ti ai software o ai firmware at­tra­ver­so At­te­sta­tion Key (AIK), che verifica l’integrità delle com­po­nen­ti tramite processi di hashing.
• In com­bi­na­zio­ne con firewall, smart card, test bio­me­tri­ci o programmi antivirus offrono una difesa ottimale contro malware, ran­som­ware, attacchi a di­zio­na­rio e phishing.
• Verifica delle licenze software tramite Digital Rights Ma­na­ge­ment (DRM).

Come ve­ri­fi­ca­re il TPM sul proprio di­spo­si­ti­vo?

Poiché il TPM 2.0 rap­pre­sen­ta un requisito hardware per Windows 11, gli utenti po­treb­be­ro chiedersi se il proprio di­spo­si­ti­vo ne sia dotato o meno. Per ve­ri­fi­ca­re la presenza del TPM nel proprio sistema ci sono due semplici metodi. È im­por­tan­te notare come i chip TPM integrati non sempre sono attivati per im­po­sta­zio­ne pre­de­fi­ni­ta.

Procedete nel modo seguente per de­ter­mi­na­re la presenza di un chip TPM e capire di quale versione TPM si tratti:

Aprire il TPM Ma­na­ge­ment

Primo passaggio: digitate il comando “tpm.msc” nella barra di ricerca di Windows per aprire il ge­stio­na­le del TPM.

Secondo passaggio: se il PC o il laptop non dispone di un chip TPM, compare un messaggio cor­ri­spon­den­te nella finestra aperta. Se invece un chip TPM è in­stal­la­to sulla vostra scheda madre, nella finestra vengono riportate le in­for­ma­zio­ni sul tipo e sulla versione del chip TPM.

Aprire la Gestione di­spo­si­ti­vi

Primo passaggio: uti­liz­za­te la scor­cia­to­ia da tastiera di Windows [Windows] + [X] per aprire la “Gestione di­spo­si­ti­vi”.

Secondo passaggio: nel menu laterale di sinistra cliccate su “Di­spo­si­ti­vi di sicurezza”, così da aprire il menu a discesa. Nel caso in cui il TPM sia in­stal­la­to, qui trovate indicata la versione TPM corrente.

Ve­ri­fi­ca­re dal prompt dei comandi

Primo passaggio: aprite la finestra di dialogo “Esegui” con la scor­cia­to­ia da tastiera [Windows] + [R], digitate il comando “cmd” e premete con­tem­po­ra­nea­men­te sulla vostra tastiera i tasti [Windows] + [MAIUSC] + [INVIO]. In questo modo aprite il prompt dei comandi con i permessi da am­mi­ni­stra­to­re.

Secondo passaggio: digitate il seguente comando per ve­ri­fi­ca­re se è presente un chip TPM:

wmic /namespace:\\root\cimv2\security\microsofttpm path win32_tpm get /value

Capite se è presente un TPM dalla riga “Spe­c­Ver­sion=”, dove viene riportato il numero della versione del TPM.

È possibile abilitare e di­sa­bi­li­ta­re il TPM?

So­li­ta­men­te se un TPM è attivo dipende dalla versione e dalla tipologia del laptop o computer e da quanti anni ha. Anche con i chip TPM integrati è difficile stabilire se la fun­zio­na­li­tà TPM è ge­ne­ral­men­te attivata o meno. Con alcuni firmware può essere ne­ces­sa­rio un ag­gior­na­men­to per il BIOS o l’in­ter­fac­cia UEFI. Se il TPM non è attivato per im­po­sta­zio­ne pre­de­fi­ni­ta, ci sono diverse pos­si­bi­li­tà per attivarlo o di­sat­ti­var­lo.

Procedete come segue:

Abilitare o di­sa­bi­li­ta­re il TPM nel BIOS

Primo passaggio: avviate il vostro sistema e aprite il BIOS (in base al sistema è ne­ces­sa­rio premere il pulsante [F2], [F12] o [Canc] durante l’avvio).

Secondo passaggio: cliccate sulla voce del menu “Security” e quindi su “Trusted Computing”.

Terzo passaggio: attivate “Security Device Support”.

Quarto passaggio: attivate “PTT” nella sezione “TPM Device”.

Quinto passaggio: salvate le modifiche e riavviate il computer. Per di­sat­ti­va­re il TPM fate il contrario di quanto appena spiegato.

Abilitare o di­sa­bi­li­ta­re il TPM dal TPM Ma­na­ge­ment

Primo passaggio: avviate il TPM Ma­na­ge­ment digitando “tpm.msc” nella barra di ricerca di Windows e cliccate [Invio].

Secondo passaggio: nella sezione “Azioni” scegliete l’opzione per abilitare il TPM e leggete la relativa pagina in­for­ma­ti­va.

Terzo passaggio: riavviate il computer seguendo i passaggi dell’in­ter­fac­cia UEFI.

Quarto passaggio: accettate la nuova con­fi­gu­ra­zio­ne del TPM al riavvio. In questo modo il sistema si assicura che soltanto gli utenti au­ten­ti­ca­ti possano apportare delle modifiche.

Quinto passaggio: il TPM viene abilitato in Windows.

Sesto passaggio: per di­sa­bi­li­ta­re il TPM dal TPM Ma­na­ge­ment dovete cliccare sull’opzione cor­ri­spon­den­te nella sezione “Azioni”. Nella finestra di dialogo che si apre scegliete se inserire la password del pro­prie­ta­rio uti­liz­zan­do un supporto fisico, di­gi­tan­do­la ma­nual­men­te o se, invece, di­sa­bi­li­ta­re il TPM senza l’im­mis­sio­ne della password.

Che cosa comporta la di­sat­ti­va­zio­ne di un TPM?

Can­cel­la­re o di­sa­bi­li­ta­re il TPM, ad esempio per risolvere eventuali problemi o per rein­stal­la­re il sistema operativo, in alcuni casi può portare a una perdita di dati. Tra i dati che possono andar persi vi sono le chiavi salvate, le password, i cer­ti­fi­ca­ti, le smart card virtuali o i PIN di accesso. Per questo motivo dovete seguire alcune misure pre­cau­zio­na­li:

• Ef­fet­tua­te un backup dei dati salvati nel TPM.
• Can­cel­la­te/di­sa­bi­li­ta­te soltanto i TPM sui vostri di­spo­si­ti­vi con il consenso degli am­mi­ni­stra­to­ri in­for­ma­ti­ci com­pe­ten­ti.
• Ve­ri­fi­ca­te i dati del TPM nel libretto delle istru­zio­ni fornito dal pro­dut­to­re o sul suo sito web.
• Se possibile, di­sa­bi­li­ta­te il TPM dal TPM Ma­na­ge­ment e create un file di backup del sistema prima di apportare modifiche al BIOS o alla UEFI.

Quali sono le tipologie di TPM di­spo­ni­bi­li?

In base all’im­ple­men­ta­zio­ne si distingue so­li­ta­men­te tra le seguenti tipologie di TPM:

• TPM discreto: un Trusted Platform Module discreto è un chip dedicato e vale so­li­ta­men­te come la migliore tra le versioni di TPM di­spo­ni­bi­li. Offre supporto per un numero maggiore di algoritmi crit­to­gra­fi­ci, protegge dalle ma­ni­po­la­zio­ni ed è soggetto a pochi errori. Tuttavia, richiede maggiore spazio.
• TPM fisico: integrato di­ret­ta­men­te nella CPU, offre fun­zio­na­li­tà di sicurezza fisiche utili a pro­teg­ge­re da malware e ma­ni­po­la­zio­ni.
• TPM basato sul firmware: ana­lo­ga­men­te alla versione fisica, l’ambiente in cui viene eseguito all’interno della CPU è sicuro e previene ma­ni­po­la­zio­ni e modifiche da parte di ma­lin­ten­zio­na­ti.
• TPM virtuale: un hy­per­vi­sor consente di generare un TPM virtuale, che genera chiavi di sicurezza in­di­pen­den­ti da quelle di una macchina virtuale.
• TPM basato sul software: i TPM basati sul software sono poco rac­co­man­da­bi­li in quanto offrono pochi vantaggi in termini di sicurezza e sono mag­gior­men­te soggetti a errori e malware.