TPM 2.0: come funziona il Trusted Platform Module 2.0

Con il Trusted Platform Module si definisce un chip di sicurezza integrato sulla scheda madre di un laptop o di un computer. Grazie a delle fun­zio­na­li­tà di sicurezza fon­da­men­ta­li, il TPM genera un ambiente sicuro per la verifica dell’integrità del sistema, autentica gli utenti e salva chiavi crit­to­gra­fi­che e password. Con la versione 2.0 ri­la­scia­ta nel 2018, il TPM si è ar­ric­chi­to di nuove fun­zio­na­li­tà, tra le quali l’utilizzo di diversi algoritmi di hash, numeri iden­ti­fi­ca­ti­vi personali e una gestione delle chiavi definita dall’utente.

In breve: cosa significa Trusted Platform Module?

I comuni mec­ca­ni­smi di pro­te­zio­ne contro malware, rootkit e ran­som­ware sono co­no­sciu­ti dalla maggior parte degli utenti. Oltre ai firewall, tra questi si an­no­ve­ra­no anche i programmi antivirus e l’au­ten­ti­ca­zio­ne a due fattori. In questo ambito il Trusted Platform Module cor­ri­spon­de a un chip di sicurezza che serve ad ag­giun­ge­re un livello di sicurezza ag­giun­ti­vo a un sistema.

Il chip TPM, fi­si­ca­men­te integrato nei laptop e nei computer, serve all’au­ten­ti­ca­zio­ne del di­spo­si­ti­vo e degli utenti, così come alla verifica dell’integrità del sistema o delle licenze software. Un’ulteriore im­por­tan­te fun­zio­na­li­tà riguarda il sal­va­tag­gio delle chiavi crit­to­gra­fi­che, delle password e dei cer­ti­fi­ca­ti. Creando un ambiente sicuro e protetto dalle ma­ni­po­la­zio­ni di ma­lin­ten­zio­na­ti, con il TPM si può ve­ri­fi­ca­re la sicurezza dei com­po­nen­ti software e hardware durante l’avvio del sistema. Qualora vengano iden­ti­fi­ca­te delle ma­ni­po­la­zio­ni at­tra­ver­so il confronto con le metriche in archivio, il TPM dà l’allarme. Se prima i TPM venivano so­li­ta­men­te usati sotto forma di chip di sicurezza ag­giun­ti­vi, i nuovi laptop e computer di­spon­go­no spesso di fun­zio­na­li­tà TPM integrate già di serie.

Che cos’è il TPM 2.0?

Il TPM è stato svi­lup­pa­to dal consorzio in­for­ma­ti­co TCG (Trusted Computing Group) e stan­dar­diz­za­to nel 2009 dall’In­ter­na­tio­nal Or­ga­ni­sa­tion for Stan­dar­di­za­tion (ISO) e dall’In­ter­na­tio­nal Elec­tro­tech­ni­cal Com­mis­sion (IEC) come ISO/IEC 11889:2009. Il primo TPM de­fi­ni­ti­vo è stata ri­la­scia­to il 3/3/2011 con la versione TPM 1.2. Con l’avvento del TPM 2.0 nel 2019 si è giunti al nuovo standard per il TPM ISO/IEC 11889:2015 con nuove fun­zio­na­li­tà di sicurezza. Le ot­ti­miz­za­zio­ni sono state apportate all’ar­chi­tet­tu­ra e alla struttura del TPM così come ai comandi e al supporto.

Dove si trova il TPM 2.0?

Poiché i chip TPM 2.0 fungono da pro­ces­so­ri dedicati vengono integrati di­ret­ta­men­te nella scheda madre di laptop o computer. Di norma la maggior parte dei nuovi computer e laptop di­spon­go­no di TPM integrati o quan­to­me­no sono com­pa­ti­bi­li e prevedono l’in­stal­la­zio­ne e l’utilizzo dei TPM. In al­ter­na­ti­va, alcune schede madri non hanno chip TPM 2.0 pre­in­stal­la­ti, ma prevedono uno slot per un chip ag­giun­ti­vo, in modo da con­sen­ti­re l’in­te­gra­zio­ne di un chip di sicurezza TPM in­di­pen­den­te dalla CPU. Nel caso di acquisto di chip TPM è con­si­glia­to l’utilizzo di chip dello stesso pro­dut­to­re della scheda madre e dello stesso anno.

Il TPM 2.0 è ne­ces­sa­rio per Windows 11?

Con Windows 11 il TPM 2.0 è diventato un requisito hardware per l’utilizzo del sistema operativo. Alcuni utenti sono venuti a co­no­scen­za dell’esistenza del TPM 2.0 soltanto a causa dell’ag­gior­na­men­to a Windows 11. Provando a ef­fet­tua­tre l’ag­gior­na­men­to a Windows 11 se il computer non dispone di TPM o se il TPM è di­sa­bi­li­ta­to viene vi­sua­liz­za­to un messaggio che il TPM non è stato trovato o non è com­pa­ti­bi­le. A essere ne­ces­sa­ria è anche la funzione di Secure Boot della UEFI (Unified Ex­ten­si­ble Firmware Interface).

Tra le altre il TPM 2.0 viene uti­liz­za­to per le seguenti fun­zio­na­li­tà:

• Windows Hello: controllo degli accessi bio­me­tri­co e iden­ti­fi­ca­zio­ne tramite l’impronta e/o la scansione dell’iride, ri­co­no­sci­men­to del volto per mezzo dell’En­dor­se­ment Key (EK) e At­te­sta­tion Identity Key (AIK).
• Crit­to­gra­fia dell’unità BitLocker: per la crit­to­gra­fia di volumi logici e di interi dischi rigidi.
• Smart card virtuali: si­mi­lar­men­te alle smart card fisiche, una VS (Virtual Smartcard) serve al controllo degli accessi in sistemi e risorse esterne.
• Mi­su­ra­zio­ne dell’avvio del TPM: grazie alle metriche TPM sullo stato di avvio di Windows è possibile ve­ri­fi­ca­re l’integrità dei com­po­nen­ti di sistema e delle con­fi­gu­ra­zio­ni di Windows at­tra­ver­so la mi­su­ra­zio­ne delle sequenze di avvio.
• Cer­ti­fi­ca­ti AIK: i cer­ti­fi­ca­ti AIK salvati nel TPM con­fron­ta­no i dati di avvio rilevati con la pre­vi­sio­ne delle metriche dello stato del di­spo­si­ti­vo.
• Difesa dagli attacchi a di­zio­na­rio: pro­te­zio­ne dagli attacchi a forza bruta, che tentano di aggirare la pro­te­zio­ne data dalle password tramite la con­sul­ta­zio­ne au­to­ma­tiz­za­ta degli elenchi dei dizionari.
• Cre­den­tial Guard: isola i dati di accesso e degli utenti e protegge le chiavi salvate tramite una verifica di sicurezza su un supporto virtuale.

Quali vantaggi offre il Trusted Platform Module 2.0?

Le fun­zio­na­li­tà del TPM 2.0 offrono i seguenti vantaggi:

• Generare e salvare chiavi crit­to­gra­fi­che, password e cer­ti­fi­ca­ti per i processi crit­to­gra­fi­ci.
• Ri­co­no­sci­men­to delle ma­ni­po­la­zio­ni del codice BIOS tramite un valore di verifica all’interno della Platform Con­fi­gu­ra­tion Register (PCR) 17.
• Nuova fun­zio­na­li­tà di scambio tra algoritmi per l’utilizzo parallelo di diversi algoritmi.
• Le firme di verifica sup­por­ta­no i numeri di iden­ti­fi­ca­zio­ne personali così come i dati di po­si­zio­na­men­to basati sul controllo degli accessi bio­me­tri­co o globale.
• La gestione delle chiavi nel TPM 2.0 consente l’utilizzo limitato o con­di­zio­na­to delle chiavi crit­to­gra­fi­che.
• Il TPM 2.0 è fles­si­bi­le e può essere uti­liz­za­to anche in di­spo­si­ti­vi con risorse ridotte.
• Verifica delle licenze software at­tra­ver­so il Digital Rights Ma­na­ge­ment (DRM).
• Messa in sicurezza dall’integrità della piat­ta­for­ma tramite le metriche di con­fi­gu­ra­zio­ne che ve­ri­fi­ca­no la sicurezza e l’eventuale presenza di modifiche delle sequenze di avvio.
• Au­ten­ti­ca­zio­ne dell’hardware del sistema operativo tramite i sistemi crit­to­gra­fi­ci RSA.
• En­dor­se­ment Keys (EK) e At­te­sta­tion Keys (AIK) usano l’hashing per ve­ri­fi­ca­re l’integrità e la sicurezza del sistema.
• In com­bi­na­zio­ne con firewall sicuri, smart card, pro­te­zio­ne degli accessi bio­me­tri­ca e di programmi antivirus è possibile ot­ti­miz­za­re la pro­te­zio­ne da malware, ran­som­ware, attacchi di forza bruta e phising.

Come ve­ri­fi­ca­re il TPM 2.0 sul proprio di­spo­si­ti­vo?

Volete sapere se il vostro di­spo­si­ti­vo con sistema operativo Windows dispone già del TPM 2.0? Allora avete a di­spo­si­zio­ne i seguenti metodi tra cui scegliere per ac­cer­tar­ve­ne e per ve­ri­fi­car­ne lo stato. Fate tuttavia at­ten­zio­ne che i chip TPM 2.0 integrati di serie non sempre sono già abilitati.

Aprite il TPM Ma­na­ge­ment

Primo passaggio: digitate “tpm.msc” nella barra di ricerca di Windows. Con questo comando aprite lo strumento integrato TPM Ma­na­ge­ment.

Secondo passaggio: nel caso in cui il vostro laptop o computer disponga di un chip TPM 2.0 dedicato, vi­sua­liz­za­te le in­for­ma­zio­ni sulla versione TPM nella finestra del menu. In caso contrario, Windows vi informa che nessun com­po­nen­te TPM com­pa­ti­bi­le è presente.

Aprite la Gestione di­spo­si­ti­vi

Primo passaggio: con la scor­cia­to­ia di Windows [Windows] + [X] aprite il menu am­mi­ni­stra­ti­vo di Windows. Dopodiché cliccate su “Gestione di­spo­si­ti­vi”.

Secondo passaggio: cliccate su “Di­spo­si­ti­vi di sicurezza” nel menu di sinistra. Se di­spo­ni­bi­le, qui trovate “Trusted Platform Module 2.0”.

Aprire il prompt dei comandi

Primo passaggio: usate la scor­cia­to­ia da tastiera [Windows] + [R] per aprire la finestra di dialogo “Esegui”. Digitate al suo interno “cmd” e premete con­tem­po­ra­nea­men­te i tasti [Windows] + [Maiusc] + [Invio]. In questo modo avviate il prompt dei comandi con i permessi da am­mi­ni­stra­to­re.

Secondo passaggio: digitate il seguente comando e procedete premendo [Invio]:

wmic /namespace:\\root\cimv2\security\microsoftTPM 2.0 path win32_TPM 2.0 get /value.

Nel caso in cui il TPM 2.0 sia presente, vi­sua­liz­za­te in­for­ma­zio­ni sulla versione del TPM nell’ultima riga, alla voce “Spe­c­Ver­sion=”.

Come abilitare o di­sa­bi­li­ta­re il TPM 2.0?

Lo stato del TPM 2.0 dipende da quanto datato è il vostro computer o laptop. I computer più nuovi di­spon­go­no so­li­ta­men­te di TPM integrati, che di norma sono già abilitati. Tuttavia, non è sempre questo il caso. In alcuni casi può essere ne­ces­sa­rio un ag­gior­na­men­to del BIOS o della UEFI.

Se dovete abilitare o di­sa­bi­li­ta­re il TPM 2.0 avete le seguenti pos­si­bi­li­tà:

Abilitare o di­sat­ti­va­re il TPM 2.0 nel BIOS

Primo passaggio: riavviate il computer e aprite il BIOS. In base al sistema operativo o al di­spo­si­ti­vo in uso premete i tasti [F2], [F12] o [Canc] durante la fase di avvio del sistema. As­si­cu­ra­te­vi di ef­fet­tua­re re­go­lar­men­te un backup di sistema, così come delle chiavi, delle password e dei cer­ti­fi­ca­ti più im­por­tan­ti, prima di apportare delle modifiche al BIOS.

Secondo passaggio: andate alla sezione “Security” nel BIOS e cliccate su “Trusted Computing”.

Terzo passaggio: attivate l’opzione “Security Device Support”.

Quarto passaggio: attivate l’opzione “PTT” nella sezione “TPM 2.0 Device”.

Quinto passaggio: dopo il sal­va­tag­gio delle modifiche dovete riavviare il sistema operativo. Per di­sat­ti­va­re il TPM fate il contrario di quanto spiegato sopra.

Abilitare o di­sa­bi­li­ta­re il TPM 2.0 dal TPM Ma­na­ge­ment

Primo passaggio: digitate “tpm.msc” nella barra di ricerca di Windows e con­fer­ma­te premendo [Invio].

Secondo passaggio: nella sezione “Azioni” scegliete l’opzione per abilitare il TPM 2.0 e ricevete in­for­ma­zio­ni det­ta­glia­te sui passaggi suc­ces­si­vi.

Terzo passaggio: riavviate il sistema. Dopodiché seguite le istru­zio­ni riportate nell’in­ter­fac­cia UEFI.

Quarto passaggio: durante l’avvio accettate le nuove con­fi­gu­ra­zio­ni del TPM 2.0. In questo modo il sistema assicura che soltanto gli utenti au­ten­ti­ca­ti possano apportare delle modifiche. A questo punto avete abilitato il TPM 2.0 in Windows.

Quinto passaggio: per di­sat­ti­va­re il TPM andate nuo­va­men­te alla sezione “Azioni” del TPM Ma­na­ge­ment e se­le­zio­na­te l’opzione cor­ri­spon­den­te, sce­glien­do se volete fornire la password del pro­prie­ta­rio uti­liz­zan­do un supporto fisico, di­gi­tan­do­la ma­nual­men­te o se, invece, preferite di­sa­bi­li­tar­lo senza dover inserire la password.

Che cosa comporta la di­sa­bi­li­ta­zio­ne del TPM 2.0?

In­di­pen­den­te­men­te che vogliate o dobbiate can­cel­la­re o di­sa­bi­li­ta­re il TPM 2.0 per risolvere dei problemi, per ef­fet­tua­re una nuova in­stal­la­zio­ne o un ag­gior­na­men­to, in alcuni casi questo può portare a una perdita di dati in­de­si­de­ra­ta. Tra i dati in pericolo vi sono le chiavi crit­to­gra­fi­che, i cer­ti­fi­ca­ti e le password salvati nel TPM 2.0. Per evitare che ciò accada, mettete in atto le seguenti misure di sicurezza:

• Create un backup dei dati salvati con il TPM 2.0.
• La di­sa­bi­li­ta­zio­ne o rimozione del TPM 2.0 dovrebbe essere fatta soltanto sui propri di­spo­si­ti­vi o con il consenso dell’am­mi­ni­stra­to­re in­for­ma­ti­co com­pe­ten­te.
• Seguite le istru­zio­ni fornite nel libretto delle istru­zio­ni o sul sito del pro­dut­to­re.
• Di­sa­bi­li­ta­te il TPM 2.0 pos­si­bil­men­te dal TPM Ma­na­ge­ment o as­si­cu­ra­te­vi di eseguire un backup del sistema prima di apportare modifiche nel BIOS.

Quali sono le tipologie di TPM 2.0 di­spo­ni­bi­li?

In base all’im­ple­men­ta­zio­ne si distingue so­li­ta­men­te tra le seguenti tipologie di TPM:

• TPM 2.0 discreto: il Trusted Platform Module discreto è un chip dedicato che offre supporto per diversi algoritmi crit­to­gra­fi­ci, protegge dalle ma­ni­po­la­zio­ni ed è soggetto a un numero ridotto di errori.
• TPM 2.0 fisico: integrato di­ret­ta­men­te nella CPU, offre fun­zio­na­li­tà di sicurezza fisiche utili a pro­teg­ge­re da malware e ma­ni­po­la­zio­ni.
• TPM 2.0 basato sul firmware: com­pa­ra­bi­le con la versione fisica, il TPM 2.0 basato sul firmware ricorre a un ambiente sicuro all’interno della CPU per prevenire ma­ni­po­la­zio­ni e modifiche da parte di ma­lin­ten­zio­na­ti e utenti non au­ten­ti­ca­ti.
• TPM 2.0 virtuale: gli hy­per­vi­sor con­sen­to­no di generare un TPM 2.0 virtuale che genera chiavi di sicurezza in­di­pen­den­ti da quelle di una macchina virtuale.
• TPM 2.0 basato sul software: i TPM 2.0 basati sul software sono poco rac­co­man­da­bi­li poiché offrono pochi vantaggi in termini di sicurezza e sono mag­gior­men­te soggetti a errori e malware.