TPM (Trusted Platform Module): definizione e funzionamento

Con Trusted Platform Module si indica uno speciale chip integrato nei laptop o nei computer che offre importanti funzionalità di sicurezza, utili a verificare l’integrità e la sicurezza dei sistemi e dei software appartenenti a uno stesso ambiente protetto. Nei sistemi che lo supportano, il TPM si attiva (o disattiva) tramite le funzionalità del BIOS.

Che cosa significa Trusted Platform Module?

I meccanismi di sicurezza per la protezione dei sistemi così come per la difesa dai malware o dai ransomware giocano un ruolo importante per i singoli utenti e per le imprese. Oltre ai firewall e ai software antivirus, a essere usati per questo scopo sono anche quegli strumenti come il Trusted Platform Module. Per TPM si intende un chip integrato nei laptop e nei computer, che offre funzionalità di sicurezza aggiuntive per hardware e software. Tra queste funzionalità rientrano anche l’autenticazione di un dispositivo, l’identificazione degli utenti o la verifica delle licenze software e l’archiviazione di chiavi, password e certificati.

Un TPM funge da ambiente isolato, protetto da manipolazioni e malware. Durante l’avvio di componenti software e hardware, il TPM ne verifica l’integrità. In questo modo si può stabilire con certezza che un sistema operativo non sia compromesso e che il suo avvio non presenti dei rischi. Anche se in passato i chip TPM venivano usati come chip a sé stanti nei computer aziendali, le CPU AMD e Intel più moderne dispongono di funzionalità TPM. Tuttavia, alcune schede madri richiedono un chip TPM aggiuntivo. In futuro, gli hardware saranno dotati di norma di TPM integrati, tanto che il sistema operativo Windows 11 richiede TPM 2.0 come requisito per un corretto funzionamento.

Dove si trova un TPM?

Un chip TPM funge da processore dedicato e si trova quindi sulla scheda madre di un dispositivo. Le schede madri senza chip TPM preinstallato offrono uno slot per l’aggiunta di questo chip. Tale slot consente l’installazione di un TPM indipendente dalla CPU del computer. Se avete bisogno di un chip a sé stante per ottenere le funzionalità TPM, è raccomandato scegliere e utilizzare soltanto moduli compatibili dello stesso anno e dello stesso produttore della scheda madre.

Quali vantaggi offre un Trusted Platform Module?

Le funzionalità TPM offrono i seguenti vantaggi:

  • Creazione e salvataggio di password, certificati o chiavi crittografiche per processi crittografici aggiuntivi sicuri.
  • Verifica/monitoraggio dell’integrità di piattaforme tramite l’utilizzo di metriche e processi comparativi, al fine di riconoscere eventuali manipolazioni durante l’avvio.
  • Autenticazione hardware del sistema operativo tramite l’utilizzo di crittografia RSA.
  • Protezione del sistema da modifiche da parte di malintenzionati ai software o ai firmware attraverso Attestation Key (AIK), che verifica l’integrità delle componenti tramite processi di hashing.
  • In combinazione con firewall, smart card, test biometrici o programmi antivirus offrono una difesa ottimale contro malware, ransomware, attacchi a dizionario e phishing.
  • Verifica delle licenze software tramite Digital Rights Management (DRM).

Come verificare il TPM sul proprio dispositivo?

Poiché il TPM 2.0 rappresenta un requisito hardware per Windows 11, gli utenti potrebbero chiedersi se il proprio dispositivo ne sia dotato o meno. Per verificare la presenza del TPM nel proprio sistema ci sono due semplici metodi. È importante notare come i chip TPM integrati non sempre sono attivati per impostazione predefinita.

Procedete nel modo seguente per determinare la presenza di un chip TPM e capire di quale versione TPM si tratti:

Aprire il TPM Management

Primo passaggio: digitate il comando “tpm.msc” nella barra di ricerca di Windows per aprire il gestionale del TPM.

Secondo passaggio: se il PC o il laptop non dispone di un chip TPM, compare un messaggio corrispondente nella finestra aperta. Se invece un chip TPM è installato sulla vostra scheda madre, nella finestra vengono riportate le informazioni sul tipo e sulla versione del chip TPM.

Aprire la Gestione dispositivi

Primo passaggio: utilizzate la scorciatoia da tastiera di Windows [Windows] + [X] per aprire la “Gestione dispositivi”.

Secondo passaggio: nel menu laterale di sinistra cliccate su “Dispositivi di sicurezza”, così da aprire il menu a discesa. Nel caso in cui il TPM sia installato, qui trovate indicata la versione TPM corrente.

Verificare dal prompt dei comandi

Primo passaggio: aprite la finestra di dialogo “Esegui” con la scorciatoia da tastiera [Windows] + [R], digitate il comando “cmd” e premete contemporaneamente sulla vostra tastiera i tasti [Windows] + [MAIUSC] + [INVIO]. In questo modo aprite il prompt dei comandi con i permessi da amministratore.

Secondo passaggio: digitate il seguente comando per verificare se è presente un chip TPM:

wmic /namespace:\\root\cimv2\security\microsofttpm path win32_tpm get /value
shell

Capite se è presente un TPM dalla riga “SpecVersion=”, dove viene riportato il numero della versione del TPM.

È possibile abilitare e disabilitare il TPM?

Solitamente se un TPM è attivo dipende dalla versione e dalla tipologia del laptop o computer e da quanti anni ha. Anche con i chip TPM integrati è difficile stabilire se la funzionalità TPM è generalmente attivata o meno. Con alcuni firmware può essere necessario un aggiornamento per il BIOS o l’interfaccia UEFI. Se il TPM non è attivato per impostazione predefinita, ci sono diverse possibilità per attivarlo o disattivarlo.

Procedete come segue:

Abilitare o disabilitare il TPM nel BIOS

Primo passaggio: avviate il vostro sistema e aprite il BIOS (in base al sistema è necessario premere il pulsante [F2], [F12] o [Canc] durante l’avvio).

Secondo passaggio: cliccate sulla voce del menu “Security” e quindi su “Trusted Computing”.

Terzo passaggio: attivate “Security Device Support”.

Quarto passaggio: attivate “PTT” nella sezione “TPM Device”.

Quinto passaggio: salvate le modifiche e riavviate il computer. Per disattivare il TPM fate il contrario di quanto appena spiegato.

Abilitare o disabilitare il TPM dal TPM Management

Primo passaggio: avviate il TPM Management digitando “tpm.msc” nella barra di ricerca di Windows e cliccate [Invio].

Secondo passaggio: nella sezione “Azioni” scegliete l’opzione per abilitare il TPM e leggete la relativa pagina informativa.

Terzo passaggio: riavviate il computer seguendo i passaggi dell’interfaccia UEFI.

Quarto passaggio: accettate la nuova configurazione del TPM al riavvio. In questo modo il sistema si assicura che soltanto gli utenti autenticati possano apportare delle modifiche.

Quinto passaggio: il TPM viene abilitato in Windows.

Sesto passaggio: per disabilitare il TPM dal TPM Management dovete cliccare sull’opzione corrispondente nella sezione “Azioni”. Nella finestra di dialogo che si apre scegliete se inserire la password del proprietario utilizzando un supporto fisico, digitandola manualmente o se, invece, disabilitare il TPM senza l’immissione della password.

Che cosa comporta la disattivazione di un TPM?

Cancellare o disabilitare il TPM, ad esempio per risolvere eventuali problemi o per reinstallare il sistema operativo, in alcuni casi può portare a una perdita di dati. Tra i dati che possono andar persi vi sono le chiavi salvate, le password, i certificati, le smart card virtuali o i PIN di accesso. Per questo motivo dovete seguire alcune misure precauzionali:

  • Effettuate un backup dei dati salvati nel TPM.
  • Cancellate/disabilitate soltanto i TPM sui vostri dispositivi con il consenso degli amministratori informatici competenti.
  • Verificate i dati del TPM nel libretto delle istruzioni fornito dal produttore o sul suo sito web.
  • Se possibile, disabilitate il TPM dal TPM Management e create un file di backup del sistema prima di apportare modifiche al BIOS o alla UEFI.

Quali sono le tipologie di TPM disponibili?

In base all’implementazione si distingue solitamente tra le seguenti tipologie di TPM:

  • TPM discreto: un Trusted Platform Module discreto è un chip dedicato e vale solitamente come la migliore tra le versioni di TPM disponibili. Offre supporto per un numero maggiore di algoritmi crittografici, protegge dalle manipolazioni ed è soggetto a pochi errori. Tuttavia, richiede maggiore spazio.
  • TPM fisico: integrato direttamente nella CPU, offre funzionalità di sicurezza fisiche utili a proteggere da malware e manipolazioni.
  • TPM basato sul firmware: analogamente alla versione fisica, l’ambiente in cui viene eseguito all’interno della CPU è sicuro e previene manipolazioni e modifiche da parte di malintenzionati.
  • TPM virtuale: un hypervisor consente di generare un TPM virtuale, che genera chiavi di sicurezza indipendenti da quelle di una macchina virtuale.
  • TPM basato sul software: i TPM basati sul software sono poco raccomandabili in quanto offrono pochi vantaggi in termini di sicurezza e sono maggiormente soggetti a errori e malware.
Hai trovato questo articolo utile?
Per offrirti una migliore esperienza di navigazione online questo sito web usa dei cookie, propri e di terze parti. Continuando a navigare sul sito acconsenti all’utilizzo dei cookie. Scopri di più sull’uso dei cookie e sulla possibilità di modificarne le impostazioni o negare il consenso.
Page top