TPM 2.0: come funziona il Trusted Platform Module 2.0

Con il Trusted Platform Module si definisce un chip di sicurezza integrato sulla scheda madre di un laptop o di un computer. Grazie a delle funzionalità di sicurezza fondamentali, il TPM genera un ambiente sicuro per la verifica dell’integrità del sistema, autentica gli utenti e salva chiavi crittografiche e password. Con la versione 2.0 rilasciata nel 2018, il TPM si è arricchito di nuove funzionalità, tra le quali l’utilizzo di diversi algoritmi di hash, numeri identificativi personali e una gestione delle chiavi definita dall’utente.

In breve: cosa significa Trusted Platform Module?

I comuni meccanismi di protezione contro malware, rootkit e ransomware sono conosciuti dalla maggior parte degli utenti. Oltre ai firewall, tra questi si annoverano anche i programmi antivirus e l’autenticazione a due fattori. In questo ambito il Trusted Platform Module corrisponde a un chip di sicurezza che serve ad aggiungere un livello di sicurezza aggiuntivo a un sistema.

Il chip TPM, fisicamente integrato nei laptop e nei computer, serve all’autenticazione del dispositivo e degli utenti, così come alla verifica dell’integrità del sistema o delle licenze software. Un’ulteriore importante funzionalità riguarda il salvataggio delle chiavi crittografiche, delle password e dei certificati. Creando un ambiente sicuro e protetto dalle manipolazioni di malintenzionati, con il TPM si può verificare la sicurezza dei componenti software e hardware durante l’avvio del sistema. Qualora vengano identificate delle manipolazioni attraverso il confronto con le metriche in archivio, il TPM dà l’allarme. Se prima i TPM venivano solitamente usati sotto forma di chip di sicurezza aggiuntivi, i nuovi laptop e computer dispongono spesso di funzionalità TPM integrate già di serie.

Che cos’è il TPM 2.0?

Il TPM è stato sviluppato dal consorzio informatico TCG (Trusted Computing Group) e standardizzato nel 2009 dall’International Organisation for Standardization (ISO) e dall’International Electrotechnical Commission (IEC) come ISO/IEC 11889:2009. Il primo TPM definitivo è stata rilasciato il 3/3/2011 con la versione TPM 1.2. Con l’avvento del TPM 2.0 nel 2019 si è giunti al nuovo standard per il TPM ISO/IEC 11889:2015 con nuove funzionalità di sicurezza. Le ottimizzazioni sono state apportate all’architettura e alla struttura del TPM così come ai comandi e al supporto.

Dove si trova il TPM 2.0?

Poiché i chip TPM 2.0 fungono da processori dedicati vengono integrati direttamente nella scheda madre di laptop o computer. Di norma la maggior parte dei nuovi computer e laptop dispongono di TPM integrati o quantomeno sono compatibili e prevedono l’installazione e l’utilizzo dei TPM. In alternativa, alcune schede madri non hanno chip TPM 2.0 preinstallati, ma prevedono uno slot per un chip aggiuntivo, in modo da consentire l’integrazione di un chip di sicurezza TPM indipendente dalla CPU. Nel caso di acquisto di chip TPM è consigliato l’utilizzo di chip dello stesso produttore della scheda madre e dello stesso anno.

Il TPM 2.0 è necessario per Windows 11?

Con Windows 11 il TPM 2.0 è diventato un requisito hardware per l’utilizzo del sistema operativo. Alcuni utenti sono venuti a conoscenza dell’esistenza del TPM 2.0 soltanto a causa dell’aggiornamento a Windows 11. Provando a effettuatre l’aggiornamento a Windows 11 se il computer non dispone di TPM o se il TPM è disabilitato viene visualizzato un messaggio che il TPM non è stato trovato o non è compatibile. A essere necessaria è anche la funzione di Secure Boot della UEFI (Unified Extensible Firmware Interface).

Tra le altre il TPM 2.0 viene utilizzato per le seguenti funzionalità:

  • Windows Hello: controllo degli accessi biometrico e identificazione tramite l’impronta e/o la scansione dell’iride, riconoscimento del volto per mezzo dell’Endorsement Key (EK) e Attestation Identity Key (AIK).
  • Crittografia dell’unità BitLocker: per la crittografia di volumi logici e di interi dischi rigidi.
  • Smart card virtuali: similarmente alle smart card fisiche, una VS (Virtual Smartcard) serve al controllo degli accessi in sistemi e risorse esterne.
  • Misurazione dell’avvio del TPM: grazie alle metriche TPM sullo stato di avvio di Windows è possibile verificare l’integrità dei componenti di sistema e delle configurazioni di Windows attraverso la misurazione delle sequenze di avvio.
  • Certificati AIK: i certificati AIK salvati nel TPM confrontano i dati di avvio rilevati con la previsione delle metriche dello stato del dispositivo.
  • Difesa dagli attacchi a dizionario: protezione dagli attacchi a forza bruta, che tentano di aggirare la protezione data dalle password tramite la consultazione automatizzata degli elenchi dei dizionari.
  • Credential Guard: isola i dati di accesso e degli utenti e protegge le chiavi salvate tramite una verifica di sicurezza su un supporto virtuale.

Quali vantaggi offre il Trusted Platform Module 2.0?

Le funzionalità del TPM 2.0 offrono i seguenti vantaggi:

  • Generare e salvare chiavi crittografiche, password e certificati per i processi crittografici.
  • Riconoscimento delle manipolazioni del codice BIOS tramite un valore di verifica all’interno della Platform Configuration Register (PCR) 17.
  • Nuova funzionalità di scambio tra algoritmi per l’utilizzo parallelo di diversi algoritmi.
  • Le firme di verifica supportano i numeri di identificazione personali così come i dati di posizionamento basati sul controllo degli accessi biometrico o globale.
  • La gestione delle chiavi nel TPM 2.0 consente l’utilizzo limitato o condizionato delle chiavi crittografiche.
  • Il TPM 2.0 è flessibile e può essere utilizzato anche in dispositivi con risorse ridotte.
  • Verifica delle licenze software attraverso il Digital Rights Management (DRM).
  • Messa in sicurezza dall’integrità della piattaforma tramite le metriche di configurazione che verificano la sicurezza e l’eventuale presenza di modifiche delle sequenze di avvio.
  • Autenticazione dell’hardware del sistema operativo tramite i sistemi crittografici RSA.
  • Endorsement Keys (EK) e Attestation Keys (AIK) usano l’hashing per verificare l’integrità e la sicurezza del sistema.
  • In combinazione con firewall sicuri, smart card, protezione degli accessi biometrica e di programmi antivirus è possibile ottimizzare la protezione da malware, ransomware, attacchi di forza bruta e phising.

Come verificare il TPM 2.0 sul proprio dispositivo?

Volete sapere se il vostro dispositivo con sistema operativo Windows dispone già del TPM 2.0? Allora avete a disposizione i seguenti metodi tra cui scegliere per accertarvene e per verificarne lo stato. Fate tuttavia attenzione che i chip TPM 2.0 integrati di serie non sempre sono già abilitati.

Aprite il TPM Management

Primo passaggio: digitate “tpm.msc” nella barra di ricerca di Windows. Con questo comando aprite lo strumento integrato TPM Management.

Secondo passaggio: nel caso in cui il vostro laptop o computer disponga di un chip TPM 2.0 dedicato, visualizzate le informazioni sulla versione TPM nella finestra del menu. In caso contrario, Windows vi informa che nessun componente TPM compatibile è presente.

Aprite la Gestione dispositivi

Primo passaggio: con la scorciatoia di Windows [Windows] + [X] aprite il menu amministrativo di Windows. Dopodiché cliccate su “Gestione dispositivi”.

Secondo passaggio: cliccate su “Dispositivi di sicurezza” nel menu di sinistra. Se disponibile, qui trovate “Trusted Platform Module 2.0”.

Aprire il prompt dei comandi

Primo passaggio: usate la scorciatoia da tastiera [Windows] + [R] per aprire la finestra di dialogo “Esegui”. Digitate al suo interno “cmd” e premete contemporaneamente i tasti [Windows] + [Maiusc] + [Invio]. In questo modo avviate il prompt dei comandi con i permessi da amministratore.

Secondo passaggio: digitate il seguente comando e procedete premendo [Invio]:

wmic /namespace:\\root\cimv2\security\microsoftTPM 2.0 path win32_TPM 2.0 get /value.
shell

Nel caso in cui il TPM 2.0 sia presente, visualizzate informazioni sulla versione del TPM nell’ultima riga, alla voce “SpecVersion=”.

Come abilitare o disabilitare il TPM 2.0?

Lo stato del TPM 2.0 dipende da quanto datato è il vostro computer o laptop. I computer più nuovi dispongono solitamente di TPM integrati, che di norma sono già abilitati. Tuttavia, non è sempre questo il caso. In alcuni casi può essere necessario un aggiornamento del BIOS o della UEFI.

Se dovete abilitare o disabilitare il TPM 2.0 avete le seguenti possibilità:

Abilitare o disattivare il TPM 2.0 nel BIOS

Primo passaggio: riavviate il computer e aprite il BIOS. In base al sistema operativo o al dispositivo in uso premete i tasti [F2], [F12] o [Canc] durante la fase di avvio del sistema. Assicuratevi di effettuare regolarmente un backup di sistema, così come delle chiavi, delle password e dei certificati più importanti, prima di apportare delle modifiche al BIOS.

Secondo passaggio: andate alla sezione “Security” nel BIOS e cliccate su “Trusted Computing”.

Terzo passaggio: attivate l’opzione “Security Device Support”.

Quarto passaggio: attivate l’opzione “PTT” nella sezione “TPM 2.0 Device”.

Quinto passaggio: dopo il salvataggio delle modifiche dovete riavviare il sistema operativo. Per disattivare il TPM fate il contrario di quanto spiegato sopra.

Abilitare o disabilitare il TPM 2.0 dal TPM Management

Primo passaggio: digitate “tpm.msc” nella barra di ricerca di Windows e confermate premendo [Invio].

Secondo passaggio: nella sezione “Azioni” scegliete l’opzione per abilitare il TPM 2.0 e ricevete informazioni dettagliate sui passaggi successivi.

Terzo passaggio: riavviate il sistema. Dopodiché seguite le istruzioni riportate nell’interfaccia UEFI.

Quarto passaggio: durante l’avvio accettate le nuove configurazioni del TPM 2.0. In questo modo il sistema assicura che soltanto gli utenti autenticati possano apportare delle modifiche. A questo punto avete abilitato il TPM 2.0 in Windows.

Quinto passaggio: per disattivare il TPM andate nuovamente alla sezione “Azioni” del TPM Management e selezionate l’opzione corrispondente, scegliendo se volete fornire la password del proprietario utilizzando un supporto fisico, digitandola manualmente o se, invece, preferite disabilitarlo senza dover inserire la password.

Che cosa comporta la disabilitazione del TPM 2.0?

Indipendentemente che vogliate o dobbiate cancellare o disabilitare il TPM 2.0 per risolvere dei problemi, per effettuare una nuova installazione o un aggiornamento, in alcuni casi questo può portare a una perdita di dati indesiderata. Tra i dati in pericolo vi sono le chiavi crittografiche, i certificati e le password salvati nel TPM 2.0. Per evitare che ciò accada, mettete in atto le seguenti misure di sicurezza:

  • Create un backup dei dati salvati con il TPM 2.0.
  • La disabilitazione o rimozione del TPM 2.0 dovrebbe essere fatta soltanto sui propri dispositivi o con il consenso dell’amministratore informatico competente.
  • Seguite le istruzioni fornite nel libretto delle istruzioni o sul sito del produttore.
  • Disabilitate il TPM 2.0 possibilmente dal TPM Management o assicuratevi di eseguire un backup del sistema prima di apportare modifiche nel BIOS.

Quali sono le tipologie di TPM 2.0 disponibili?

In base all’implementazione si distingue solitamente tra le seguenti tipologie di TPM:

  • TPM 2.0 discreto: il Trusted Platform Module discreto è un chip dedicato che offre supporto per diversi algoritmi crittografici, protegge dalle manipolazioni ed è soggetto a un numero ridotto di errori.
  • TPM 2.0 fisico: integrato direttamente nella CPU, offre funzionalità di sicurezza fisiche utili a proteggere da malware e manipolazioni.
  • TPM 2.0 basato sul firmware: comparabile con la versione fisica, il TPM 2.0 basato sul firmware ricorre a un ambiente sicuro all’interno della CPU per prevenire manipolazioni e modifiche da parte di malintenzionati e utenti non autenticati.
  • TPM 2.0 virtuale: gli hypervisor consentono di generare un TPM 2.0 virtuale che genera chiavi di sicurezza indipendenti da quelle di una macchina virtuale.
  • TPM 2.0 basato sul software: i TPM 2.0 basati sul software sono poco raccomandabili poiché offrono pochi vantaggi in termini di sicurezza e sono maggiormente soggetti a errori e malware.
Hai trovato questo articolo utile?
Per offrirti una migliore esperienza di navigazione online questo sito web usa dei cookie, propri e di terze parti. Continuando a navigare sul sito acconsenti all’utilizzo dei cookie. Scopri di più sull’uso dei cookie e sulla possibilità di modificarne le impostazioni o negare il consenso.
Page top