TPM如何工作的呢?

TPM安全芯片首先驗(yàn)證當(dāng)前底層固件的完整性，如正確則完成正常的系統(tǒng)初始化，然后由底層固件依次驗(yàn)證BIOS和操作系統(tǒng)完整性，如正確則正常運(yùn)行操作系統(tǒng)，否則停止運(yùn)行。之后，利用TPM安全芯片內(nèi)置的加密模塊生成系統(tǒng)中的各種密鑰，對(duì)應(yīng)用模塊進(jìn)行加密和解密，向上提供安全通信接口，以保證上層應(yīng)用模塊的安全。

TPM會(huì)按照整個(gè)系統(tǒng)及應(yīng)用軟件棧的裝載順序來(lái)監(jiān)視裝載到計(jì)算平臺(tái)上的系統(tǒng)軟件及所有應(yīng)用軟件，TPM采用哈希擴(kuò)展算法，以哈希值特征的形式來(lái)存儲(chǔ)所有能夠被平臺(tái)裝載的全部軟件。例如，在X86平臺(tái)運(yùn)行過(guò)程中，從機(jī)器加電啟動(dòng)開(kāi)始，TPM將按照如下的順序監(jiān)視軟硬件系統(tǒng)及應(yīng)用軟件棧的裝載過(guò)程：BIOS、MBR、OS裝載器、OS、用戶(hù)應(yīng)用程序1-n. TPM將計(jì)算平臺(tái)上的整個(gè)軟件鏈的哈希值進(jìn)行記錄，之后就能夠把該平臺(tái)上的軟件加載狀況向管理中心報(bào)告。TPM可以對(duì)每個(gè)報(bào)告進(jìn)行數(shù)字簽名，確保報(bào)告的真實(shí)性。

經(jīng)過(guò)TPM加密數(shù)據(jù)為硬盤(pán)存儲(chǔ)數(shù)據(jù)提供了強(qiáng)大的保護(hù)，已防止硬盤(pán)被竊取的數(shù)據(jù)安全。

三、筆記本中的TPM安全芯片

ThinkPad筆記本中的TPM安全芯片可以與指紋識(shí)別模塊一起使用，普通筆記本中的指紋識(shí)別技術(shù)一般是把指紋驗(yàn)證信息儲(chǔ)存在硬盤(pán)中，而 ThinkPad中的TPM安全芯片則是直接將指紋識(shí)別信息置于安全芯片中。一旦遭到暴力破解，安全芯片就啟動(dòng)自毀功能，這樣保證了您的個(gè)人信息資料不會(huì)泄密。安全芯片通過(guò)LPC總線下的系統(tǒng)管理總線來(lái)與處理器進(jìn)行通信，安全芯片的密碼數(shù)據(jù)只能輸入而不能輸出。即關(guān)鍵的密碼加密與解密的運(yùn)算將在安全芯片內(nèi)完成，而只將結(jié)果輸出到上層。TPM安全芯片和筆記本上的指紋識(shí)別模塊搭配能達(dá)到最高的安全級(jí)別，即便是在無(wú)塵實(shí)驗(yàn)室對(duì)磁盤(pán)進(jìn)行暴力拆解，也無(wú)法獲得有效信息。

四、TPM應(yīng)用

安全領(lǐng)域多年的研究已經(jīng)證明，在網(wǎng)絡(luò)接入層構(gòu)建安全的接入模式是形成一體化深度防御的基礎(chǔ)，要經(jīng)過(guò)長(zhǎng)期的努力。但是在關(guān)鍵行業(yè)，如政府機(jī)關(guān)、企業(yè)的內(nèi)部體系中, 政府部門(mén)每天都要面對(duì)眾處理日常事務(wù)，對(duì)象相對(duì)復(fù)雜，增加了流失和泄露機(jī)密文件的概率, 所以部署TPM安全平臺(tái);型企業(yè)內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜，應(yīng)用眾多，需要進(jìn)行大量的跨部門(mén)信息傳遞。因此，它對(duì)可信計(jì)算技術(shù)的需求最為強(qiáng)烈，以解決底層安全、身份認(rèn)證、數(shù)據(jù)加密、集成管理等一系列問(wèn)題。

如目前國(guó)外有很多公司在研究TPM芯片，例如Infineon英費(fèi)凌、STMicro(意法微電子)、Atmel(愛(ài)特梅)他們都有成熟的產(chǎn)品。筆記本中Thinkpad的X、R、T、W系列都帶有TPM安全芯片，由于國(guó)內(nèi)起步較晚也有商用的產(chǎn)品主要由聯(lián)想、兆日等少數(shù)公司在開(kāi)發(fā)TPM芯片, 接下來(lái)我將以Thinkpad T系列機(jī)型為例給大家介紹如何啟用TPM功能并加密磁盤(pán)。

1、設(shè)置TPM芯片保存密碼

(1)、在開(kāi)機(jī)時(shí)按F1，進(jìn)入Security安全欄選中Security Chip,使得在啟動(dòng)狀態(tài)，如下圖所示：

當(dāng)你在BIOS中設(shè)置好啟動(dòng)安全芯片時(shí)，這時(shí)系統(tǒng)提示“是否立即激活安全設(shè)備”，選中是以后，系統(tǒng)會(huì)提示需要重啟。

(2)、當(dāng)再次啟動(dòng)時(shí)，首先系統(tǒng)會(huì)提示配置TPM平臺(tái)，只需要按F10即可激活TPM。

這時(shí)進(jìn)入Windows系統(tǒng)就會(huì)看到安全設(shè)備已激活的信息。點(diǎn)擊確定以設(shè)置Client Security Solution：

首次進(jìn)入CSS會(huì)有幾秒鐘時(shí)間系統(tǒng)初始化設(shè)置。

▲ClientSecuritySolution啟動(dòng)界面

▲主程序界面

TPM安全芯片除了能進(jìn)行傳統(tǒng)的開(kāi)機(jī)加密以及對(duì)硬盤(pán)進(jìn)行加密外，還能對(duì)系統(tǒng)登錄、應(yīng)用軟件登錄進(jìn)行加密。比如目前咱們常用的ADSL上網(wǎng)帳號(hào)、MSN、QQ、網(wǎng)游以及網(wǎng)上銀行的登錄信息和密碼，都可以通過(guò)TPM加密后再進(jìn)行傳輸，這樣就不用擔(dān)心信息和密碼被人竊取。

2、BitLocker加密磁盤(pán)

利用一些系統(tǒng)啟動(dòng)光盤(pán)或是U盤(pán)就能進(jìn)入一個(gè)特殊的Windows PE環(huán)境，從而編輯系統(tǒng)注冊(cè)表修改用戶(hù)帳號(hào)甚至是獲取NTFS訪問(wèn)權(quán)限，杜絕這種脫機(jī)攻擊的方法只能不讓攻擊者無(wú)法接觸到PC。不過(guò)好在Windows 7企業(yè)版或旗艦版中的BitLocker 功能可以保護(hù)整個(gè)磁盤(pán)不被脫機(jī)攻擊，不會(huì)被windows外的其他任何系統(tǒng)所訪問(wèn)。因?yàn)樗麑⒚荑€已加密形式保存在TPM芯片中，這樣一來(lái)要啟動(dòng) windows或讀取系統(tǒng)里的文件就必須提供TPM里的密鑰。

保存在接下來(lái)我們就要用到bitlocker給磁盤(pán)加密，在Thinkpad T系列筆記本中都具有受信任的平臺(tái)模塊 (TPM)，版本是1.2，這是可以搭配windows 7 系統(tǒng)提供的BitLocker加密功能他會(huì) 會(huì)將其密鑰存儲(chǔ)在 TPM 芯片中使破解密碼更加困難增強(qiáng)了安全性。BitLocker 使用 128 位密鑰的高級(jí)加密標(biāo)準(zhǔn) (AES) 算法。要獲得更好的保護(hù)，可使用“組策略”或 BitLocker Windows Management Instrumentation (WMI) 提供程序?qū)⒚荑€增至 256 位。

我們?cè)趙indows7系統(tǒng)里的控制面板里或右擊驅(qū)動(dòng)器都可以設(shè)置bitlocker加密：

包括系統(tǒng)分區(qū)在內(nèi)所有分區(qū)都可以這是加密，選取待加密的分區(qū)，啟用BitLocker,經(jīng)過(guò)一段時(shí)間驗(yàn)證并進(jìn)行初始化驅(qū)動(dòng)器。如下圖所示：

當(dāng)輸入解鎖密碼是其統(tǒng)啟動(dòng)ThinkVantage Passsword Manager來(lái)存儲(chǔ)加密密碼：

輸入條目名稱(chēng)，之后就開(kāi)始正式加密驅(qū)動(dòng)器的進(jìn)程了。需要說(shuō)明的是這個(gè)過(guò)程會(huì)比較長(zhǎng)，如果你在驅(qū)動(dòng)器內(nèi)有很多文件，那么這將是一個(gè)非常漫長(zhǎng)的過(guò)程(中途不得以外中斷，筆記本一定要接電源)。

在整個(gè)驅(qū)動(dòng)器加密完成后就可以正常使用了，不過(guò)性能會(huì)比原來(lái)降低不少，建議不要將平凡讀取的分區(qū)加密，介紹到這里大家清楚了在一臺(tái) Thinkpad筆記本上如果利用TPM和BitLocker技術(shù)給你的電腦加密的過(guò)程，如果在配上指紋識(shí)別和BIOS里加開(kāi)機(jī)安全口令，那么你的電腦將固若金湯。

zhangcun