Intel Platform Trust Technology fTPM
Intel Platform Trust Technology (Intel PTT) ist eine integrierte TPM 2.0-Implementierung auf ausgewählten Intel-Plattformen. Intel PTT läuft auf der Intel Management Engine (Intel ME) und behält seinen Status getrennt und isoliert von der Host-CPU und damit der Host-Software bei. Mit Intel PTT können auch Systeme ohne dediziertem Trusted Platform Modul beispielsweise für Windows 11 genutzt werden.
Unterschied zu einem diskreten TPM
Intel Platform Trust Technology verwendet den SPI-Flash der Plattform für die dauerhafte Speicherung von Schlüsseln.[1]
Beispiel LES plus v2
Der Thomas-Krenn LES plus v2 unterstützt ab BIOS Version KBR2L 2.00 (Build Date: 10/20/2021) die Intel Platform Trust Technology. Bei älteren BIOS-Versionen ist Intel PTT noch nicht aktiviert.
BIOS Einstellungen
Die folgenden Screenshots zeigen die BIOS Einstellungen in Bezug auf Trusted Computing:
Optionen unter Advanced ‣ Trusted Computing:
- Security Device Support: Disable / Enable
- Enables or Disables BIOS support for security device. O.S. will not show Security Device. TCG EFI protocol and INT1A interface will not be available.
- SHA-1 PCR Bank: Disabled / Enabled
- Enable or Disable SHA-1 PCR Bank
- SHA256 PCR Bank: Disabled / Enabled
- Enable or Disable SH256 PCR Bank
- Pending operation: None / TPM Clear
- Schedule an Operation for the Security Device. NOTE: Your Computer will reboot during restart in order to change State of Security Device.
- Platform Hierarchy: Disabled / Enabled
- Enable or Disable Platform Hierarchy
- Storage Hierarchy: Disabled / Enabled
- Enable or Disable Storage Hierarchy
- Endorsement Hierarchy: Disabled / Enabled
- Enable or Disable Endorsement Hierarchy
- TPM2.0 UEFI Spec Version: TCG_1_2 / TCG_2
- Select the TCG2 Spec Version Support,
- TCG_1_2: the Compatible mode for Win8/Win10,
- TCG_2: Support new TCG2 protocol and event format for Win10 or later
- Select the TCG2 Spec Version Support,
- Physicial Presence Spec Version: 1.2 / 1.3
- Select to Tell O.S. to support PPI Spec Version 1.2 or 1.3. Note some HCK tests might not support 1.3.
- Device Select: TPM 1.2 / TPM 2.0 / Auto
- TPM 1.2 will restrict support to TPM 1.2 devices, TPM 2.0 will restrict support to TPM 2.0 devices, Auto will support both with the default set to TPM 2.0 devices if not found, TPM 1.2 devices will be enumerated
Windows 10
Unter Windows sind im Geräte Manager sowie im Bereich Windows-Sicherheit Informationen zum TPM 2.0 ersichtlich:
Details zum Sicherheitschip[2]
Einzelnachweise
- ↑ Code Sample: Protecting secret data and keys using Intel® Platform Trust Technology (www.intel.com)
- ↑ Key Attestation (www.dell.com/community) Update: I installed a new copy of windows 10 after clearing the TPM in bios, turns out attestation and storage status shows its ready and working. I did not update the TPM.
Weitere Informationen
- TPM Attestation: What can possibly go wrong? (oofhours.com, 09.07.2019)
Autor: Werner Fischer Werner Fischer arbeitet im Product Management Team von Thomas-Krenn. Er evaluiert dabei neueste Technologien und teilt sein Wissen in Fachartikeln, bei Konferenzen und im Thomas-Krenn Wiki. Bereits 2005 - ein Jahr nach seinem Abschluss des Studiums zu Computer- und Mediensicherheit an der FH Hagenberg - heuerte er beim bayerischen Server-Hersteller an. Als Öffi-Fan nutzt er gerne Bus & Bahn und genießt seinen morgendlichen Spaziergang ins Büro.
|