電子發燒友網報道(文/周凱揚)硬件安全芯片或模組其實已經不是什么新鮮事了，在黑客攻擊技術不斷推陳出新下，更高的安全性不僅要從軟件上下手，也要從硬件上下手。自從Windows 11去年正式推出以來，對于TPM 2.0硬件安全模塊的討論就沒有停止。有的人將其視為額外的硬件成本，有的人則對安全性加強喜聞樂見。

雖然不少用戶使出奇招繞過了這一要求，但對于電腦本身的安全性來說，可以說是沒有半點益處。那么對于不想犧牲這一層網絡攻擊防護的用戶來說，他們有哪些方案可選呢?

微軟Pluton

考慮到獨立的TPM模塊需要系統OS、主板、處理器和TPM芯片廠商的協力合作，主推TPM 2.0的微軟提出了一個TPM的方案：直接將TPM安全處理器內置在芯片中，這樣主板上就無需額外的TPM 2.0模塊，也能完美實現BitLocker硬盤加密，或是存儲Windows Hello用到的指紋或人臉生物識別數據。

在Windows系統令競爭對手難以企及的的市場占有率下，微軟的號召力可想而知，很快就拉動了英特爾、AMD和高通的支持。比如今年CES 2022上亮相的AMD Ryzen 6000系列CPU，就宣布首發集成Pluton處理器。而高通在去年公布的8cx Gen 3筆記本SoC，也宣布在其安全處理單元(SPU)上集成微軟的Pluton方案。

不過微軟的Pluton除了提高系統安全性以外，可能還別有用心。不少開源圈的開發者表示此舉是微軟不讓Linux有機會搶占PC消費市場，因為現在Linux已經有了對TPM的支持，而微軟的Pluton暫時僅支持Windows系統。根據微軟的說法，他們當前的工作重心是優化Pluton在Windows 11上的表現。

對于同樣在近期推出了新品CPU的英特爾來說，他們似乎并沒有打算將Pluton集成在12代Alder Lakes處理器上，而是選擇了繼續使用英特爾自己的對策，即Intel Platform Trust技術(Intel PTT)。據英特爾強調，支持PTT的處理器可以提供獨立TPM 2.0模塊同樣的能力，比如證書存儲和密鑰管理等，也支持微軟對于fTPM(固件TPM) 2.0的所有要求以及BitLocker硬盤加密，而對于用戶的好處就在于無需任何額外的物理芯片。

英飛凌OPTIGA

但對于不支持Pluton或fTPM的處理器而言，這時往往要用到其他非集成TPM的方案了，比如英飛凌OPTIGA TPM。市面上不少主板的外接TPM模組，用到的都是英飛凌的OPTIGA SLB 9665或SLB 6970，這兩者均支持TPM 2.0，也支持各種主流的對稱與非對稱加密算法。

然而，量子計算的出現對加密提出了更大的挑戰，尤其加密數據的保密性和數字簽名的完整性。如果未來的網絡攻擊掌握了可以隨手借助量子計算的話，破解如今的加密算法可以說不在話下，尤其是RSA和Diffie-Hellman等公鑰密碼。

為了應對這些挑戰，英飛凌在近期推出了全新的OPTIGA TPM SLB 9672。SLB 9672作為一款開箱即用的標準化TPM，使用XMSS簽名，提供后量子加密(PQC)技術加密保護的固件更新機制，并支持最新的TCG規范和TPM 2.0標準。在該機制的加持下，即便標準算法不再處于受信狀態，SLB 9672也可以更新。

SLB 9672不僅原生支持最新版的微軟Windows系統和主要Linux發行版系統，還提供了可擴展的非易失性內存，最大可達51kB，用于存儲證書和密鑰。SLB 9672分為兩個版本，一個是FW15.xx版本，適合作為要作為微軟的Windows環境下的標準化認證安全方案，而16.xx版本提供加強的安全特性，比如AES批量機密、TPM唯一ID和EPS的配置，其中一個型號則使用溫度范圍從標準的-20℃到+85℃升級至-40℃到+105℃。

小結

微軟下定決心也要強推TPM 2.0的態度足以說明他們對網絡安全的重視，盡管如今的Windows已經不再是原來那個弱不禁風的系統，但在網絡安全再度肆虐的今天，多一層硬件安全也就對自己的隱私多一重保障。在筆者看來，TPM 2.0也許是阻止老用戶升級Windows 11的“攔路虎”，但其最終目的還是建起一道維護PC安全的“護城河”。

原文標題：升級Windows 11被否?TPM 2.0是“攔路虎”還是“護城河”

文章出處：【微信公眾號：電子發燒友網】歡迎添加關注!文章轉載請注明出處。

審核編輯：湯梓紅