TPM là gì? Mọi thứ bạn cần biết để chạy Windows 11

Windows 11* đã ra mắt và đang cập nhật trên nhiều máy và trong quá trình này, rất nhiều nhà sản xuất PC gặp phải một yêu cầu hệ thống kỳ lạ: TPM 2.0 hoặc Trust Platform Module, là một bộ xử lý chuyên dụng xử lý mã hóa cấp phần cứng. Đây là thiết bị cho phép bạn sử dụng sinh trắc học để đăng nhập vào Windows và mã hóa dữ liệu trên thiết bị của mình.

Tuy nhiên, thật khó để hiểu TPM là gì và quan trọng ra sao, tại sao bạn cần một TPM cho Windows. Bài viết này để giúp bạn có thể nâng cấp PC của mình lên thông số kỹ thuật để cài đặt Windows 11.

TPM là gì?

TPM là một con chip ở trên bo mạch chủ của máy tính của bạn. Đó là một bộ xử lý chuyên dụng xử lý mã hóa, giữ một phần khóa bí mật mà bạn cần để giải mã dữ liệu trên thiết bị của mình và truy cập các dịch vụ. Trong trường hợp của Windows 11, TPM có thể lưu trữ những thứ như dữ liệu sinh trắc học của bạn cho Windows Hello và một phần của khóa mã hóa cho BitLocker.

Tuy nhiên, đó không phải là mục đích duy nhất của TPM. Nó có thể lưu trữ bất kỳ phần nào của bí mật mà bạn cần để giải mã, bất kể đó là mật khẩu, chứng chỉ hay khóa mã hóa. Hơn nữa, TPM lưu trữ thông tin này trên phần cứng thực tế, không phải thông qua phần mềm. Điều đó có nghĩa là các cuộc tấn công phần mềm không thể làm lộ những bí mật mà bạn đã lưu trữ trên TPM.

TPM chuyên dụng tăng cường bảo mật hơn nữa nhờ chứng chỉ Endorsement Key (EK). Chứng chỉ này tồn tại trên mô-đun và không bao giờ thay đổi, xác minh rằng bất kỳ thành phần nào giao tiếp với TPM thực sự là giao tiếp với TPM.

Tóm lại, TPM giúp bạn bảo vệ dữ liệu nhạy cảm nhất của mình. Bởi vì thiết bị ở trên bo mạch chủ của bạn, nó không cần giao tiếp với bất kỳ máy chủ nào hoặc yêu cầu xác thực ngoại vi xa hơn. Đó là một thiết bị giúp chứng minh bạn là chính mình và bạn đang truy cập vào một máy tính mà bạn sở hữu.

Tại sao bạn cần TPM cho Windows 11

Không khó để hiểu TPM làm gì, nhưng ứng dụng của nó trong Windows hơi lộn xộn. Như đã đề cập, Windows 10 và Windows 11 sử dụng TPM để mã hóa đĩa BitLocker và Windows Hello. Tuy nhiên, việc tích hợp với Windows đi sâu hơn rất nhiều, điều này đã gây ra một số nhầm lẫn với Windows 11. Nó yêu cầu chip TPM 2.0.

Windows kiểm soát TPM trong khi máy tính của bạn đang khởi động. Đây là một bước đi tốt vì một vài lý do. Đầu tiên là TPM có thể xác minh tính toàn vẹn của Windows trước khi tải hệ điều hành. Điều đó đảm bảo rằng bạn không tải vào một hệ điều hành có mã độc hại.

Nó cũng hỗ trợ với phần mềm chống vi-rút* . Hầu hết phần mềm độc hại được viết để chạy trên hệ điều hành của bạn, vì vậy, một cái gì đó như phần mềm quảng cáo sẽ thực thi sau khi hệ điều hành tải xong, ngay cả khi bạn không thấy chương trình đang hoạt động trên máy tính của mình. Các dịch vụ chống vi-rút thường có thể đối phó với loại phần mềm độc hại này, nhưng một số lại gặp khó khăn với rootkit.

Rootkit là một phần mềm độc hại được cho là tồn tại trên máy tính của bạn mà không bị phát hiện. Mặc dù một số rootkit chỉ tấn công một ứng dụng cụ thể, nhưng nhiều rootkit bắt đầu tải trước khi hệ điều hành của bạn chạy. Điều đó mở ra một thế giới nhiều khả năng cho những kẻ tấn công, cho phép chúng lây nhiễm bộ nạp khởi động của hệ điều hành của bạn hoặc thậm chí là kernel (cốt lõi của hệ điều hành của bạn).

TPM xử lý điều đó. Windows tự động tận dụng TPM trong quá trình khởi động, nhưng các phần mềm khác, chẳng hạn như chống vi-rút, cũng có thể tận dụng nó để loại bỏ rootkit trước khi hệ điều hành tải.

Các cuộc tấn công mạng tiếp tục gia tăng, có thể là do lượng dữ liệu cá nhân (và có giá trị) ngày càng tăng mà mọi người lưu trữ trên PC và trực tuyến của họ. Bằng cách cập nhật các máy tính cá nhân với bảo mật phần cứng mới nhất, Microsoft có thể thúc đẩy các nỗ lực bảo mật của mình thay vì tập trung vào việc thu hút nhiều người hơn.

TPM phần cứng so với phần mềm TPM

Sau khi công bố Windows 11, giá của phần cứng TPM chuyên dụng đã tăng vọt trên thị trường đồ cũ . Giá đã giảm kể từ đó, nhưng nó cho thấy mức độ phiền phức mà yêu cầu này gây ra. Bạn không cần phải chi thêm 100 đô la để chạy Windows 11.

Đây chủ yếu là một vấn đề đối với thị trường PC DIY* , vì Microsoft đã yêu cầu TPM trên các thiết bị chạy Windows 10 trong vài năm qua.

Các bo mạch chủ bán sẵn có thể không đi kèm với TPM phần cứng, nhưng hầu hết các bo mạch từ vài năm trở lại đây đều đi kèm với firmware TPM. Thay vì một dedicated crypto-processor, dạng TPM này sử dụng firmware được lưu trữ ở nơi khác trên bo mạch chủ của bạn để xác thực. Sau đó, nó sẽ mượn sức mạnh của CPU của bạn để xử lý các chức năng mật mã.

Phần cứng TPM an toàn hơn, đơn giản vì nó được cách ly với các thành phần khác trong PC của bạn. Nếu một thành phần hoặc khu vực trên PC của bạn bị xâm phạm, TPM vẫn có thể hoạt động độc lập. Firmware TPM không bị cô lập. Nó vẫn thực hiện chức năng tương tự như TPM phần cứng, nhưng dễ bị giả mạo hơn vì về mặt lý thuyết, kẻ tấn công có thể dễ dàng làm hỏng firmware hơn phần cứng vật lý.

Windows 11 không quan tâm đến loại TPM bạn đang sử dụng, miễn là nó tuân thủ tiêu chuẩn TPM 2.0. Nếu bạn đã xây dựng máy tính của riêng mình trong vài năm qua, bạn có thể kích hoạt firmware TPM thông qua BIOS của bo mạch chủ. Nếu bạn mua một máy tính hoặc máy tính xách tay dựng sẵn, bạn có thể chạy Windows 11 trên đó miễn là nó được sản xuất sau năm 2016 (khi Microsoft triển khai yêu cầu TPM trong Windows 10).

Theo digitaltrends