Skip to main content

TPM: che cos'è, come funziona e perché serve su Windows 11

Windows 11
(Image credit: Microsoft)

A breve milioni di utenti potranno installare e cominciare a usare Windows 11. Per farlo sarà necessario avere un PC compatibile, e tra i requisiti per Windows 11 c'è anche il modulo TPM 2.0. 

TPM sta per Trusted Platform Module, una elemento del PC che esiste dal 2006, anche se inizialmente era diffuso solo in ambito professionale. In sostanza si tratta di un piccolo processore il cui unico scopo è proteggere una serie di dati molto importanti. Nei Mac è sostituito dal chip T2, per esempio, e anche tra i componenti hardware di molti smartphone c'è qualcosa di simile.

La novità, quindi, è che Windows 11 rende obbligatoria la presenza di questa tecnologia. 

Perché TPM?

La protezione dei dati è sempre molto importante, ma lo è ancora di più con portatili, smartphone e dispositivi mobili vari, in quanto per loro natura sono più soggetti a furti (dato che li portiamo spesso con noi). In caso di smarrimento o furto, oltre a dover ricomprare il prodotto, si rischia infatti che uno sconosciuto possa accedere ai nostri dati (contatti, fotografia, conto bancario e via dicendo). 

Se parliamo di portatili usati per attività delicate (servizi sanitari, bancari, fiscali), in caso di furto i danni potrebbero essere ingenti, anche a livello economico.

Ed ecco perché il TPM 2.0 è importante: questa parte del computer può garantire che certe informazioni restino al sicuro, anche se il dispositivo finisce nelle mani sbagliate. 

A close up of a TPM module

A close up of a TPM module (Image credit: Quiet PC)

TPM, come funziona in pratica

Per usare un dispositivo protetto dal modulo TPM 2.0 è necessario effettuare l'accesso tramite il sistema di autenticazione. Ce ne sono diversi come PIN, password, dati biometrici (impronta e volto), smart card, codici OTP e via dicendo; in aggiunta esistono delle combinazioni di due o più sistemi. A ragion veduta è bene dotarsi di un buon password manager

A prescindere dal metodo utilizzato, il dato è conservato in sicurezza dal TPM. Questo modulo gestisce anche la crittografia dei dati dopo un login corretto, l'autenticazione online per certi servizi, come le email sicure lo le VPN. Il modulo TPM 2.0 torna utile anche quando arriva il momento di smaltire o vendere il PC usato, per assicurarsi che i dati sensibili vengano eliminati correttamente. 

TPM, funziona davvero? 

Il modulo TPM, in particolare il recente TPM 2.0, usa un tipo di crittografia davvero molto resistente. I dati protetti sono inaccessibili se non si hanno le giuste informazioni di autenticazione. Il processore TPM gestisce le chiavi di crittografia, quindi se anche qualcuno dovesse riuscire a violare la sicurezza di Windows, non riuscirebbe comunque ad accedere ai dati importanti. 

Per questa ragione Microsoft ha deciso di rendere il TPM 2.0 obbligatorio su Windows 11.

Anche gli attacchi fisici (quando ti rubano il computer e provano a violare i dati con cacciavite e saldatore) sono molto difficili da portare a termine sui PC dotati di TPM 2.0. Questi infatti possono rilevare modifiche all'hardware di sistema, e rifiutare di conseguenza l'accesso ai dati. Inizialmente i moduli TPM hanno creato qualche problema per utenti onesti che cambiavano hard disk o scheda video, ma quei primi problemi furono risolti velocemente. 

In altre parole, non si può smontare un hard disk crittografato e cercare di leggerlo su un'altra macchina, perché il processore TPM originale ha le chiavi e se le tiene strette. E anche smontare il chip TPM e montarlo su un altro PC non aiuterebbe, perché questo elemento è vincolato al computer su cui è nato. 

Grazie al modulo TPM 2.0, quindi, aziende e professionisti possono contare su una sicurezza di alto livello. 

TPM su Windows 11

Windows 11 è stato annunciato il 24 giugno 2021 e sarà disponibile, come aggiornamento, alla fine di quest'anno. Potranno installare tutti quelli che hanno un PC recente, con CPU Intel di 8 generazione o equivalente. E deve essere presente anche un chip TPM 2.0. 

Del resto Microsoft ha fornito informazioni contrastanti sull'obbligatorietà del requisito. Nella pagina di presentazione di Windows 11 è indicato il TPM 2.0 come requisito per l'installazione, mentre nella pagina dedicata alla compatibilità, tra i requisiti, viene indicato il TPM 1.2. Questo perché Microsoft ha deciso di prevedere due livelli di requisiti, che definisce "hard floor" e "soft floor".

Chi soddisfa i requisiti soft floor potrà passare a Windows 11 tranquillamente, chi invece ha i requisiti per l'hard floor potrà comunque fare l'upgrade, ma con delle limitazioni. Coloro che non dispongono nemmeno dei requisiti hard floor non potrà passare al nuovo OS Windows.. 

Questi sono i requisiti specifici indicati sul sito Microsoft:

Requisiti Windows 11

Hard Floor

  • CPU: Core >= 2 and Speed >= 1 GHz
  • System Memory: TotalPhysicalRam >= 4 GB
  • Storage: 64 GB
  • Security: TPM Version >= 1.2 and SecureBootCapable = True
  • Smode: Smode is false, or Smode is true and C_ossku in (0x65, 0x64, 0x63, 0x6D, 0x6F, 0x73, 0x74, 0x71)

Soft Floor

  • Security: TPMVersion >= 2.0
  • CPU Generation

L'elemento di novità è che si richiede una piattaforma TPM per tutti, mentre fino a oggi era una caratteristica tipica del mondo aziendale. Chi si assembla un PC da sé dovrà tenerlo in considerazione, e anche per i produttori di motherboard la faccenda potrebbe implicare qualche cambiamento.  

Per molti si tratta in verità di una cosa semplicissima, visto che nella stragrande maggioranza dei casi basta accedere al BIOS e abilitare fTPM (Firmware TPM). In molti casi infatti l'hardware necessario è già presente, ma non viene utilizzato. In alcuni casi potrebbe essere necessario comprare un nuovo computer per usare Windows 11, ma solo se si sta utilizzando un PC o un portatile datato.

A parte convenienza e difficoltà, perché Microsoft ha resto il TPM 2.0 obbligatorio per avere Windows 11? Sicuramente vuole aumentare la sicurezza, e considerando quanto spesso si sente di attacchi informatici più o meno grave, nessuno può onestamente lamentarsi per una sicurezza migliorata. 

C'è anche, però, una possibile questione di pirateria software. Rivendere licenze Windows non autorizzate, se tutti hanno un computer dotato di modulo TPM 2.0, potrebbe risultare più difficile. Ma sarebbe più che altro un effetto collaterale, perché il bilancio di Microsoft non cambierebbe più di tanto se tutte le licenze illecite dovessero sparire. 

Valerio Porcu

Valerio Porcu è Redattore Capo e Project Manager di TechRadar Italia.