Skip to main content

Hva er TPM: Hvorfor er Trusted Platform Module-enheter viktige?

Windows 11
(Foto: Microsoft)

Windows 11 har plutselig satt søkelys på en type lite kjent maskinvare, en enhet som potensielt kan bli krumtappen for det nye operativsystemets suksess. Møt TPM.

Formålet med denne lille kryptoprosessoren er å beskytte data (knyttet til bedrifter eller personer.) TPM står for Trusted Platform Module, og er maskinvare som har eksistert i over et tiår, og er en relativt beskjeden enhet, rent størrelsesmessig – normalt sett er det snakk om en liten prosessorbrikke som har som oppgave å beskytte den tilknyttede enhetens data.

Hvorfor TPM?

Databeskyttelse er særlig viktig gitt utbredelsen av bærbare PC-er og nettbrett, siden slike enheter oftere blir forlagt eller stjålet.

Hver enkelt bortkommen laptop er en potensiell datakatastrofe, siden det på slike enheter gjerne kan ligge sensitiv data – personellinformasjon, finansdata, eller dine hemmelige planer for å ta over verden, for eksempel. Slikt vil man helst holde for seg selv.

Det kan man gjøre med TPM-er. Disse kan blant annet brukes til å lage og lagre krypteringsnøkler, slik at fysiske enheter på avveie ikke kan misbrukes av uvedkommende.

Et nærbilde av en TPM-modul

Et nærbilde av en TPM-modul (Image credit: Quiet PC)

TPM i praksis

Enheter som tar i bruk TPM-moduler gir brukeren muligheten til å sikre systemet på en rekke måter. Først og fremst som et første forsvarledd på maskinvarenivå, som kan sikre at oppstartsprosessen, før operativsystemet tar over, er sikret. I tillegg kan TPM-enheten brukes av alle støttede applikasjoner som tar i bruk sikker innlogging eller autentisitetssjekker. Det kan for eksempel være snakk om DRM-systemer i Microsoft 365-programvare eller innlogging på spesifikke domener.

Hvor mye TPM-brikken brukes avhenger av produsenten av maskinen. Enkelte produsenter har en mer vidstrakt bruk enn andre, og i mange tilfeller må man aktivt slå på sikkerhetsinnstillinger for å sikre sine data. Den kan for eksempel brukes til å kryptere hele, eller deler av, harddisken din; den kan sikre bruk av e-post eller VPN-tjenester og kan være god å ha når enheten din skal kasseres, slik at den ikke ender opp i andres hender med konfidensielle data liggende fritt tilgjengelig.

TPM er vanskelig å klå

TPM-basert kryptering er eksepsjonelt vanskelig å omgå. Dataene som krypteres med TPM-brikken kan ikke leses uten den rette nøkkelen, og siden disse nøklene prosesseres på uavhengig vis av TPM-brikken vil den ikke rammes av sårbarheter i operativsystemet eller andre programvarebaserte angrep.

Den er ikke sårbar for fysiske angrep heller. Enheter med TPM-funksjonalitet påslått forstår når maskinvare legges til eller fjernes. På denne måten kan man konfigurere maskinen slik at den nekter å fungere hvis den oppdager at det er noe muffins med maskinvaren.

Du kan heller ikke omgå krypteringen ved å fjerne harddisken og sette den i en annen maskin, siden TPM-basert kryptering bare kan låses opp av den spesifikke TPM-brikken som i utgangspunktet låste harddisken.

Selv ekstreme metoder, som for eksempel å operere ut en TPM-brikke fra én maskin og sette den inn i en annen, vil heller ikke fungere, siden TPM-brikken er knyttet opp mot enheten den først ble installert i.

Sett under ett betyr dette at TPM-modulene kan tilby bedrifter noe svært viktig: Vissheten om at enheter som (eventuelt) havner på avveie ikke nødvendigvis betyr at dataene også ender opp i feil hender.

TPM og Windows 11

Windows 11 ble annonsert den 24. juni, hvilket inkluderte en relativt stor overraskelse i form av kravet om at TPM 2.0-støtte måtte være til stede for å ta det i bruk. Gitt at TPM historisk sett har vært funksjonalitet rettet mot bedriftsmarkedet, har det vært mindre vanlig å finne i selvbygde og skreddersydde maskiner.

Det å slå på TPM-brikken er for alle som fra tid til annen har lekt seg litt i BIOS en smal sak. Her kan man slå på både fysiske TPM-brikker og såkalt fTPM-funksjonalitet (der maskinvaren sitter i selve BIOS-brikken, istedenfor å være en separat brikke.) Dog, ikke alle er like teknologisk stødige, og for svært mange kan dette innebære å skaffe seg en fysisk TPM-brikke eller å kjøpe seg en kompatibel Windows 11-PC.

Hvorfor Microsoft valgte å gjøre det obligatorisk med TPM-funksjonalitet ved bruk av Windows 11, rent bortsett fra sikkerhetsaspektet, er usikkert. Enkelte mener å vite at TPM-funksjonalitet gjør det langt vanskeligere å selge piratkopierte varianter av Microsoft-programvare på nett.