Die meisten von euch werden mit TPM erstmal wenig anfangen können. Dabei habt ihr alle sicherlich ein Gerät das über TPM verfügt. Doch der Reihe nach: TPM steht für [b]Trusted Platform Module[/b]. Ein TPM stellt einen abgesicherten Speicherbereich für kryptographische Schlüssel zur Verfügung, sammelt bestimmte Daten über den Zustand des Computers und unterstützt das Betriebssystem beim Zugriff auf kryptographische Funktionen wie etwa das Verschlüsseln einer Festplatte.
In einem TPM wird das asymmetrische Verschlüsselungsverfahren RSA genutzt. RSA nutzt ein einzigartiges Schlüsselpaar, dass aus 2 Schlüsseln, dem öffentlichen Verschlüsselungschlüssel (Public Key) und dem geheimen Entschlüsselungsschlüssel (Private Key) besteht. TPM nutzt eine RSA Schlüssellänge von 2048 bit. Da RSA sehr rechenintensiv ist, enthalten TPM Module eine Hardwareeinheit um das Ver- bzw. Entschlüsseln zu beschleunigen.
Dieses Schlüsselpaar (auch Endorsement Key genannt) ist durch den Hersteller des TPM signiert und garantiert so die Einzigartigkeit und Echtheit des TPMs. Im Grunde funktioniert ein TPM wie eine Smartcard nur mit dem Unterschied, das eine Smartcard benutzergebunden ist und ein TPM maschinengebunden.
Ein TPM schützt den Computer vor ungewollter Manipulation und erhöht die Sicherheit beim Zugriff auf verschlüsselte Daten. Zusammen mit dem Betriebssystem, welches den Einsatz eines TPM Modules unterstützen muss (z.B. Windows Vista, Windows 7, Windows 8/8.1, MacOS X, Android, Linux, uvm.) bildet das TPM dann eine so genannte [b]Trusted Computing Plattform[/b], kurz: TC-Plattform.
Der Controller des TPM ruft sein Programm meist aus einen ROM-Baustein ab, der nicht änderbar ist. Daher ist TPM sicher gegen Manipulationen, auch verarbeitet das TPM nur Befehle die vorher korrekt authentifiziert wurden.
[title]Nachteil einer TC-Plattform mit TPM[/title] Allerdings gibt es auch einen großen Nachteil an einer TC-Plattform: Den Datenschutz. Eine Musikdatei könnte mit Hilfe des einzigartigen kryptographischen Schlüssels z.B. auf die Benutzung auf nur diesem PC limitiert werden. Eine Verteilung dieser Datei könnte immer zu ihrem Ursprung zurückverfolgt werden da ein System durch TPM einzigartig identifizierbar ist.Zwar bietet die TPM Spezifikation Unterstützung für das Direct Anonymous Attestation Protokoll welches aber meist keine Anwendung findet weil die Rechteinhaber schlichtweg nicht daran interessiert sind sondern sich lieber den gläsernden Kunden schaffen wollen. Das durch TPM verstärkte DRM (Digital Right Management) kann den normalen Endanwender stark einschränken.
Neuere Autos verfügen auch über TPM-Module und schützen so z.B. die Navigationssoftware vor Produktpiraterie. Dazu liegen wichtige Teile der Software nur verschlüsselt vor und können ohne das TPM nicht entschlüsselt und damit benutzt werden. Dieses Prinzip kann auch auf normale Computersoftware angewendet werden. Das größte Problem in einer TC-Plattform ist, dass viele Sicherheitsentscheidungen nicht mehr bei dem Benutzer liegen sondern das System selbst entscheidet.
[title]TPM sinnvoll einsetzen[/title] Wir wollen uns hier nun aber mit den Vorteilen einer TC-Plattform beschäftigen, allen voran das sichere Verschlüsseln von persönlichen Daten. Hier steht man dann aber schnell vor einem ganz neuen Problem: Eine (möglichst kostenlose) Software finden, die für die Verwendung in einer TC-Plattform geeignet ist. Windows 7 (nur Ultimate und Enterprise) sowie Windows 8/8.1 (nur Pro) stellen dazu die integrierte Software BitLocker zur Verfügung.Die aktuell verbreitetste Verschlüsselungssoftware TrueCrypt unterstützt TPM übrigens nicht. Generell hat sich TPM bei Privatanwendern bisher so gut wie nicht durchgesetzt, in Firmen werden TC-Plattformen aber immer beliebter, Haupteinsatzgebiet sind aber nach wie vor Embedded-Systeme, also Systeme bei denen Soft- und Hardware eine Einheit bilden, z.B. Geldautomaten oder Steuerungsgeräte in Autos, Bahnen oder Flugzeugen.
Durch das geringe öffentliche Interesse sind die Mainboard-Hersteller zudem dazu übergegangen in Mainboards für den Privatanwender kaum noch TPM-Module zu verbauen. Allerdings verfügen heute praktisch alle Mainboards über einen TPM Header, in dem ein kompatibles TPM-Modul eingesteckt werden kann. TPM Module kosten maximal 10 Euro und sind ungefähr so groß wie eine 1-Euro Münze.
Nach dem Einbau des TPM-Moduls erscheint im Bios ein zuvor unsichtbarer Menüpunkt: Trusted Computing. Hier kann das TPM-Modul aktiviert werden. In Notebooks oder OEM-Computern sind allerdings häufig TPM-Module installiert. Diese müssen dann aus Datenschutzgründen im Bios aktiviert werden. Ausnahme bilden Apple-Computer, Tablets und Smartphones bei denen TPM standardmäßig aktiviert ist (und sich auch nicht deaktivieren lässt).
[title]TPM unter Windows 7[/title] Um TPM unter Windows 7 nutzen zu können, muss das TPM Modul im Bios aktiviert sein und in Windows initialisiert werden. Das geht über die Windows-eigene TPM Verwaltung. Um in die Windows TPM Verwaltung zu gelangen, genügt es die Windows-Taste + R (Ausführen) zu drücken und dort [code]tpm.msc[/code] einzugeben. [bild 12] [bild 4]Oben rechts befindet sich die Option [b]TPM initialisieren[/b].
[bild 5]Nach einem Neustart des Computers wird man aufgefordert ein Passwort für das TPM festzulegen. Dies kann ein manuelles oder auch ein automatisch generiertes Passwort sein.
[bild 6]Möchte man ein manuelles Passwort erstellen, so muss dieses aus mindestens 8 Zeichen bestehen.
[bild 7]Die Inititalisierung dauert zwischen 30 und 60 Sekunden. Danach kann das TPM von jeder Software benutzt werden, z.B. von BitLocker.
[bild 8]Ob TPM wirklich korrekt initialisiert wurde kann man auch im Windows Gerätemanager überprüfen.
[bild 10] [title]Fazit[/title] Ein TPM-Modul kann die Sicherheit eines Systems deutlich erhöhen, da es Immun gegen eine Key-Manipulation ist bzw. gefälschte Schlüssel erkennen kann. Ein (bitterer) Beigeschmack ist allerdings die Möglichkeit das System genau zu identifizieren. Das mag einige stören und einige nicht. Solange man das TPM-Modul manuell deaktivieren kann ist dies meiner Meinung nach nicht wirklich ein Problem.Die ideale Einsatzumgebung für TPM sind nach wie vor Embedded-Systeme, hier kann ein TPM garantieren, dass das System genau das macht wofür es vorgesehen ist. Ob für Privatpersonen TPM sinnvoll sein kann, muss jeder selbst entscheiden – wer häufig mit Software wie BitLocker arbeitet um seine Festplatten zu verschlüsseln, sollte einmal über den Einsatz von TPM nachdenken.
Strom verbraucht ein TPM-Modul durch den integrierten Controller natürlich auch, wenn auch relativ wenig. 0,4W betrug der Mehrverbrauch bei meinem ASRock TPM-Modul.
Danke für die ausführliche Beschreibung… jetzt weiß auch ich was das ist 🙂
Eine Frage:
Wir nehmen mal an das Mainboard ist kaputt gegangen. Die Festplatte wurde zuvor mit Bitlocker und TPM verschlüsselt.
Ist die Festplatte dann auch futsch, weil so wie ich es verstanden habe ist das TPM „maschinengebunden“?
Oder ist es möglich wenn man das alte TPM-Modul vom kaputten Mainboard mit der verschlüsselten Festplatte auf das neue Board steckt, die festplatte wieder zu entschlüsseln?
@jojo: Maschinengebunden bezieht sich hier auf das TPM Modul. Das Mainboard kann ohne Datenverlust ersetzt werden.
@stefan
Danke für die Antwort
Guten Morgen,
ist das TPM (als Personal Security Drive) auch ohne Bitlocker nutzbar oder macht das nur mit dieser Kombination Sinn?
@wieso: Du kannst es auch ohne BitLocker benutzen, eventuell arbeitet deine Firewall, dein Antivirus oder z.B. deine Smartcard mit TPM zusammen.
Hallo,
bei meinem PC (Wortmann) muss die Batterie auf dem Mainboard gewechselt werden. Das Gerät ist werksseitig mit einem TPM-Modul ausgerüstet. Der Status lautet: Das TPM ist aktiviert, und der Besitz des TPM wurde übernommen. Am Mainboard befindet sich folgender Hinweis von Intel:
CAUTION This System contains a Trusted Platform Module.
Removal or replacement of this desktop board or battery may render encrypted data unrecoverable. Please read the system documentation before performing maintenance on this system.
In der Dokumentation finde ich jedoch keinen Hinweis darauf, was zu tun ist, damit das System durch den Batteriewechsel keinen Schaden nimmt?
@Bernd: Das ist leider vom System abhängig, am Besten wendest Du dich an den Hersteller.
Danke für Deine schnelle Antwort.
Nachdem ich in den Dokumentationen nichts gefunden habe, habe ich beim Hersteller die mangelhafte Dokumentation beanstandet. Dieser hat mich daraufhin an den Fachhändler vor Ort verwiesen… Ich möchte aber ungern den PC zur „Reparatur“ in die Hände eines Händlers geben, worauf es hinauslaufen würde.
Wie ich in der TechNet-Bibliothek von Microsoft gelesen habe, lässt sich das TPM auch ohne Kennwort deaktivieren und auch wieder einschalten. Ich bin mir nur nicht sicher, ob das die richtige Vorgehensweise ist oder ob man das vom Hersteller vergebene Kennwort auslesen kann?
@Bernd: Das kann ich dir leider auch nicht beantworten.
Das mit dem TPM hat bei mir bis Windows 7 super funktioniert. Bei Windows 10 kann ich mein TPM 1.2 wie im Artikel beschrieben aktivieren und ein Passwort vrgeben, aber ich kann es nicht nutzen. Bei Windows 7 hatte ich in der Taskleiste ein TPM-Icon. Drauf geklickt und schon konnnte ich ein TPM-Laufwerk einrichten und dann nutzen. Bei Windows 10 bekomme ich kein TPM-Icon auf die Taskleiste und kann TPM somit auch nicht nutzen. Mit tpm.msc komme ich nur in den Manager, der mir anzeigt, dass TPM einwandfrei funktioniert. Was kann ich tun? Danke schon mal im Voraus!
@Mendel: TPM sollte unter Windows 10 eigentlich identisch zu aktivieren sein. Ich kann das bei mir aber leider nicht ausprobieren (PC hat kein TPM).
Hallo Stefan, danke für Deine Antwort – nur es tut es unter Windows 10 nicht! Alles ist wie oben in dem Artikel beschrieben, auch im BIOS ist alles auf enable, nur nutzen kann ich es eben nicht. Auf Windows 7 habe ich das Symbol in der Taskleiste und das fehlt mir bei Windows 10. In Windows 7 habe ich das TPM-Icon angeklickt, ein Laufwerk mit von mir festgelegter Größe angelegt und bei Kennt nis des Kennwortes konnte ich es laden und nutzen. Bei Windows 10 fehlt mir genau diese Möglichkeit – oder ich finde sie nicht. Vielleicht hast Du oder jemand Anderes noch eine Idee!
Beste Grüße
@Mendel: Schau mal [link=https://blogs.msdn.microsoft.com/mvpawardprogram/2016/01/12/securing-windows-10-with-bitlocker-drive-encryption/]hier[/link] unter „step by step configuration“
Hallo Stefan, vielen Dank! Ich werde es versuchen. Wird wohl (für einen Laien wie mich) eine größere Operation, aber der Versuch ist es wert. Warum um alles in der Welt kann das nicht so einfach funktionieren wie bei Windows 7??
Egal, ich versuche es.
Nochmals besten Dank!!