Que es un TPM, como funciona y como lo tenemos ya en nuestro pc sin saberlo.
Desde que el pasado 24 de junio Microsoft anunció el lanzamiento de Windows 11, los TPM han pasado a ser el centro de atención de todas las personas que querían probar este nuevo sistema operativo, ya que por primera vez en la historia de Windows era necesario disponer de un ordenador con dicho chip para poder actualizar a la última versión.
(Windows 11, la versión de Windows más reciente Fuente: Microsoft)
El principal problema de esto es el desconocimiento que hay alrededor del TPM, lo cual ha llevado a por ejemplo que mucha gente no pueda instalar el sistema operativo cuando su ordenador es perfectamente compatible y también ha provocado que los chips TPM a la venta en tiendas como Amazon o eBay se hayan agotado o hayan subido de precio hasta triplicar o cuadriplicar lo que valían antes de la presentación. Todo esto, como veremos a continuación, sin ningún tipo de sentido y por eso este artículo intenta resumir lo mejor posible y de la forma más sencilla cual es la función de ese chip, que tipos hay y cómo funciona el que tenemos integrado en casi todos nuestros ordenadores.
¿Qué es un TPM?
Un TPM o Trusted Plataform Module del inglés es básicamente un estándar de funciones criptográficas que tienen como función generar números aleatorios, encriptar y desencriptar datos y generar claves criptográficas para el sistema entre otras cosas.
(Chip TPM dedicado instalado en una placa base. Fuente: Wikipedia.)
A primera vista uno puede pensar que estas tareas tan simples las podría hacer el procesador del ordenador, y de hecho las podría hacer, pero esa es la razón por la que un TPM es tan importante, ya que la CPU puede ser atacada y los datos de la memoria RAM leídos por todo el sistema por lo que hacer esas tareas críticas para la seguridad en el mismo lugar donde se procesa todo lo demás sería peligroso. Razon por la que se usa un TMP, que hace esas tareas de forma aislada al resto del pc de forma que atacarlo se vuelve mucho más difícil.
¿Para qué se usa un TPM?
Un chip de este tipo tiene una gran variedad de usos cruciales para la seguridad del equipo como, por ejemplo:
(Foto de discos duros. Fuente: propia)
¿Qué tipos de TPM hay?
Hay varias revisiones TPM: la 1.2 y la 2.0, con grandes diferencias a nivel de seguridad entre ellas, y siendo la segunda la más reciente y segura.
Al mismo tiempo existen varios tipos según como estén implementadas sus funciones, porque como vimos anteriormente el TPM es un estándar, no un tipo de chip por lo que su función puede desempeñarla un chip especializado, otros procesadores o incluso un programa de software:
(Puerto para un chip TPM dedicado en una placa base. Fuente: propia.)
TPM como firmware, ¿lo incluye mi pc?
Tal y como acabamos de ver, hay varias formas de que nuestro pc tenga TPM, de entre ellas destaca sobre todo la implementación como firmware.
Esta opción es compatible con todas las CPUs Intel que dispongan de PPT (Platform Trust Technology) que a su vez forma parte del ME (Intel Management Engine) presente en todos los chipsets Intel fabricados a partir de 2008. Lo cual haría compatible en teoría a todas las generaciones de Intel Core para portátiles y sobremesa, así como a los Xeon a partir del socket 1366.
Para AMD la historia es muy parecida, ya que todas sus CPUs que dispongan de PSP (Platform Security Processor) serán compatibles. Esta tecnología se empezaría a incorporar en las CPUs de la marca a partir de 2013, por lo que cualquier CPU moderna de AMD será compatible, incluyendo todas las generaciones de Ryzen para sobremesa y portátiles, todos los chips EPYC para servidores y los procesadores de las familias FX, A y E lanzados a partir de esa fecha.
(Cajas de procesadores AMD Ryzen. Fuente: propia)
Mi pc es compatible, ¿Cómo lo puedo activar?
La activación del fTPM es igual para las dos marcas, en todos los casos habrá que dirigirse al BIOS y buscar una opción que indique fTPM, TPM, Intel Platform Trust Tech (IPTT), PCH-FW o una referencia similar. Donde se encuentre este ajuste o si estará disponible en la placa base dependerá del fabricante y de la versión del BIOS de esta, aunque generalmente se suele encontrar en el apartado de seguridad.
También es importante tener en cuenta que, en algunos casos, especialmente en ordenadores portátiles esta opción no está presente en el BIOS y viene ya activada por defecto ya que, a partir de Julio de 2016, Microsoft obligo a los fabricantes a incluirlo y a activarlo en todos sus productos nuevos que salieran al mercado con Windows 10.
(Activación de fTPM en un sistema AMD Ryzen. Fuente: propia)
¿Cómo se si el TPM está activado o de que tipo es?
En Windows 10 se puede ver fácilmente los datos de nuestro TPM o si tenemos activado uno en nuestro sistema, simplemente tendremos que acceder al panel de seguridad de Windows, dirigirnos al apartado de seguridad del dispositivo, y si tenemos un TPM instalado y funcionando aparecerá un apartado llamado procesador de seguridad donde si pulsamos en detalles nos aparecerán todos los datos del TPM en dos apartados: especificaciones y estado.
Sobre las especificaciones las más relevantes serán el Fabricante, que si es AMD o Intel indicara que se está usando el TPM por firmware, y la versión de especificación que indica si el estándar es 1.2 o 2.0.
Luego tendremos también el apartado de estado, que indica el estado de funcionamiento del TPM.
(Detalles sobre el TPM de un equipo. Fuente: propia)
¿Cómo funciona el fTPM o TPM por firmware?
Como hemos dicho anteriormente las soluciones TPM por firmware son implementaciones por software que corren en un entorno especial y protegido del ordenador en vez de en la CPU como cualquier otro programa.
Este entorno protegido del ordenador es un subsistema donde corren procesos críticos para la seguridad y el correcto funcionamiento del sistema, se podría decir que es como un mini ordenador dentro de nuestro ordenador que se encarga de la seguridad. Estos como ya habíamos adelantado se conocen como Intel Management Engine (ME) en el caso de Intel o como AMD Platform Security Processor (PSP) en el caso de AMD.
Sobre estos subsistemas se tiene muy poca información, ya que debido a que son críticos para la seguridad desde Intel o AMD apenas dan detalles sobre cómo funcionan, las tareas que hacen o el control que tienen sobre el equipo en profundidad.
Lo que sí se sobre ellos es que en ambos casos se componen de un procesador con un sistema operativo especial, una memoria RAM y una memoria ROM, que están activos siempre que haya energía en el ordenador, que tienen acceso privilegiado sobre todo el sistema principal y que se encargan desde de tareas de seguridad como encriptación de la RAM hasta tareas requeridas para el inicio del ordenador como el arranque seguro o el inicio del procesador principal.
En el caso de Intel, su ME se encuentra dentro de los chipsets de las placas base, se conecta al resto del equipo por una interfaz PCI Express y tiene sus propias direcciones IP y Mac para comunicarse con el exterior del equipo a través de las tarjetas de red. El ME tiene además diferentes módulos que desempeñan diversas tareas en el pc como, por ejemplo: el Secure Boot que evita que se lancen “boot loaders” sin un certificado valido, el Quiet System Technology (QST) también conocido como el Advanced Fan Speed Control (AFSC) que proporciona soporte para el ajuste de velocidad de los ventiladores y la monitorización de la temperatura, voltaje u otros sensores de el chipset, la CPU y demás dispositivos de la placa base o el Intel Platform Trust Technology (PTT) que da soporte al TPM por firmware.
AMD, sin embargo, localiza su PSP dentro de la propia CPU, en el módulo I/O de la misma. Según su guía para desarrolladores define este módulo como un coprocesador con arquitectura ARM que se encarga de crear monitorizar y mantener un entorno seguro y de gestionar los procesos de inicio. Tambien como se puede ver en la ilustracion inferior este pequeño sistema tiene un procesador criptografico dedicado.
(Diapositiva de una presentación de AMD donde se exponen las características de un PSP. Fuente: AMD)
Con esto ya quedaria concluida la explicacion de que es un TPM, para que se usa y si tenemos uno disponible para usar en nuestro ordenador. Como se ha podido ver el requisito es mucho mas leve de lo que parecia y no devería ser un impedimiento para que podamos usar Windows 11 en cualquier ordenador, de hecho sera un mayor problema la escasa lista de procesadores compatibles que ha anunciado Microsoft. Espero que este articulo os haya gustado y que se haya visto que no es necesario comprar corriendo un TPM para actualizar nuestro ordenador.
Artículo publicado para el concurso de redacción de Geeknetic
Desde que el pasado 24 de junio Microsoft anunció el lanzamiento de Windows 11, los TPM han pasado a ser el centro de atención de todas las personas que querían probar este nuevo sistema operativo, ya que por primera vez en la historia de Windows era necesario disponer de un ordenador con dicho chip para poder actualizar a la última versión.
(Windows 11, la versión de Windows más reciente Fuente: Microsoft)
El principal problema de esto es el desconocimiento que hay alrededor del TPM, lo cual ha llevado a por ejemplo que mucha gente no pueda instalar el sistema operativo cuando su ordenador es perfectamente compatible y también ha provocado que los chips TPM a la venta en tiendas como Amazon o eBay se hayan agotado o hayan subido de precio hasta triplicar o cuadriplicar lo que valían antes de la presentación. Todo esto, como veremos a continuación, sin ningún tipo de sentido y por eso este artículo intenta resumir lo mejor posible y de la forma más sencilla cual es la función de ese chip, que tipos hay y cómo funciona el que tenemos integrado en casi todos nuestros ordenadores.
¿Qué es un TPM?
Un TPM o Trusted Plataform Module del inglés es básicamente un estándar de funciones criptográficas que tienen como función generar números aleatorios, encriptar y desencriptar datos y generar claves criptográficas para el sistema entre otras cosas.
(Chip TPM dedicado instalado en una placa base. Fuente: Wikipedia.)
A primera vista uno puede pensar que estas tareas tan simples las podría hacer el procesador del ordenador, y de hecho las podría hacer, pero esa es la razón por la que un TPM es tan importante, ya que la CPU puede ser atacada y los datos de la memoria RAM leídos por todo el sistema por lo que hacer esas tareas críticas para la seguridad en el mismo lugar donde se procesa todo lo demás sería peligroso. Razon por la que se usa un TMP, que hace esas tareas de forma aislada al resto del pc de forma que atacarlo se vuelve mucho más difícil.
¿Para qué se usa un TPM?
Un chip de este tipo tiene una gran variedad de usos cruciales para la seguridad del equipo como, por ejemplo:
- Asegurar la integridad del dispositivo, lo cual significa detectar y prevenir modificaciones no autorizadas en los datos del sistema.
- Encriptar discos duros, esto no lo hace directamente, sino que utilidades de encriptación como BitLocker se apoyan su tecnología para asegurar las claves de encriptación y la integridad del contenido encriptado.
(Foto de discos duros. Fuente: propia)
- Identificar el dispositivo, permitiendo asegurar la identidad de cada dispositivo frente a otros.
- Proteger contraseñas, evitando que se puedan romper por fuerza bruta y ataques por diccionario.
¿Qué tipos de TPM hay?
Hay varias revisiones TPM: la 1.2 y la 2.0, con grandes diferencias a nivel de seguridad entre ellas, y siendo la segunda la más reciente y segura.
Al mismo tiempo existen varios tipos según como estén implementadas sus funciones, porque como vimos anteriormente el TPM es un estándar, no un tipo de chip por lo que su función puede desempeñarla un chip especializado, otros procesadores o incluso un programa de software:
- Chip TPM dedicado: son chips especializados independientes que se pueden añadir a las placas base sí disponen de un puerto adecuado (marcado con las letras TPM como se puede ver en la siguiente ilustración) Son los más seguros al ser un chip ajeno al sistema.
(Puerto para un chip TPM dedicado en una placa base. Fuente: propia.)
- Chip TPM integrado: son chips especializados pero que forman parte de otro chip, como puede ser el chipset de una placa base. Son como los dedicados, pero ya instalados en las placas base.
- TPM como firmware (fTPM): es la implementación más común, presente en prácticamente todas las CPUs modernas de Intel, AMD y Qualcomm. Funcionan corriendo un software que realiza las funciones de un TPM en un entorno seguro dentro de los procesadores que está aislado del resto del sistema. Más adelante lo explicaremos en profundidad.
- TPM como software: son emuladores que realizan las funciones de un TMP como un programa normal, usado en supervisores de máquinas virtuales o con fines de desarrollo. Su seguridad depende del entorno donde se ejecute.
TPM como firmware, ¿lo incluye mi pc?
Tal y como acabamos de ver, hay varias formas de que nuestro pc tenga TPM, de entre ellas destaca sobre todo la implementación como firmware.
Esta opción es compatible con todas las CPUs Intel que dispongan de PPT (Platform Trust Technology) que a su vez forma parte del ME (Intel Management Engine) presente en todos los chipsets Intel fabricados a partir de 2008. Lo cual haría compatible en teoría a todas las generaciones de Intel Core para portátiles y sobremesa, así como a los Xeon a partir del socket 1366.
Para AMD la historia es muy parecida, ya que todas sus CPUs que dispongan de PSP (Platform Security Processor) serán compatibles. Esta tecnología se empezaría a incorporar en las CPUs de la marca a partir de 2013, por lo que cualquier CPU moderna de AMD será compatible, incluyendo todas las generaciones de Ryzen para sobremesa y portátiles, todos los chips EPYC para servidores y los procesadores de las familias FX, A y E lanzados a partir de esa fecha.
(Cajas de procesadores AMD Ryzen. Fuente: propia)
Mi pc es compatible, ¿Cómo lo puedo activar?
La activación del fTPM es igual para las dos marcas, en todos los casos habrá que dirigirse al BIOS y buscar una opción que indique fTPM, TPM, Intel Platform Trust Tech (IPTT), PCH-FW o una referencia similar. Donde se encuentre este ajuste o si estará disponible en la placa base dependerá del fabricante y de la versión del BIOS de esta, aunque generalmente se suele encontrar en el apartado de seguridad.
También es importante tener en cuenta que, en algunos casos, especialmente en ordenadores portátiles esta opción no está presente en el BIOS y viene ya activada por defecto ya que, a partir de Julio de 2016, Microsoft obligo a los fabricantes a incluirlo y a activarlo en todos sus productos nuevos que salieran al mercado con Windows 10.
(Activación de fTPM en un sistema AMD Ryzen. Fuente: propia)
¿Cómo se si el TPM está activado o de que tipo es?
En Windows 10 se puede ver fácilmente los datos de nuestro TPM o si tenemos activado uno en nuestro sistema, simplemente tendremos que acceder al panel de seguridad de Windows, dirigirnos al apartado de seguridad del dispositivo, y si tenemos un TPM instalado y funcionando aparecerá un apartado llamado procesador de seguridad donde si pulsamos en detalles nos aparecerán todos los datos del TPM en dos apartados: especificaciones y estado.
Sobre las especificaciones las más relevantes serán el Fabricante, que si es AMD o Intel indicara que se está usando el TPM por firmware, y la versión de especificación que indica si el estándar es 1.2 o 2.0.
Luego tendremos también el apartado de estado, que indica el estado de funcionamiento del TPM.
(Detalles sobre el TPM de un equipo. Fuente: propia)
¿Cómo funciona el fTPM o TPM por firmware?
Como hemos dicho anteriormente las soluciones TPM por firmware son implementaciones por software que corren en un entorno especial y protegido del ordenador en vez de en la CPU como cualquier otro programa.
Este entorno protegido del ordenador es un subsistema donde corren procesos críticos para la seguridad y el correcto funcionamiento del sistema, se podría decir que es como un mini ordenador dentro de nuestro ordenador que se encarga de la seguridad. Estos como ya habíamos adelantado se conocen como Intel Management Engine (ME) en el caso de Intel o como AMD Platform Security Processor (PSP) en el caso de AMD.
Sobre estos subsistemas se tiene muy poca información, ya que debido a que son críticos para la seguridad desde Intel o AMD apenas dan detalles sobre cómo funcionan, las tareas que hacen o el control que tienen sobre el equipo en profundidad.
Lo que sí se sobre ellos es que en ambos casos se componen de un procesador con un sistema operativo especial, una memoria RAM y una memoria ROM, que están activos siempre que haya energía en el ordenador, que tienen acceso privilegiado sobre todo el sistema principal y que se encargan desde de tareas de seguridad como encriptación de la RAM hasta tareas requeridas para el inicio del ordenador como el arranque seguro o el inicio del procesador principal.
En el caso de Intel, su ME se encuentra dentro de los chipsets de las placas base, se conecta al resto del equipo por una interfaz PCI Express y tiene sus propias direcciones IP y Mac para comunicarse con el exterior del equipo a través de las tarjetas de red. El ME tiene además diferentes módulos que desempeñan diversas tareas en el pc como, por ejemplo: el Secure Boot que evita que se lancen “boot loaders” sin un certificado valido, el Quiet System Technology (QST) también conocido como el Advanced Fan Speed Control (AFSC) que proporciona soporte para el ajuste de velocidad de los ventiladores y la monitorización de la temperatura, voltaje u otros sensores de el chipset, la CPU y demás dispositivos de la placa base o el Intel Platform Trust Technology (PTT) que da soporte al TPM por firmware.
AMD, sin embargo, localiza su PSP dentro de la propia CPU, en el módulo I/O de la misma. Según su guía para desarrolladores define este módulo como un coprocesador con arquitectura ARM que se encarga de crear monitorizar y mantener un entorno seguro y de gestionar los procesos de inicio. Tambien como se puede ver en la ilustracion inferior este pequeño sistema tiene un procesador criptografico dedicado.
(Diapositiva de una presentación de AMD donde se exponen las características de un PSP. Fuente: AMD)
Con esto ya quedaria concluida la explicacion de que es un TPM, para que se usa y si tenemos uno disponible para usar en nuestro ordenador. Como se ha podido ver el requisito es mucho mas leve de lo que parecia y no devería ser un impedimiento para que podamos usar Windows 11 en cualquier ordenador, de hecho sera un mayor problema la escasa lista de procesadores compatibles que ha anunciado Microsoft. Espero que este articulo os haya gustado y que se haya visto que no es necesario comprar corriendo un TPM para actualizar nuestro ordenador.
Artículo publicado para el concurso de redacción de Geeknetic