Trusted Platform Modul

Aus Thomas-Krenn-Wiki
Zur Navigation springen Zur Suche springen

Ein Trusted Platform Modul (TPM) ist ein dedizierter Microcontroller, der hardwarebasierte Sicherheitsfunktionen zur Verfügung stellt. Ähnlich wie der Chip einer SmartCard enthält ein TPM einen Kryptoprozessor (Generatoren für Zufallszahlen, RSA Schlüssel, SHA Hashes sowie eine Ver/Entschlüsselungs- und Signatureinheit), persistenten Speicher sowie flüchtigen Speicher. Die Laufwerksverschlüselung BitLocker unter Windows ist ein bekanntes Anwendungsgebiet von TPMs.

Was ist ein TPM 2.0 Modul?

Beispiel eines TPM 2.0: Supermciro AOM-TPM-9670V-S mit Infineon SLB-9670VQ2.0.

Ein Trusted Platform Modul (TPM) ist ein Mikrochip, welcher auf PC/Server Hardware verwendet wird um grundlegende hardwarebasierte Sicherheitsfunktionen zur Verfügung zu stellen. Server Mainboards verfügen größtenteils über einen optionalen TPM Header in welchen ein kompatibles TPM Modul verbaut werden kann. Die TPM Header unterscheiden sich sehr, es kann nicht jedes beliebige Modul verwendet werden. Der aktuelle TPM 2.0 Standard wird ab Windows 8 sowie Linux Kernel 4.0 unterstützt. BitLocker unter Windows ist ein oft benutztes Feature für Laufwerksverschlüsselungen, welches in diesem Artikel gezeigt wird.

Alternativen

Als Alternative zu einem dedizierten TPM kann ein sogenannte Firmware TPM (fTPM) dienen. Dabei handelt es sich um keinen separaten Chip, sondern um einen eigenen Microcontroller-Kern einer CPU oder Chipsatzes. Ein fTPM arbeitet damit ebenso unabhängig von der eigentlichen CPU wie ein dediziertes TPM 2.0 Modul.

Bekannte Firmware TPM:

  • AMD Firmware TPM (AMD fTPM): AMD CPUs haben seit der AM4-Plattform (2016) ein eingebettetes TPM 2.0, genannt AMD fTPM.[1][2][3] Dieses kann benutzt werden, sofern dies vom Mainboardhersteller im BIOS unterstützt wird.
  • Intel Platform Trust Technology (Intel PTT) bietet die Möglichkeiten des diskreten TPM 2.0. Intel PTT ist eine Plattformfunktionalität für die Speicherung von Anmeldeinformationen und die Schlüsselverwaltung, die von Windows 8 und Windows 10 verwendet wird. Intel PTT unterstützt BitLocker zur Festplattenverschlüsselung und unterstützt alle Microsoft-Anforderungen für Firmware Trusted Platform Module (fTPM) 2.0.[4] PTT wird vor allem im PC-Bereich eingesetzt, bei Server-Mainboards sind hauptsächlich dedizierte TPMs im Einsatz.[5]

TPM Modul verbauen & BIOS Settings überprüfen

Das folgende Beispiel zeigt ein Supermicro X11SCH-F Mainboard mit einem AOM-TPM-9670V-C TPM:

  • Supermicro X11SCH-F Mainboard + AOM-TPM-9670V-C TPM Modul

    Supermicro X11SCH-F Mainboard + AOM-TPM-9670V-C TPM Modul

  • Bios Einstellungen:Advanced

    Bios Einstellungen:Advanced

  • Bios Einstellungen:Advanced → Trusted Computing

    Bios Einstellungen:Advanced → Trusted Computing

  • BIOS Einstellungen:Advanced → Trusted Computing → Security Device Support auf Enabled stellen um TPM zu aktivieren.

    BIOS Einstellungen:Advanced → Trusted Computing → Security Device Support auf Enabled stellen um TPM zu aktivieren.

BitLocker Verschlüsselung einrichten: Windows 10

Die folgenden Screenshots zeigen die Konfiguration der Bitlocker Laufwerksverschlüsselung unter Windows 10:

  • ist Bitlocker im BIOS aktiviert kann auf dem gewünschten Laufwerk die Option "Bitlocker aktivieren" ausgewählt werden.

    Bitlocker aktivieren

  • Verschlüsselung wählen

    Verschlüsselung wählen

  • --> In Datei Speichern

    Wiederherstellungs - Speichermöglichkeiten

  • bei Verschlüsselung der OS Installation muss der Wiederherstellungsschlüssel auf einem anderen Speichermedium gesichert werden.

    Speicherort wählen (Wiederherstellung)

  • Anschließend wird das Laufwerk verschlüsselt. Kann je nach Größe des Laufwerks Minuten, oder Stunden dauern.

    Verschlüsselungsmodus auswählen

  • Austausch des Mainboards, oder TPM Moduls muss der Wiederherstellungsschlüssel eingegeben werden.

    BitLocker-Wiederherstellung

Bitlocker Verschlüsselung einrichten: Windows Server:

Die folgenden Screenshots zeigen die Konfiguration der Bitlocker Laufwerkverschlüsselung unter Windows Server:

  • Am Desktop Server-Manager öffnen.

    Server-Manager öffnen

  • Im Server-Manager unter Dashboard auf Verwalten klicken.

    → Dashboard → Verwalten

  • Unter Dashboard → Verwalten → Rollen und Features hinzufügen.

    → Rollen und Features hinzufügen

  • Vorbereiten der Rollen und Features.

    Vorbereitung

  • Auswahl von Rollenbasierte oder featurebasierte Installation.

    Installationstyp auswählen

  • Auswahl des benötigten Zielservers.

    Zielserver auswählen

  • Datei-/Speicherdienste (1 von 12 installiert) als Serverrollen auswählen.

    Serverrollen auswählen

  • Bitlocker-Laufwerkverschlüsselung (installiert) Enhanced Storage (installiert) = Standartmäßig ausgewählt.

    Feature auswählen

  • Features hinzufügen auswählen.

    Features hinzufügen

  • Features bestätigen mit weiter.

    Features bestätigen

  • Zielserver bei Bedarf automatisch neu starten zur Installation Auswählen.

    Installationsauswahl bestätigen

  • warten, bis die Featureinstallation abgeschlossen ist, dann auf schließen klicken.

    Installationsstatus

  • Bitlocker aktivieren.

    Bitlocker aktivieren

  • Auf -> In Datei speichern Auswählen um den Speicherort, des Wiederherstellungsschlüssels (Bitlocker-key) auswählen zu können.

    → In Datei speichern auswählen

  • Den gewünschten Speicherort auswählen, wo der Wiederherstellungsschlüssel (Bitlocker-key) gespeichert werden soll.

    Speichermedium auswählen

  • Gewünschte Unterordner auswählen um Wiederherstellungsschlüssel (Bitlocker-key) zu speichern.

    Speicherort auswählen

  • Auswählen, welcher Speicherplatz der Festplatte verschlüsselt werden soll.

    Speicherplatz verschlüsseln

  • Auswählen, des gewünschten Verschlüsselungsmodus.

    Verschlüsselungs-modus

  • Verschlüsselung starten.

    Verschlüsselung starten

  • Wiederherstellungsschlüssel (Bitlocker-key) auf Speichermedium -> in gewünschten Ordner gespeichert (in Ordner auffindbar).

    Gespeicherter Bitlocker-key

  • Die Textdatei im Bild davor öffnen.

    Wiederherstellungs-schlüssel

FAQs

Dieser Abschnitt liefert Antworten zu Fragen rund um TPM:

  • Welches TPM-Modul brauche ich für mein Mainboard?
    Dies gibt meistens der Mainboard Hersteller bspw. Supermicro vor. Thomas-Krenn bietet passende TPM-Module für die jeweilige Mainboards an. Sollten Sie für einen älteren Thomas-Krenn Server ein Modul benötigen können Sie dies über den Vertrieb anfragen.
  • Können virtuelle Datenträger wie RAIDs verschlüsselt werden?
    Ja, diese können ebenfalls verschlüsselt werden. Ist eine Platte defekt werden bei einem Rebuild automatisch die verschlüsselten Daten ohne aktivieren des Wiederherstellungsschlüssels übernommen. Ebenso wird bei defekt des Controllers kein Wiederherstellungsschlüssel benötigt.
  • Bei Defekt des Mainboards oder TPM Moduls: wie komme ich an meine verschlüsselten Daten?
    Auf dem neuen Mainboard, oder TPM Modul muss nur einmalig der Wiederherstellungsschlüssel eingegeben werden. Anschließend kann wieder auf die Daten zugegriffen werden.
  • Ist es möglich externe Datenträger zu verschlüsseln z.B USB Sticks?
    Ja, es wird empfohlen als Verschlüsselungsmodus "Kompatibler Modus" auszuwählen.
  • Mit dem Begriff TPM wird oftmals Provisioning in Verbindung gebracht. Muss ich hierzu manuell was konfigurieren und welche Vorteile habe ich dadurch?
    Wir bieten nur TPM Module an, welche bereits auf die Systeme vorprovisioniert wurden. Hauptsächlich wird das Provisioning benötigt um Intel TXT zu verwenden.

Weitere Informationen

Einzelnachweise

  1. How to Check the TPM Status & Enable the CPU’s fTPM/PTT (helgeklein.com, 02.07.2021)
  2. AMD PRO Security (www.amd.com)
  3. 2018 Firmware TPM Updates (www.amd.com)
  4. Trusted Platform Module Information for Intel NUC (www.intel.com)
  5. Does 1019P-WTR server support PTT in BIOS? (www.supermicro.com, FAQ 21291) We did not enable Intel PTT on our Purley platform. (PTT steht bei Supmericro X11 Mainboards für Intel Xeon Scalable (Purley) nicht zur Verfügung.)


Foto Johannes Freund.jpg

Autor: Johannes Freund

Johannes Freund arbeitet im Product Management Team von Thomas-Krenn. Er ist für die Evaluierung von neuen Intel Server und Low Energy Systemen zuständig. Außerdem übernimmt er die Betreuung der Auszubildenden in der Product Management Abteilung. In seiner Freizeit betreibt er regelmäßig Sport und beschäftigt sich auch privat gerne mit PC/Server Komponenten.


Foto Elias Krieg.jpg

Autor: Elias Krieg

Elias Krieg arbeitet im Digital Sales Team von Thomas-Krenn. Er absolvierte an der Realschule Passau seinen Mittleren Schulabschluss und ist seit 2021 als Azubi zum Kaufmann für IT-Systemmanagement bei Thomas-Krenn beschäftigt. Dabei beschäftigt er sich unter anderem mit Kundenanfragen. In seiner Freizeit beschäftigt er sich mit Dart und fährt gerne Motorrad.


Foto Simon Billinger.jpg

Autor: Simon Billinger

Simon Billinger arbeitet im IT-Admininstrations Team von Thomas-Krenn. Er absolvierte an der Realschule Freyung seinen Mittleren Schulabschluss und ist seit 2021 als Azubi zum Fachinformatiker für Systemintegration bei Thomas-Krenn beschäftigt. Dabei beschäftigt er sich unter anderem mit internem Mitarbeitersupport. In seiner Freizeit trifft er sich gerne mit Freunden und spielt Videospiele.


Das könnte Sie auch interessieren

Intel Platform Trust Technology fTPM
Zum Artikel