Trusted Platform Module 2.0 (TPM 2.0)

Trusted Platform Module steht für Si­cher­heits­chips, die auf der Haupt­pla­ti­ne eines Laptops oder Computers in­te­griert werden. Durch grund­le­gen­de Si­cher­heits­funk­tio­nen schafft TPM eine sichere Umgebung zur Prüfung der Sys­tem­in­te­gri­tät, au­then­ti­fi­ziert Nut­ze­rin­nen und Nutzern oder speichert kryp­to­gra­fi­sche Schlüssel und Pass­wör­ter. Mit der 2018 ver­öf­fent­lich­ten Version TPM 2.0 kommen neue Funk­tio­nen hinzu, u. a. die Anwendung ver­schie­de­ner Hash-Al­go­rith­men, per­sön­li­che Iden­ti­fi­ka­ti­ons­num­mern sowie eine be­nut­zer­de­fi­nier­te Schlüs­sel­ver­wal­tung.

Gängige Schutz­me­cha­nis­men gegen Schad­soft­ware, Rootkits oder Ran­som­wa­re sind den meisten Nut­ze­rin­nen und Nutzern bekannt. Dazu zählen neben Firewalls auch An­ti­vi­ren­pro­gram­me oder eine Zwei-Faktor-Au­then­ti­fi­zie­rung. Beim Trusted Platform Module handelt es sich in diesem Zu­sam­men­hang um Si­cher­heits­chips, die einem System eine weitere Si­cher­heits­ebe­ne hin­zu­fü­gen.

Der in Laptops und Computer physisch in­te­grier­te TPM-Chip dient zur Geräte- und Nut­zer­au­then­ti­fi­zie­rung sowie zur Über­prü­fung der Sys­tem­in­te­gri­tät oder von Software-Lizenzen. Eine weitere wichtige Funktion umfasst das Speichern kryp­to­gra­fi­scher Schlüssel, Kenn­wör­ter und Zer­ti­fi­ka­te. Indem TPM eine sichere, vor Ma­ni­pu­la­tio­nen ge­schütz­te Umgebung schafft, lassen sich Kom­po­nen­ten der Software und Hardware beim Start­vor­gang nach­ein­an­der auf ihre Si­cher­heit hin über­prü­fen. Werden durch den Vergleich mit ge­spei­cher­ten Metriken Ma­ni­pu­la­tio­nen fest­ge­stellt, schlägt TPM Alarm. Kamen TPMs früher in der Regel als separate Si­cher­heits­chips zum Einsatz, verfügen neue Computer und Laptops oftmals von Werk aus über in­te­grier­te TPM-Funk­tio­na­li­tä­ten.

TPM wurde vom Computer-Kon­sor­ti­um TCG (Trusted Computing Group) ent­wi­ckelt und 2009 von der In­ter­na­tio­nal Or­ga­ni­sa­ti­on for Stan­dar­diza­ti­on (ISO) sowie von der In­ter­na­tio­nal Elec­tro­tech­ni­cal Com­mis­si­on (IEC) als ISO/IEC 11889:2009 stan­dar­di­siert. Das erste de­fi­ni­ti­ve TPM wurde am dritten März 2011 als TPM Version 1.2 ver­öf­fent­licht. Mit TPM 2.0 kam im Jahr 2019 der neue TPM-Standard als ISO/IEC 11889:2015 mit neuen Si­cher­heits­funk­tio­nen heraus. Op­ti­mie­run­gen wurden u. a. an der TPM-Ar­chi­tek­tur und -Struktur sowie an den TPM-Befehlen und Support-Routinen vor­ge­nom­men.

Da TPM-2.0-Chips als de­di­zier­te Pro­zes­so­ren fungieren, werden diese direkt auf der Haupt­pla­ti­ne eines Laptops oder Computers in­te­griert. In der Regel verfügen die meisten neuen PCs und Laptops über werk­sei­tig in­te­grier­te TPMs und TPM-Kom­pa­ti­bi­li­tät. Zudem erhalten Sie noch Mo­ther­boards, die keine vor­in­stal­lier­ten TPM-2.0-Chips bieten, jedoch einen Steck­platz für einen zu­sätz­li­chen Chip enthalten. Somit lässt sich ein TPM-Si­cher­heits­chip un­ab­hän­gig von der CPU in­te­grie­ren. Grund­sätz­lich wird bei der An­schaf­fung separater TPM-Chips empfohlen, Chips zu nutzen, die vom selben Mo­ther­board- bzw. Haupt­pla­ti­nen-Her­stel­ler sowie aus demselben Jahrgang stammen.

Mit der Ver­öf­fent­li­chung von Windows 11 wurde TPM 2.0 zur Hardware-Vor­aus­set­zung für das Windows-11-Be­triebs­sys­tem. Dass TPM 2.0 überhaupt existiert, fiel einigen Nut­ze­rin­nen und Nutzern von Windows unter Umständen erst beim Windows-11-Upgrade auf. Verfügt der Computer über kein TPM bzw. ist die TPM-Funktion de­ak­ti­viert, erhalten Sie den Hinweis, dass TPM nicht gefunden wurde bzw. nicht kom­pa­ti­bel ist. Zudem ist ein UEFI (Unified Ex­ten­si­ble Firmware Interface) mit Secure-Boot-Funktion er­for­der­lich.

TPM 2.0 wird in Windows u. a. für folgende Funk­tio­nen verwendet:

• Windows Hello: Bio­me­tri­sche Zu­griffs­kon­trol­le und Iden­ti­fi­zie­rung durch Fin­ger­ab­druck und/oder Iris-Scan, Ge­sichts­er­ken­nung mittels En­dor­se­ment Key (EK) und At­te­sta­ti­on Identity Key (AIK)
• BitLocker-Lauf­werk­ver­schlüs­se­lung: Zur Ver­schlüs­se­lung von logischen Volumes und somit ganzen Lauf­wer­ken
• Virtuelle Smart­cards: Ähnlich wie physische Smart­cards dient eine VS zur Zu­griffs­kon­trol­le gegenüber externen Systemen und Res­sour­cen.
• TPM-Start­mes­sung: Mittels TPM-Metriken zum Windows-Start­zu­stand lässt sich die In­te­gri­tät von Sys­tem­kom­po­nen­ten und Windows-Kon­fi­gu­ra­tio­nen durch eine Messung der Start­se­quen­zen über­prü­fen.
• AIK-Zer­ti­fi­ka­te: In TPM ge­spei­cher­te AIK-Zer­ti­fi­ka­te ver­glei­chen gemessene Start­da­ten mit Metriken des vor­ge­se­hen Ge­rä­te­zu­stands.
• Abwehr von Wör­ter­buch­an­grif­fen: Schützt vor Brute-Force-Angriffen, die Pass­wort­schutz durch au­to­ma­ti­sier­tes Abfragen von Wör­ter­buch-Listen zu umgehen versuchen
• Cre­den­ti­al Guard: Isoliert Anmelde- und Nut­zer­da­ten und schützt ge­spei­cher­te Schlüssel durch eine auf Vir­tua­li­sie­rung gestützte Si­cher­heits­über­prü­fung

Die TPM-2.0-Funk­tio­nen bieten folgende Vorteile:

• Ge­ne­rie­ren und Speichern von kryp­to­gra­fi­schen Schlüs­seln, Pass­wör­tern und Zer­ti­fi­ka­ten für mehrfach ge­si­cher­te Ver­schlüs­se­lungs­ver­fah­ren
• Erkennung von Ma­ni­pu­la­tio­nen am BIOS-Code über einen Prüfwert im Platform Con­fi­gu­ra­ti­on Register (PCR) 17
• TPM 2.0 bietet neue Al­go­rith­mus-Aus­tausch­funk­ti­on zur par­al­le­len Ver­wen­dung ver­schie­de­ner Al­go­rith­men.
• Ve­ri­fi­zie­rungs­si­gna­tu­ren un­ter­stüt­zen per­sön­li­che Iden­ti­fi­ka­ti­ons­num­mern sowie Po­si­ti­ons­be­stim­mungs­da­ten auf Basis von bio­me­tri­schen oder globalen Zu­griffs­kon­trol­len.
• Schlüs­sel­ver­wal­tung in TPM 2.0 er­mög­licht die li­mi­tier­te oder bedingte Ver­wen­dung von kryp­to­gra­fi­schen Schlüs­seln.
• TPM 2.0 ist flexibler und kann auch in Geräten mit ge­rin­ge­ren Res­sour­cen zum Einsatz kommen.
• Über­prü­fung von Software-Lizenzen durch Digital Rights Ma­nage­ment (DRM)
• Si­cher­stel­lung der Platt­form­in­te­gri­tät durch Kon­fi­gu­ra­ti­ons-Metriken, die Start­se­quen­zen auf ihre Si­cher­heit und auf Än­de­run­gen hin über­prü­fen
• Au­then­ti­fi­zie­rung von Hardware des Be­triebs­sys­tems durch RSA-Kryp­to­sys­te­me
• En­dor­se­ment Keys (EK) und At­te­sta­ti­on Keys (AIK) nutzen Hashing, um die In­te­gri­tät und Si­cher­heit des Systems zu prüfen.
• In Kom­bi­na­ti­on mit sicheren Firewalls, Smart­cards, Biometrik-Zu­griffs­schutz sowie An­ti­vi­ren­pro­gram­men lässt sich der Schutz vor Malware, Ran­som­wa­re, Brute-Force-Angriffen und Phishing op­ti­mie­ren.

Sie möchten wissen, ob Ihr Windows-Gerät bereits TPM 2.0 an Bord hat? Dann nutzen Sie folgende Methoden, um das Vor­han­den­sein und den Status zu über­prü­fen. Beachten Sie jedoch, dass auch werk­sei­tig in­te­grier­te TPM-2.0-Chips nicht immer au­to­ma­tisch aktiviert sind.

Schritt 1: Tragen Sie „tpm.msc“ in die Windows-Suchzeile ein. Mit diesem Befehl öffnen Sie das in­te­grier­te TPM-Ma­nage­ment-Werkzeug.

Schritt 2: Falls Ihr PC oder Laptop einen de­di­zier­ten TPM-2.0-Chip besitzt, erhalten Sie im an­ge­zeig­ten Me­nü­fens­ter In­for­ma­tio­nen zur TPM-Version. Liegt kein TPM 2.0 vor, in­for­miert Sie Windows darüber, dass keine kom­pa­ti­blen TPM-Kom­po­nen­ten vorliegen.

Schritt 1: Mit dem Windows-Shortcut [Windows] + [X] rufen Sie das „Ad­mi­nis­tra­ti­ve Menü“ auf. Gehen Sie darin auf „Geräte-Manager“.

Schritt 2: Na­vi­gie­ren Sie links im Menü auf „Si­cher­heits­ge­rä­te“ und klicken Sie darauf. Falls vorhanden, sehen Sie dort „Trusted Platform Module 2.0“.

Schritt 1: Nutzen Sie den Shortcut [Windows] + [R], um den „Ausführen“-Dialog zu öffnen. Geben Sie darin „cmd“ ein und betätigen Sie den Shortcut [Windows] + [Umschalt] + [Enter]. Auf diesem Weg starten Sie die Ein­ga­be­auf­for­de­rung mit Ad­mi­nis­tra­tor-Rechten.

Schritt 2: Nutzen Sie nun folgenden Befehl und drücken Sie an­schlie­ßend [Enter]:

Falls TPM 2.0 vorliegt, finden Sie in der letzten Zeile „Spec­Ver­si­on=“ In­for­ma­tio­nen zur TPM-Version.

Der Status von TPM 2.0 hängt davon ab, wie alt Ihr Laptop bzw. PC ist. Neuere PCs verfügen in der Regel über vor­in­te­grier­te TPMs, die stan­dard­mä­ßig aktiviert sein können. Al­ler­dings lässt sich nicht pauschal sagen, ob die Funk­tio­na­li­tät tat­säch­lich stan­dard­mä­ßig aktiviert ist. In einigen Fällen kann hierzu ein Update für Ihr BIOS bzw. Ihr UEFI nötig sein.

Falls er­for­der­lich, gibt es zur Ak­ti­vie­rung und De­ak­ti­vie­rung von TPM 2.0 folgende Mög­lich­kei­ten:

Schritt 1: Führen Sie einen Neustart aus und rufen Sie Ihr BIOS auf. Je nach Be­triebs­sys­tem oder Gerät nutzen Sie hierzu die Taste [F2], [F12] oder [Entf], während das System startet. Beachten Sie, dass Sie stets ein System-Backup sowie ein Backup für wichtige Schlüssel, Kenn­wör­ter und Zer­ti­fi­ka­te anlegen sollten, bevor Sie Än­de­run­gen im BIOS vornehmen.

Schritt 2: Gehen Sie im BIOS auf „Security“ und na­vi­gie­ren Sie zu „Trusted Computing“.

Schritt 3: Ak­ti­vie­ren Sie nun den Punkt „Security Device Support“.

Schritt 4: Na­vi­gie­ren Sie unter „TPM 2.0-Device“ zu „PTT“ und ak­ti­vie­ren Sie diesen Punkt.

Schritt 5: Nach dem Speichern der Än­de­run­gen müssen Sie einen Neustart durch­füh­ren. Zur De­ak­ti­vie­rung machen Sie die Än­de­run­gen einfach rück­gän­gig.

Schritt 1: Geben Sie in die Windows-Suchzeile den Befehl „tpm.msc“ und drücken Sie [Enter].

Schritt 2: Na­vi­gie­ren Sie im TPM-Ma­nage­ment-Tool auf „Ak­ti­ons­be­reich > TPM 2.0 ak­ti­vie­ren“. Auf der Seite „TPM 2.0-Si­cher­heits­hard­ware ak­ti­vie­ren“ erhalten Sie nun aus­führ­li­che In­for­ma­tio­nen zu den nächsten Schritten.

Schritt 3: Klicken Sie auf „Her­un­ter­fah­ren“ bzw. „Neu starten“. Im Folgenden halten Sie sich an die an­ge­ge­be­nen UEFI-Schritt­fol­gen.

Schritt 4: Beim Start­vor­gang stimmen Sie nun der TPM-2.0-Neu­kon­fi­gu­ra­ti­on zu. So stellt Ihr System sicher, dass nur au­then­ti­fi­zier­te Nut­ze­rin­nen bzw. Nutzer Än­de­run­gen vornehmen. Sie haben nun TPM 2.0 unter Windows aktiviert.

Schritt 6: Um TPM zu de­ak­ti­vie­ren, gehen Sie im TPM-Ma­nage­ment-Tool auf „Ak­ti­ons­be­reich > TPM 2.0 de­ak­ti­vie­ren“. Wählen Sie im an­ge­zeig­ten Dialog „TPM 2.0-Si­cher­heits­hard­ware de­ak­ti­vie­ren“ und legen Sie fest, ob Sie das Be­sit­zer­kenn­wort mittels Wech­sel­me­di­um einfügen möchten, ob die Eingabe manuell erfolgen soll oder ob Sie die De­ak­ti­vie­rung ohne Kenn­wort­ein­ga­be vornehmen.

Ob zur Pro­blem­be­hand­lung, zur Neu­in­stal­la­ti­on oder zum Upgrade – das Löschen bzw. De­ak­ti­vie­ren von TPM 2.0 kann unter Umständen un­ge­woll­ten Da­ten­ver­lust ver­ur­sa­chen. Zu ge­fähr­de­ten Daten gehören in TPM 2.0 ge­spei­cher­te kryp­to­gra­fi­sche Schlüssel, Zer­ti­fi­ka­te und Pass­wör­ter. Beachten Sie vor­beu­gend folgende Si­cher­heits­maß­nah­men:

• Legen Sie ein Backup bzw. eine Wie­der­her­stel­lungs­me­tho­de der über TPM 2.0 ge­spei­cher­ten Daten fest
• Das Löschen bzw. De­ak­ti­vie­ren von TPM 2.0 sollte nur auf eigenen Geräten bzw. mit Erlaubnis zu­stän­di­ger IT-Ad­mi­nis­tra­to­ren erfolgen.
• Beachten Sie Angaben im Her­stel­ler­hand­buch bzw. auf der Website des Her­stel­lers zu TPM.
• De­ak­ti­vie­ren Sie TPM 2.0 möglichst über das TPM-Ma­nage­ment­tool oder legen Sie an­dern­falls ein Backup des Systems an, bevor Sie Än­de­run­gen im BIOS vornehmen.

Je nach Im­ple­men­tie­rung lässt sich zwischen folgenden TPM-2.0-Arten un­ter­schei­den:

• Diskretes TPM 2.0: Das diskrete TPM 2.0 bietet als de­di­zier­ter Si­cher­heits­chip Un­ter­stüt­zung für ver­schie­de­ne Ver­schlüs­se­lungs­al­go­rith­men, Ma­ni­pu­la­ti­ons­schutz sowie geringe Feh­ler­an­fäl­lig­keit.
• Physisch-basiertes TPM 2.0: In CPUs in­te­grier­te TPMs bieten physische Si­cher­heits­funk­tio­nen zum Schutz vor Ma­ni­pu­la­tio­nen und Malware.
• Firm­ware­ba­sier­tes TPM 2.0: Ver­gleich­bar mit physisch-basiertem TPM 2.0 nutzt firm­ware­ba­sier­tes TPM 2.0 eine sichere CPU-Umgebung, um Ma­ni­pu­la­tio­nen und nicht au­then­ti­fi­zier­ten Än­de­run­gen vor­zu­beu­gen.
• Vir­tu­el­les TPM 2.0: Hy­per­vi­so­ren können für Sie ein vir­tu­el­les TPM 2.0 erzeugen, das un­ab­hän­gig von vir­tu­el­len Maschinen zur Ge­ne­rie­rung Ihrer Si­cher­heits­schlüs­sel dient.
• Soft­ware­ba­sier­tes TPM 2.0: Durch wenige Si­cher­heits­vor­tei­le und erhöhte Fehler-/Malware-An­fäl­lig­keit sind soft­ware­ba­sier­te TPM 2.0s eher nicht zu empfehlen.