Trusted Platform Module

Voor tpm, zie omwentelingen per minuut.

Trusted Platform Module (TPM, ook bekend onder de standaard ISO/IEC 11889) is een internationale standaard voor een veilige cryptoprocessor.^[1] De TPM is ontworpen om hardware te beveiligen door middel van geïntegreerde cryptografische sleutels en om cryptografische sleutels op een veilige plek op te slaan, zodat deze niet gestolen kunnen worden. Hoewel de TPM vaak een gespecialiseerde microprocessor is, kan deze ook via software worden geïmplementeerd.^[2]

Alle TPM-realisaties moeten voldoen aan specifieke eisen. Deze eisen zijn gespecificeerd door de Trusted Computing Group (TCG).

De TPM bevat een microcontroller waarmee deze sequentiële operaties kan uitvoeren. Naast de microcontroller zijn ook ‘volatile memory’, ‘non-volatile memory’ en ‘input/output (I/O) communicatie ondersteuning’ belangrijke elementen van de TPM architectuur.

De TPM biedt de volgende cryptografische functionaliteit^[3]:

• Asymmetrische cryptografie door middel van RSA of ECC
• Symmetrische cryptografie door middel van AES (128 of 256 bits)
• SHA1 en vanaf TPM 2.0 ook SHA256
• HMAC
• Het genereren van willekeurige getallen met een toevalsgenerator
• Het genereren van nieuwe cryptografische sleutels
• Het opslaan van cryptografische sleutels en certificaten

Hardware en software buiten de TPM kan deze functionaliteiten niet beïnvloeden en kan enkel input leveren (bijvoorbeeld het laten versleutelen van gegeven data) en output lezen. De cryptografische sleutels die in de TPM zijn opgeslagen kunnen ook niet worden uitgelezen.

De chip zal als een vast token gebruikt worden. De chip wordt meestal geïnstalleerd op het moederbord van de computer of laptop. De TPM-chip zorgt ervoor dat de informatie die erop wordt bewaard, veilig is. De beveiliging wordt gerealiseerd door het TCG-subsysteem (Trusted Computing Group).

De TPM-chip wordt gebruikt als opslagelement voor cryptografische sleutels en certificaten. Al wat nodig is om het platform (pc, laptop …) te authenticeren, zal op de TPM-chip worden opgeslagen. Ook het versleutelen van volledige harde schijven kan worden gedaan met een TPM-chip.

• Minder kwetsbaar voor fysieke en virtuele aanvallen
• Flexibel, op veel verschillende platformen bruikbaar
• Elke TPM-chip heeft een unieke en geheime RSA-sleutel waardoor de TPM de computer of mediaspeler authenticeert en niet de gebruiker

• Als het moederbord waarop de chip geïnstalleerd is, kapot gaat, is het niet mogelijk om je versleutelde gegevens terug op te halen tenzij de decryption key op een andere locatie geback-upt is. Dit wordt ook wel een recovery agent genoemd.