Compartir a través de


Recomendaciones para el TPM

En este artículo se proporcionan recomendaciones para la tecnología del módulo de plataforma segura (TPM) para Windows.

Para ver una descripción de las características básicas de TPM, consulta Información general sobre la tecnología del Módulo de plataforma segura.

Diseño e implementación de TPM

Tradicionalmente, los TPMs son chips discretos soldados a la placa base de un equipo. Estas implementaciones permiten al fabricante de equipos originales (OEM) del equipo evaluar y certificar el TPM independiente del resto del sistema. Las implementaciones discretas de TPM son comunes. Sin embargo, pueden ser problemáticos para los dispositivos integrados que son pequeños o tienen un bajo consumo de energía. Algunas implementaciones de TPM más recientes integran la funcionalidad de TPM en el mismo conjunto de chips que otros componentes de la plataforma mientras todavía ofrecen una separación lógica similar a la de los chips de TPM discretos.

Los TPM con pasivos: reciben comandos y devuelven respuestas. Para aprovechar plenamente un TPM, el OEM debe integrar cuidadosamente el hardware y el firmware del sistema con el TPM para enviarle comandos y reaccionar a sus respuestas. Los TPMs se diseñaron originalmente para proporcionar ventajas de seguridad y privacidad al propietario y los usuarios de una plataforma, pero las versiones más recientes pueden proporcionar ventajas de seguridad y privacidad al propio hardware del sistema. Sin embargo, para que un TPM se pueda usar en escenarios avanzados, es preciso aprovisionarlo. Windows aprovisiona automáticamente un TPM, pero si el usuario planea reinstalar el sistema operativo, es posible que tenga que borrar el TPM antes de reinstalar para que Windows pueda aprovechar al máximo el TPM.

La organización Trusted Computing Group (TCG), sin ánimo de lucro, es la que publica y mantiene la especificación de TPM. El TCG existe para desarrollar, definir y promover estándares del sector globales neutrales para el proveedor. Estos estándares admiten una raíz de confianza basada en hardware para plataformas informáticas interoperables de confianza. El TCG también publica la especificación de TPM como el estándar internacional 11889 ISO/IEC, que usa el proceso de envío de la PAS (Publicly Available Specification) que el Comité Técnico Conjunto 1 define entre la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC).

Los OEM implementan el TPM como componente en una plataforma informática de confianza como un PC, una tableta o un teléfono. Las plataformas informáticas de confianza usan el TPM para admitir escenarios de privacidad y seguridad que el software por sí solo no puede lograr. Por ejemplo, el software por sí solo no puede notificar de forma confiable si el malware está presente durante el proceso de inicio del sistema. La estrecha integración entre el TPM y la plataforma aumenta la transparencia del proceso de inicio y admite la evaluación del estado del dispositivo habilitando de forma confiable la medición y notificación del software que inicia el dispositivo. La implementación de un TPM como parte de una plataforma informática de confianza proporciona una raíz de hardware de confianza, es decir, se comporta de forma de confianza. Por ejemplo, si una clave almacenada en un TPM tiene propiedades que no admiten la exportación de la clave, esa clave realmente no puede salir del TPM.

El TCG diseñó el TPM como una solución de seguridad de bajo costo para el mercado de masas que cumple los requisitos de distintos segmentos de clientes. Del mismo modo que existen variaciones en los requisitos normativos y de clientes de los distintos sectores, hay variaciones en las propiedades de seguridad de las distintas implementaciones de TPM. En la contratación pública, por ejemplo, algunos gobiernos definen claramente los requisitos de seguridad para los TPM, mientras que otros no.

Comparación entre TPM 1.2 y 2.0

Desde un estándar del sector, Microsoft ha sido un líder del sector en movimiento y estandarización en TPM 2.0, que tiene muchas ventajas clave obtenidas en algoritmos, criptografía, jerarquía, claves raíz, autorización y RAM de NV.

¿Por qué TPM 2.0?

Los productos y sistemas de TPM 2.0 disponen de ventajas de seguridad importantes con relación a TPM 1.2, incluidos:

  • La especificación de TPM 1.2 solo permite el uso de RSA y el algoritmo hash SHA-1.
  • Por motivos de seguridad, algunas entidades están abandonando SHA-1. En particular, NIST requiere que muchas agencias federales pasen a SHA-256 a partir de 2014, y los líderes tecnológicos, incluidos Microsoft y Google, han quitado el soporte técnico para la firma basada en SHA-1 o certificados en 2017.
  • TPM 2.0 permite mayor agilidad criptográfica, ya que es más flexible con respecto a los algoritmos criptográficos.
    • TPM 2.0 admite algoritmos más recientes, lo que puede mejorar el rendimiento del inicio de sesión y la generación de claves. Para obtener la lista completa de algoritmos admitidos, consulta TCG Algorithm Registry (Registro de algoritmos de TCG). Algunos TPMs no admiten todos los algoritmos.
    • Para obtener la lista de algoritmos que Windows admite en el proveedor de almacenamiento criptográfico de la plataforma, consulta CNG Cryptographic Algorithm Providers (Proveedores de algoritmos criptográficos de CNG).
    • TPM 2.0 ha conseguido la normalización ISO (ISO/IEC 11889:2015).
    • El uso de TPM 2.0 puede ayudar a eliminar la necesidad que tienen los OEM de hacer excepciones en configuraciones estándar para determinados países y regiones.
  • TPM 2.0 ofrece una experiencia más coherente en las diferentes implementaciones.
    • Las implementaciones de TPM 1.2 varían en la configuración de directivas. Esto podría causar problemas de compatibilidad, ya que varían las directivas de bloqueo.
    • Windows configura la directiva de bloqueo de TPM 2.0, lo que asegura una garantía de protección coherente frente a ataques de diccionario.
  • Aunque las partes de TPM 1.2 son componentes de silicio discretos, que normalmente se solda en la placa base, TPM 2.0 está disponible como un componente de silicio discreto (dTPM) en un único paquete semiconductor, un componente integrado incorporado en uno o más paquetes semiconductores, junto con otras unidades lógicas en los mismos paquetes y como un componente basado en firmware (fTPM) que se ejecuta en un entorno de ejecución de confianza (TEE) en un SoC de uso general.

Nota

TPM 2.0 no se admite en los modos heredados y CSM de la BIOS. Los dispositivos con TPM 2.0 deben tener configurado su modo BIOS solo como UEFI nativa. Las opciones del Módulo de soporte de compatibilidad (CSM) y del Módulo heredado deben deshabilitarse. Para mayor seguridad, habilite la característica de arranque seguro.

El sistema operativo instalado en el hardware en modo heredado impedirá que el sistema operativo arranque cuando el modo BIOS se cambie a UEFI. Use la herramienta MBR2GPT antes de cambiar el modo BIOS que preparará el sistema operativo y el disco para admitir UEFI.

¿TPM discreto, integrado o de firmware?

Existen tres opciones de implementación para TPM:

  • Chip TPM discreto como componente independiente en su propio paquete de semiconductores.
  • Solución tpm integrada, con hardware dedicado integrado en uno o varios paquetes semiconductores junto con otros componentes, pero lógicamente independientes de ellos.
  • Solución TPM de firmware, que ejecuta el TPM en firmware en un modo de ejecución de confianza de una unidad de cálculo de uso general.

Windows usa cualquier TPM compatible de la misma manera. Microsoft no toma una posición sobre la forma en que se debe implementar un TPM y hay un amplio ecosistema de soluciones de TPM disponibles, que deben adaptarse a todas las necesidades.

¿Hay algo importante en TPM para los consumidores?

Para los consumidores finales, TPM está en segundo plano, pero sigue siendo relevante. TPM se usa para Windows Hello, Windows Hello para empresas y, en el futuro, será un componente de muchas otras características clave de seguridad en Windows. TPM protege el PIN, ayuda a cifrar las contraseñas y se basa en nuestra historia general de la experiencia de Windows para la seguridad como pilar fundamental. El uso de Windows en un sistema con un TPM permite un nivel más profundo y más amplio de cobertura de seguridad.

Cumplimiento de TPM 2.0 para Windows

Windows para ediciones de escritorio (Home, Pro, Enterprise y Education)

  • Desde el 28 de julio de 2016, todos los modelos, líneas o series de dispositivos nuevos (o si está actualizando la configuración de hardware de un modelo, línea o serie existente con una actualización principal, como CPU, tarjetas gráficas) deben implementar y habilitar de forma predeterminada TPM 2.0 (detalles de la sección 3.7 de la página Requisitos mínimos de hardware ). El requisito de habilitar TPM 2.0 solo se aplica a la fabricación de nuevos dispositivos. Para conocer las recomendaciones de TPM para características específicas de Windows, consulta TPM y características de Windows.

IoT Core

  • TPM es opcional en IoT Core.

Windows Server 2016

  • TPM es opcional para las SKU de Windows Server a menos que la SKU cumpla los demás criterios de calificación (AQ) para el escenario de servicios de protección de host en cuyo caso se requiere TPM 2.0.

TPM y características de Windows

En la siguiente tabla se define qué características de Windows requieren compatibilidad con el TPM.

Características de Windows Se requiere TPM Admite TPM 1.2 Admite TPM 2.0 Detalles
Arranque medido El arranque medido requiere TPM 1.2 o 2.0 y arranque seguro de UEFI. Se recomienda TPM 2.0, ya que admite algoritmos criptográficos más recientes. TPM 1.2 solo admite el algoritmo SHA-1, que está en desuso.
BitLocker No Se admiten TPM 1.2 o 2.0, pero se recomienda TPM 2.0. El cifrado de dispositivos requiere un modo de espera moderno , incluida la compatibilidad con TPM 2.0
Cifrado de dispositivo N/D El cifrado de dispositivo requiere la certificación Modern Standby/Connected Standby, que requiere TPM 2.0.
Control de aplicaciones para empresas No
Protección del sistema (DRTM) No Se requiere tpm 2.0 y firmware UEFI.
Credential Guard No Windows 10, versión 1507 (final del ciclo de vida a partir de mayo de 2017) solo compatible con TPM 2.0 para Credential Guard. A partir de Windows 10, versión 1511, TPM 1.2 y 2.0 son compatibles. Emparejado con Protección del sistema, TPM 2.0 proporciona seguridad mejorada para Credential Guard. Windows 11 requiere TPM 2.0 de forma predeterminada para facilitar la habilitación de esta seguridad mejorada para los clientes.
Atestación de estado del dispositivo Se recomienda TPM 2.0, ya que admite algoritmos criptográficos más recientes. TPM 1.2 solo admite el algoritmo SHA-1, que está en desuso.
Windows Hello/Windows Hello para empresas No Microsoft Entra unión admite ambas versiones de TPM, pero requiere TPM con código de autenticación de mensajes hash con clave (HMAC) y certificado de clave de aprobación (EK) para la compatibilidad con la atestación de claves. Tpm 2.0 se recomienda sobre TPM 1.2 para mejorar el rendimiento y la seguridad. Windows Hello como autenticador de plataforma FIDO aprovecha TPM 2.0 para el almacenamiento de claves.
Arranque seguro de la UEFI No
Proveedor de almacenamiento de claves del proveedor criptográfico de la plataforma TPM
Tarjeta inteligente virtual
Almacenamiento de certificados No TPM solo es necesario cuando el certificado está almacenado en el TPM.
Piloto automático No N/D Si tiene previsto implementar un escenario, que requiere TPM (como guante blanco y modo de implementación automática), se requiere tpm 2.0 y firmware UEFI.
SecureBIO No Se requiere tpm 2.0 y firmware UEFI.

Estado de OEM en la disponibilidad del sistema y las piezas certificadas de TPM 2.0

Los clientes del gobierno y los clientes empresariales de sectores regulados pueden aplicar estándares de adquisición que requieran el uso de piezas comunes certificadas del TPM. Por este motivo, puede que sea necesario que los OEM que proporcionan los dispositivos usen solamente los componentes de TPM certificados en sus sistemas de clase comercial. Para obtener más información, ponte en contacto con el OEM o el proveedor de hardware.