硬件安全芯片或模組其實(shí)已經(jīng)不是什么新鮮事了，在黑客攻擊技術(shù)不斷推陳出新下，更高的安全性不僅要從軟件上下手，也要從硬件上下手。自從Windows11去年正式推出以來(lái)，對(duì)于TPM 2.0硬件安全模塊的討論就沒(méi)有停止。有的人將其視為額外的硬件成本，有的人則對(duì)安全性加強(qiáng)喜聞樂(lè)見(jiàn)。

雖然不少用戶(hù)使出奇招繞過(guò)了這一要求，但對(duì)于電腦本身的安全性來(lái)說(shuō)，可以說(shuō)是沒(méi)有半點(diǎn)益處。那么對(duì)于不想犧牲這一層網(wǎng)絡(luò)攻擊防護(hù)的用戶(hù)來(lái)說(shuō)，他們有哪些方案可選呢？

微軟Pluton

考慮到獨(dú)立的TPM模塊需要系統(tǒng)OS、主板、處理器和TPM芯片廠商的協(xié)力合作，主推TPM 2.0的微軟提出了一個(gè)TPM的方案：直接將TPM安全處理器內(nèi)置在芯片中，這樣主板上就無(wú)需額外的TPM 2.0模塊，也能完美實(shí)現(xiàn)BitLocker硬盤(pán)加密，或是存儲(chǔ)WindowsHello用到的指紋或人臉生物識(shí)別數(shù)據(jù)。

在Windows系統(tǒng)令競(jìng)爭(zhēng)對(duì)手難以企及的的市場(chǎng)占有率下，微軟的號(hào)召力可想而知，很快就拉動(dòng)了英特爾、AMD和高通的支持。比如今年CES 2022上亮相的AMD Ryzen6000系列CPU，就宣布首發(fā)集成Pluton處理器。而高通在去年公布的8cxGen3筆記本SoC，也宣布在其安全處理單元（SPU）上集成微軟的Pluton方案。

Ryzen6000系列移動(dòng)處理器 / AMD

不過(guò)微軟的Pluton除了提高系統(tǒng)安全性以外，可能還別有用心。不少開(kāi)源圈的開(kāi)發(fā)者表示此舉是微軟不讓Linux有機(jī)會(huì)搶占PC消費(fèi)市場(chǎng)，因?yàn)楝F(xiàn)在Linux已經(jīng)有了對(duì)TPM的支持，而微軟的Pluton暫時(shí)僅支持Windows系統(tǒng)。根據(jù)微軟的說(shuō)法，他們當(dāng)前的工作重心是優(yōu)化Pluton在Windows11上的表現(xiàn)。

對(duì)于同樣在近期推出了新品CPU的英特爾來(lái)說(shuō)，他們似乎并沒(méi)有打算將Pluton集成在12代AlderLakes處理器上，而是選擇了繼續(xù)使用英特爾自己的對(duì)策，即IntelPlatformTrust技術(shù)（IntelPTT）。據(jù)英特爾強(qiáng)調(diào)，支持PTT的處理器可以提供獨(dú)立TPM 2.0模塊同樣的能力，比如證書(shū)存儲(chǔ)和密鑰管理等，也支持微軟對(duì)于fTPM（固件TPM）2.0的所有要求以及BitLocker硬盤(pán)加密，而對(duì)于用戶(hù)的好處就在于無(wú)需任何額外的物理芯片。

英飛凌OPTIGA

但對(duì)于不支持Pluton或fTPM的處理器而言，這時(shí)往往要用到其他非集成TPM的方案了，比如英飛凌OPTIGA TPM。市面上不少主板的外接TPM模組，用到的都是英飛凌的OPTIGA SLB 9665或SLB 6970，這兩者均支持TPM 2.0，也支持各種主流的對(duì)稱(chēng)與非對(duì)稱(chēng)加密算法。

然而，量子計(jì)算的出現(xiàn)對(duì)加密提出了更大的挑戰(zhàn)，尤其加密數(shù)據(jù)的保密性和數(shù)字簽名的完整性。如果未來(lái)的網(wǎng)絡(luò)攻擊掌握了可以隨手借助量子計(jì)算的話，破解如今的加密算法可以說(shuō)不在話下，尤其是RSA和Diffie-Hellman等公鑰密碼。

OPTIGA TPM SLB 9672 / 英飛凌

為了應(yīng)對(duì)這些挑戰(zhàn)，英飛凌在近期推出了全新的OPTIGA TPM SLB 9672。SLB 9672作為一款開(kāi)箱即用的標(biāo)準(zhǔn)化TPM，使用XMSS簽名，提供后量子加密（PQC）技術(shù)加密保護(hù)的固件更新機(jī)制，并支持最新的TCG規(guī)范和TPM 2.0標(biāo)準(zhǔn)。在該機(jī)制的加持下，即便標(biāo)準(zhǔn)算法不再處于受信狀態(tài)，SLB 9672也可以更新。

SLB 9672不僅原生支持最新版的微軟Windows系統(tǒng)和主要Linux發(fā)行版系統(tǒng)，還提供了可擴(kuò)展的非易失性?xún)?nèi)存，最大可達(dá)51kB，用于存儲(chǔ)證書(shū)和密鑰。SLB 9672分為兩個(gè)版本，一個(gè)是FW15.xx版本，適合作為要作為微軟的Windows環(huán)境下的標(biāo)準(zhǔn)化認(rèn)證安全方案，而16.xx版本提供加強(qiáng)的安全特性，比如AES批量機(jī)密、TPM唯一ID和EPS的配置，其中一個(gè)型號(hào)則使用溫度范圍從標(biāo)準(zhǔn)的-20℃到+85℃升級(jí)至-40℃到+105℃。

小結(jié)

微軟下定決心也要強(qiáng)推TPM 2.0的態(tài)度足以說(shuō)明他們對(duì)網(wǎng)絡(luò)安全的重視，盡管如今的Windows已經(jīng)不再是原來(lái)那個(gè)弱不禁風(fēng)的系統(tǒng)，但在網(wǎng)絡(luò)安全再度肆虐的今天，多一層硬件安全也就對(duì)自己的隱私多一重保障。在筆者看來(lái)，TPM 2.0也許是阻止老用戶(hù)升級(jí)Windows11的“攔路虎”，但其最終目的還是建起一道維護(hù)PC安全的“護(hù)城河”。