Windows 11 TPM2.0 は、何の情報を持っているのか(NetwingsJ)

2021.12.25 02:45

これまで、TPMが、何の情報を持っているのか、よく理解出来ないまま、こういうものがあるのだな、というふうに捉えていたのですが、これで、分かるかな?

要は、さまざまな暗号化キーを生成する、蓄積するモジュール(LSI)なわけですよ。

1)BitLocker ドライブ暗号化に使う

2)ドライブ内に暗号化キーを置いておくよりも、独立したデバイスとして分けた方が何かと安全

3)TPMには乱数発生器が収められている

4)他にも、暗号化ハッシュエンジンや、アルゴリズムエンジン、鍵生成器が収められている

以前のPCにも、TPM1.2という LSI が収められていますが、これは、Windows 11 には対応していません。より一層、安全性を増したTPM2.0が必須となっています。

ほんの小さな、1チップICの形をしています。基板上で動作する TPM は、Firmware TPM(fTPM)と呼ばれ、自作機では TPM モジュールを刺す場所があるのですが、普通にメーカーから売っている PC は、前述の、fTPM(ファームウェア一体型)になっています。

ドライブの暗号化のみならず、例えば、無暗に USBブートとかをさせなくしたりします。そういう機能だと思っていてください。ブート元が変わると、TPM がそれを検知して、ブートさせなくするとか、いろいろです。

自作機の場合は、基盤に別刺しのTPMモジュールがあり、それを、ソケットに刺してから、BIOS の画面を起動し、設定を有効(Disable から Enable)にしてあげることで、PC 上で、TPM が初めて動作する、ということが言えます。

まあ、うちの HP Compaq DC7800 SF では、製造年数が古すぎるので、そういう概念すらなかったので、論外! だから、Windows 11 は動作しませんよ! ということですなあ。

その HP Compaq DC7800 SF で、TPM の様子を見てみたところ、TPM1.2 でして、こういうところでも、Windows 11 には使えませんよ、ということが分かります。

「TPM 製造元情報」という箇所に、仕様バージョン1.2と書かれていました。これではダメですねえ。BitLocker 暗号化のみに使えても、他の仕様を満たしていないために、こうなるんですよ。

ではでは(・∀・)ノ

(文責:ネットウイングス執筆班 代表 田所憲雄 拝)