什么是TPM?
更新Windows 11的必要条件之一是计算机必须支持TPM 2.0。如果您想知道您的计算机是否支持TPM 2.0,您可以首先检查您的计算机是否支持TPM 2.0。如果不支持,则需要升级TPM。下面我们将了解什么是TPM以及更新Windows 11系统TPM2.0怎么开启。
TPM,我们通常称之为可信平台模块(Trusted Platform Module),也称为ISO/IEC11889,是一种保护硬件的安全加密密钥的国际标准。
1999年,康柏、惠普、IBM、英特尔、微软等IT巨头联合发起成立可信计算平台联盟(TCPA)。
2003年,诺基亚、索尼等公司加入TPCA,TPCA更名为可信计算组织(Trusted Computing Group,TCG)。这些公司希望在跨平台、跨操作环境的软硬件方面,指定可信计算机的相关标准和规范,TPM的最新版本当前为2.0。
TPM有什么作用?
根据微软公布的Windows 11配置要求可以看出Windows11 TPM2.0这两者是不可缺分的,那么TPM2.0有什么用呢?TPM具有广泛的功能,作为硬件保护密钥,主要用于设备识别、身份验证、加密和设备完整性验证。TPM的一些重要功能如下:
✔ 保护平台的完整性:
无论TPM的操作系统是什么,TPM都是为了保证平台的完整性。这是为了确保当计算机启动时,它从受信任的硬件和软件组合开始,一直持续到操作系统完全启动,应用程序开始运行。
TPM还可以通过Microsoft Office 365许可和Outlook Exchange实现平台完整性,确保TPM的完整性主要在于固件和操作系统。统一可扩展固件接口(UEFI)可以使用TPM来形成信任根。例如,TPM为Trusted Execution Technology(TXT)创建信任链,它可以远程证明计算机正在使用指定硬件的软件。
✔ 加密整个硬盘或硬盘的任何分区:
我们可以使用TPM加密计算机上的整个硬盘,或者加密硬盘的任何分区。如果已在计算机上启用TPM,则可以将此技术用作保护计算机存储设备的密钥。一些大型软件公司也使用TPM来加密分区,例如BitLocker。
除了用于启动过程和硬盘加密之外,TPM还可以加密系统登录和应用程序软件登录。例如,我们常用的MSN的登录信息和密码可以在传输前通过TPM进行加密。这可以有效地防止我们的个人信息和密码被盗。
TPM的旧版本(1.2)和新版本(2.0)之间的差异
TPM 2.0于2014年4月正式发布,此后进行了修订和更新,其功能也比之前的TPM 1.2更强大。那么,与老版本1.2相比,有什么区别呢?请参考面的表格。
比较项目 |
TPM1.2 |
TPM2.0 |
算法 |
需要SHA-1和RSA。 |
需要SHA-1和RSA。需要 SHA-1和SHA-256。制造商可以使用TCG ID随意添加新算法。 |
加密 |
需要随机数生成器、公钥密码算法、密码哈希函数、掩码生成函数、数字签名生成和验证、直接匿名认证,还需要生成密钥。 |
随机数生成器使用 Barreto-Naehrig 256 位曲线、公钥密码算法、密码哈希函数、对称密钥算法、数字签名生成和验证、掩码生成函数。还需要密钥生成和密钥派生功能。 |
平台配置寄存器PCR |
使用 PCR 恢复解封的 Bitlobker 的密钥。如果在系统启动过程中有任何细微的变化,需要用户干预才能恢复。 |
以标准方式运行多个 PCR 库。库中的所有 PCR 都使用相同的算法进行扩展操作。可以为不同的库分配不同的 PCR。不同库在扩容操作中相互独立,互不干扰。 |
密钥 |
只有一把钥匙(EK),出厂时由厂商预装在芯片中,更换难度大。 |
分为父子密钥,主密钥由主种子使用密钥推导算法KDF生成;密钥的存储主要基于对称加密。 |
根密钥 |
一个(SRK RSA-2048) |
每个层次结构都有多个密钥和算法。 |
授权 |
HMAC、PCR、位置、物理存在。 |
密码、HMAC 和策略(涵盖 HMAC、PCR、位置和物理存在)、非对称数字签名。 |
✍ 说明:PCR主要用于存储系统启动和运行期间的测量值,以防止测量日志被篡改。PCRs值不仅保证每次系统启动时执行相同的代码,而且还保证以相同的顺序执行相同的代码。
从表中可以看出,与TPM 1.2相比,TPM 2.0在算法上增加了一个SHA-256,在授权方面,除了TPM 1.2原有的HMAC、位置、物理存在和PCR外,还增加了基于非对称数字签名的授权。在加密和密钥方面,TPM 2.0比TPM 1.2更详细、更安全。
如何查看计算机上是否有TPM 2.0?
微软于10月5日发布了Windows 11。对于微软用户来说,这是一件非常令人兴奋的事情,但随之而来的还有许多问题。例如,该计算机与Windows 11不兼容。从更新要求中可以看出,如果您需要将您的计算机系统更新到Windows 11,那么您的计算机必须支持TPM 2.0和UEFI安全引导,因为它们是更新Windows 11的必要条件。
TPM 2.0于2015年在少量计算机上投入使用,并于2016年正式应用于计算机。如果需要将计算机系统更新到Windows 11,则需要检查计算机是否支持TPM 2.0。如果不支持,您的计算机将无法将系统更新到Windows 11;如果支持,请检查是否已禁用。如果已禁用,那么在升级过程中可能会导致Win11安装失败,请开启tpm2.0再进行升级。如果想了解更新Windows 11系统TPM2.0怎么开启?请按照以下两种方法首先检查您的计算机上是否有TPM 2.0。
✔ 方法一:通过 tpm.msc查看
1. 按键盘上的“Win + R”键启动运行窗口。
2. 在运行窗口中输入“tpm.msc”,然后单击“确定”。
3. 打开本地计算机上受信任的平台模块(TPM)管理后,您可能会看到以下两种情况:
⚠️ 本地计算机上的TPM管理中状态栏显示“TPM已就绪,可以使用”,表示开启tpm2.0。那么怎么查看TPM版本是否为2.0?在TPM制造商信息这一栏,若规范版本显示2.0,则表示当前TPM版本为2.0,您可以将计算机升级到Windows 11。
⚠️ 本地计算机上的TPM管理中显示“找不到兼容的TPM”,这意味着您的计算机不符合升级Windows 11的标准。
✔ 方法二:通过Windows安全中心查看
1. 点击电脑做下角的Windows图标,选择“设置”。
2. 然后依次选择“更新和安全” > “Windows安全中心”。
3. 点击“设备安全性”以查看是否显示了TPM。
- 如果您在弹出的窗口中没有找到安全处理器,则可能是您的计算机禁用了TPM。在这种情况下,您需要启用 TPM 或查看计算机的制造商支持信息以获取有关安全处理器的信息。
- 如果可以启用TPM,请确认是否为TPM 2.0。如果TPM版本低于2.0,您的计算机将无法更新Windows 11。
如何在计算机上开启tpm2.0
当电脑支持TPM 2.0,但是被禁用了,这个时候怎么办?您可以在计算机设置上开启tpm2.0。 具体操作如下:
1.按“Win + I”,然后打开“更新和安全”,点击左侧菜单栏中的“恢复”,然后在高级启动中点击“立即重新启动”。
2. 点击立即重启后,系统将进入选项阶段,然后选择“疑难解答”。
3. 选择“高级选项”。
4. 选择“UEFI固件设置”, 再单击“启动”。
5. 重启后,进入BIOS,然后进入“Security Settings”,这次选择“TPM Configuration”选项。
6. 如果您发现TPM 2.0被禁用,您可以启用它。启用TPM后,您可以退出设置并重新启动计算机。
如何将TPM 1.2升级到TPM2.0?
如果我们检查电脑的TPM版本是1.2,那么电脑就无法将系统更新到Windows 11,所以我们需要将TPM版本升级到2.0。如何将TPM1.2版本升级到2.0?这取决于您的计算机供应商针对TPM的升级对策。为此,您可以到电脑官网寻求帮助。下面我们以戴尔为例,为大家介绍如何将电脑上的TPM 1.2更新到2.0。
在戴尔上将TPM 1.2升级到2.0的步骤:
1. 打开戴尔官网,找到戴尔产品支持页面.
2. 然后输入您的服务标签或输入您的产品型号。
3. 单击驱动程序和下载选项卡。
4. 从下拉类别框中选择安全。
5. 找到戴尔TPM2.0固件更新实用程序。
6. 如果列出了戴尔TPM2.0更新列表,您可以运行更新TPM。
如何在没有TPM2.0的情况下安装Windows 11
在前面的内容中,我们讨论了计算机如何启用TPM 2.0来更新Windows 11。如果我的计算机不支持TPM 2.0,我该怎么办?我们可以在固态硬盘安装Win11系统来避开TPM2.0,也可以用安装盘安装Windows 11,从安装盘引导进入安装Windows 11的过程。此时,您可以选择覆盖原有的系统升级安装,这意味着我们可以绕过UEFI引导检测来达到安装Windows 11的目的。
结论
在本文中,我们介绍了什么是TPM以及升级Windows 11系统TPM2.0怎么开启的相关信息。
TPM是保护系统安全的重要设备,而TPM2.0是系统更新到Windows 11时必要条件之一。因此,如何检查您的电脑是否与Windows 11兼容,以及TPM2.0怎么开启,在本文中您都可以找到解决方案。