TPM 2.0 für Windows 11

Zitat von DiMa

Das ist kein "Software-TPM" und hat auch nichts mit UEFI zu tun,

fTPM steht für Firmware-TPM und ist genau das -- Software!

Wenn du es ganz genau wissen möchtest:

https://tianocore-docs.github.…ootChain-release-1.00.pdf

sowie

https://recon.cx/2014/slides/Recon%202014%20Skochinsky.pdf

Es wird unterschieden zwischen dTPM (discrete TPM) und fTPM (firmware TPM). Ersteres ist natürlich tatsächlich echte, physikalische Hardware.

Für fTPM werden Mechanismen wie Intel's ME, genauer SEC/TXE genutzt. Die Implementation, die das macht, wird am Ende als PE-Binary ins UEFI integriert.

Stark vereinfacht gesagt:

1. enthält das TPM deine nichtöffentlichen Schlüssel

2. führt dazu auch die kryptografischen Verfahren wie Signierung, Verschlüsselung, Entschlüsselung, Signaturprüfung mit einem dieser Schlüssel durch.

Deswegen braucht der nichtöffentliche Schlüssel nur dem TPM bekannt zu sein.

Er ist nicht auslesbar und kann daher auch nicht kopiert werden.

D.h. der nichtöffentliche Schlüssel kann auf keine Art und Weise kopiert werden.

Zumindest in der Theorie, wenn das TPM-Design keine versehentlichen oder absichtlichen Hintertürchen offen lässt...

Der Tamper Anschluss löscht den/die Schlüssel.

Er kann von externer Hardware ausgelöst werden, z.B. einem Kontakt der beim Öffnen eines Gehäuses anspricht.

Zitat von Manawyrm

Zitat von DiMa

Das ist kein "Software-TPM" und hat auch nichts mit UEFI zu tun,

fTPM steht für Firmware-TPM und ist genau das -- Software!

Niemand betreitet, dass es "Firmware TPM" gibt und dass das in Firmware implementiert ist. Aber Du hast in Deinem Post #3 angefangen, von fTPM zu reden, ohne dass das vorher hier Thema war. Daher die Verwirrung.

Da mein Rechner kein UEFI/SmartBoot hat muss ich mir auch erstmal keine Gedanken zu TPM fuer Windows 11 machen

Zitat von detlef

Was heisst denn "löscht den Schlüssel"? Ist das TPM dann unbrauchbar?

Löschen heisst zunächst, dass der gespeicherte Schlüssel eben gelöscht wird. Ob der dann auf FFFF... oder 0000... gesetzt wird oder das TPM unbrauchbar wird, bei hohen Sicherheitsanforderungen sicher letzteres.

Es gibt TPMs, da kann ich einen eigenen Schlüssel einprogrammieren - auch mehrfach - und falls ich diesen sicher(!) aufhebe, auch ins gleiche oder nächste TPM wieder programmieren.

Aus dem TPM selbst bekomme ich den trotzdem nicht wieder ausgelesen.

Es mag auch TPMs geben, da ist ein Schlüssel ab Werk drin - ich fragte ja auch, wo der Schlüssel bei einem TPM im Prozessor "gelagert" wird. Möglicherweise hat der Prozessor dazu EEPROM drin. Wer dieses dann programmieren kann..?

Knackpunkt aller TPMs soll ja sein, dass da ein Schlüssel drin ist, den NIEMAND auslesen kann, sondern nur dem TPM selbst für kryptografische Zwecke zugänglich ist: also du jagst z.B. einen Klartext durch das TPM und hinten kommt der verschlüsselte Text raus.

Bei einem fTPM kann der Schlüssel ja nicht sicher untergebracht sein - wie sollte das gehen?

Er kann natürlich auch über Kommando gelöscht werden. Der Hardwarepin ist ja nur eine Möglichkeit. Und vielleicht hat das aufgelötete TPM diesen sogar und er ist nicht herausgeführt.

Es wurde ja erwähnt, dass Boardhersteller möglicherweise ein Board unbrauchbar machen können.

Und ich stimme zu: DERZEIT braucht man das nicht. Es wird aber möglicherweise die Zeit kommen, in der alle zu kaufende Software dies voraussetzt. Mietmodelle sind doch inzwischen der Renner im Bereich kommerzieller Software. Da sind dann auch Zertifikate im Spiel oder die Software geht immer online, damit Mietprellung oder einfach die Uhr zurück stellen nicht hilft...

Frühere Dongles waren doch auch schon sehr primitive TPMs...

Ich habe Windows 11 ohne TPM installiert. Noch läuft es. Auch ohne UEFI und Secure Boot auf einem nicht unterstützen Prozessor.

Zitat von detlef

Wofür? Dass es anfangs hieß, dass TPM 2.0 benötigt wird oder dass jetzt nur noch TPM 1.2 benötigt wird?

Genau.

Zitat von detlef

Ich warte jetzt erst mal auf dem TPM-Treiber für Virtual Box und dann werde ich es mal antesten.

Wenn du Win10 Pro (oder Enterprise) hast, kannst du das auch einfach mit Bordmitteln und Hyper-V ausprobieren.

Zitat von detlef

Zitat von DiMa

Quelle?

Wofür? Dass es anfangs hieß, dass TPM 2.0 benötigt wird oder dass jetzt nur noch TPM 1.2 benötigt wird?

https://www.heise.de/news/Micr…nforderungen-6212391.html

Gestern mal fTPM in meinem (nicht supporteten) 1800X freigeschaltet und während des Abendessens mein MSDN-AA / Dreamspark/ Imagine / Azure Dev Tools for Teaching (gefühlt jedes Jahr ein neuer Name dafür) Windows auf 11 hochgeprügelt. Zwischen zwei Tagen mit 6 Stunden Webinaren. Living on the edge.

Läuft völlig unauffällig, vieles gefällt mir an der neuen UI (grade das Fensterhandling bei Ultrawide mit mehr Andockpunkten), einiges nicht so (warum das Ribbon im Explorer ersetzen?) einzig das Fehlen der Folderthumbnails fiel mir richtig negativ auf. Das macht das explorerbasierte Verwalten eines größeren Menge Ordner mit Texturen und Renderergebnissen (bislang alle via folder.jpg customisiert) zum anstrengenden Lesespiel. Aber dafür gibt es auch eine Lösung in Form des Thumbnailgenerators. Das nutzt die Boardmittel desktop.ini und thumb.ico. und generiert damit Thumbs abseits der Miniaturansichten. Also schneller und auch gegen des regelmäßige Verkleinern dieser Datenbank resistent. Fast schon die bessere Lösung. Wenngleich das schon ein harter Bruch seitens MS ist. Generell scheint die UI deutlich aufgeräumter und konsistenter, aber auch weniger anpassbar.

Zitat von detlef

Ich glaube, so hohe Sicherheitsanforderungen braucht man als PC-User nicht.
Eigentlich braucht man den TPM-Kram überhaupt nicht.

Ich habe mein TPM 1.2 auch eben erst "gefunden" ueber das TPM.MSC "Kontrollfeld".

War/ist aber "nicht nutzbar", da zwar die Hardware sichtbar gesetzt war - aber im BIOS kein "Sicherheitskennwort" gesetzt war, welches Voraussetzung ist, dass man das TPM 1.2 dem Rechner/Windows als nutzbar "geben" kann.

Da ich meine Platte nicht verschluesseln will und sonst keinen sinnvollen Einsatzgrund fuer TPM -fuer mich persoenlich - gefunden habe, habe ich nun selbst die Sichtbarkeit des TPM 1.2 fuer Windows-OS im BIOS abgeschaltet.

Somit taucht es im "Geraete-Manager" auch nicht mehr auf

Ich denke, dass Windows 11 mit dem TPM-Modul auch in der Lage ist, Software-Installationen zu kontrollieren, insbesondere auch bei Lizenz-pflichtiger Software.

Zitat von Roman78

Ich habe Windows 11 ohne TPM installiert. Noch läuft es. Auch ohne UEFI und Secure Boot auf einem nicht unterstützen Prozessor.

Gleiches hier, einmal auf nem MacBook Pro aus 2006 und einmal auf nem Industrie-PC (passiv gekühlte Alu-Box) ungefähr gleichen Alters der in der Werkstatt steht. Beide ohne TPM, ohne SecureBoot und mit uralt C2D Prozessor. Ursprünglich war ich von den Systemanforderungen davon ausgegangen das beim Treiber der Grafikhardware WDDM 2.0 vorausgesetzt wird, aber auch WDDM 1.0 Treiber laufen einwandfrei - unter Windows 11 sogar besser als unter Windows 10. Das MacBook machte unter Windows 10 noch Probleme bei den Transparentzeffekten, unter Windows 11 läuft bei gleichem Treiber alles sauber und flüssig.

Vom Gefühl her ist Windows 11 auch auf (sehr) alter Hardware deutlich responsiver als Windows 10 - wenn auch natürlich insgesamt nicht schneller (Youtube ist und bleibt teils anstrengend).

Heute Nacht ist übrigens das erste Mal Patchday für das offizielle Win 11 Release. Mal sehen, ob die Installationen ohne TPM und zu alten CPUs dieses Update schon bekommen...

https://www.bleepingcomputer.c…with-compatibility-fixes/

Und es gibt noch reichlich nicht behobene Probleme mit Win 11, unter anderem funktionieren damit diverse USB-Drucker von Brother nicht. 15% Leistungsverlust auf AMD-CPUs sind auch nicht schön, 30% Leistungsverlust mit allen CPUs bei einigen Spielen werden auch nicht jedem gefallen. Und Software, die in Text-Regkeys Daten speichert, die nicht ASCII sind, soll derzeit auch nicht funktionieren. Alles noch sehr Beta.

Und wer Windows 10 einsetzt, sollte auch Updates einspielen, es wurden diverse Zerodays beseitigt, einer davon wird bereits aktiv von chinesischen Hackern ausgenutzt.

https://www.bleepingcomputer.c…xes-4-zero-days-71-flaws/
https://www.bleepingcomputer.c…-attack-defense-it-firms/

Ich hatte ja heute Abend mit Win 10 21H2 erwartet, ist aber noch nicht da.

Updates zeitig einspielen sollte eigentlich dein ureigenes Interesse sein, insbesondere wenn aktiv genutzte 0-Day-Lücken vorhanden sind. Mit einmal ein bischen Admin-Arbeit in den lokalen Richtlinien kannst du das Updateverhalten auch so einstellen, dass Updates bei Erkennung automatisch sofort installiert werden und spätestens 3 Tage danach ein Reboot erzwungen wird. Das ist eigentlich der Idealzustand. Leider zeigt aber MS wiedermal, dass sie ihre Updates vorab nicht ausreichend testen, was sich z.B. diesen Sommer im Zusammenhang mit der Printnightmare-Lücke gezeigt hatte, wonach die KX-Druckertreiber von Kyocera/TA/Olivetti/Utax/... (allesamt letztendlich die selben Kyoceradrucker) nicht mehr funktionierten. Das sagt einem dann leider wieder "warte erstmal bis die Anderen das getestet haben"...

Zitat von 1ST1

Updates zeitig einspielen sollte eigentlich dein ureigenes Interesse sein, insbesondere wenn aktiv genutzte 0-Day-Lücken vorhanden sind. Mit einmal ein bischen Admin-Arbeit in den lokalen Richtlinien kannst du das Updateverhalten auch so einstellen, dass Updates bei Erkennung automatisch sofort installiert werden und spätestens 3 Tage danach ein Reboot erzwungen wird. Das ist eigentlich der Idealzustand. Leider zeigt aber MS wiedermal, dass sie ihre Updates vorab nicht ausreichend testen, was sich z.B. diesen Sommer im Zusammenhang mit der Printnightmare-Lücke gezeigt hatte, wonach die KX-Druckertreiber von Kyocera/TA/Olivetti/Utax/... (allesamt letztendlich die selben Kyoceradrucker) nicht mehr funktionierten. Das sagt einem dann leider wieder "warte erstmal bis die Anderen das getestet haben"...

So sieht es aus. Bei meinem letzten Arbeitgeber, wurde erst einmal zwei Wochen gewartet. Denn zu oft gab es nach kurzer Zeit einen Fix für den Fix

Was im privaten Bereich ärgerlich ist, kann für Unternehmen mitunter ganz schön teuer werden.

Ich frage mich immer, welche "exploits" überhaupt wann von Bedeutung sind, z.B. bei einem Rechner, welcher nicht von außen erreichbar ist.

Ich kann natürlich den Text jedes einzelnen Exploits lesen, aber auch da erschliesst sich nicht immer, wie der genau ausgenutzt wird.

Zitat von 1ST1

onach die KX-Druckertreiber von Kyocera/TA/Olivetti/Utax/... (allesamt letztendlich die selben Kyoceradrucker) nicht mehr funktionierten.

kann ich nicht bestätigen mit meinem Kyocera 1300D am Netzwerkprintserver und den KX-Treibern.

Die Multifunktionsgeraete von Kyocera und von 2 anderen Herstellern waren betroffen.

Wenn ein Drukjob gestartet wurde gab es einen Blue Screen.

Vor ca. 5 Wochen gab es den naechsten Bug bei Bondruckern die uebers

Netzwerk mit einer einfachen Freigabe freigegeben wurden, wurden nicht mehr erkannt.

Fuer die Gastro eine Katastrophe die meistens mehrere Drucker in der Lokalitaet verbaut haben.

Mein k.einer Bruder hatte einiges zu tun um das Problem kurzfristig aufzufangen.

Nach ca. 14 Tagen gab es denn endlich Hinweise welche Reg. Eintraege und Schluessel wie veraendert werden

mussten dami alles seinen gewohnten Gang geht.

Also die MS Updates gehen mir persoenlich mal richtig auf den Zeiger. Dadurch das die Updates nicht kpl. ausgeschaltet

werden koennen sollte man sich vielleicht mal fagen ob man MS dafuer ind ie Haftung nehmen koennte..................

Was W11 angeht ist eine andere Baustelle. Ich nehme nur mal gerade bezug auf die MS Update Probleme und deren Folgen bei bestimmten Druckern.

Beste Gruesse an euch an diesem angenehmen Mittwoch. Bei uns an der Kueste scheint gerade die Sonne wie doof und verrueckt.........

Ich bin ja hier "Master of the Updates", also derjenige der alle Rechner per WSUS mit updates ausstattet. Ich installiere nie ein Update direkt, sondern teste das erst auf eine kleine Gruppe bevor ich es frei gebe. Und auch bei testen, warte ich erst mal ein paar tage ab. So habe ich das 2021.03 update komplett übersprungen, also jenes was für die BS bei den Kyocera Drucker verantwortlich war. Wir haben hier hunderte Kyocera Drucker.

Im Home-Office hat es einige Benutzer erwischt und in der tat würde ich da gerne MS in Regress nehmen, aber das hat wohl kein Sinn.

platte verschlüsseln und die Schlüssel in einer TPM Enklave packen... Super. Und wenn das board defekt ist, sind alle Daten pfutsch... Oder wie?

Wobei: kein backup, kein Mitleid. Oder wie war das ?!?

IIRC gibts dafür noch einen RecoveryKey. Und ja auch "kein backup, kein Mitleid", sowieso. Wenn statt des Boards (wie oft das passiert) die HDD grätscht wäre es so oder so weg