Als je de laatste tijd technisch nieuws hebt gevolgd, heb je waarschijnlijk gehoord van de opschudding die Microsoft aan het opwekken is over minimaal hardwarevereisten voor zijn nieuwe Windows 11-besturingssysteem. Een van die vereisten is een TPM 2.0-chip. Maar wat is dat precies en waarom eist Microsoft dit?
TPM staat voor”Trusted Platform Module”en is een soort chip die zich ter beveiliging op het moederbord van uw computer bevindt. Hoewel dat een goed startpunt is, zijn we erin gedoken en hebben we het weinig bekende onderdeel nog meer verkend om al uw brandende vragen te beantwoorden, zoals waar het voor wordt gebruikt, hoe u kunt zien of uw computer er al een heeft en waar u er een kunt kopen als dat niet het geval is.
Inhoudsopgave
Wat is een TPM-chip?
Een Trusted Platform Module is een kleine chip op het moederbord van uw computer die beveiligingsfuncties op hardwareniveau biedt. Het is in wezen een veilige crypto-processor die in staat is om bewerkingen uit te voeren zoals het genereren van coderingssleutels en het bieden van een combinatie van software-en hardware-gebaseerde authenticatie op een sabotagebestendige manier.
Moderne standaardcomputers hebben doorgaans al een stand-alone TPM-chip die op het moederbord is gesoldeerd. Als u uw eigen pc bouwt, kunt u er ook een apart aanschaffen als uitbreidingsmodule voor elk moederbord dat dit ondersteunt. Niet alle moederborden ondersteunen echter TPM-chips of hebben de bijbehorende connector, zoals we later zullen bespreken.
Er zijn andere vormen die TPM’s kunnen aannemen, naast fysieke losse chips, hoewel de gemiddelde gebruiker zich hier geen zorgen over hoeft te maken. Sommige kunnen als firmware of als fysieke add-on in de hoofd-CPU worden geïntegreerd. Er zijn ook puur virtuele TPM’s, die volledig binnen software draaien. Hoewel geen van beide zo veilig is als een op zichzelf staande chip, is de eerste nog steeds de meest haalbare optie van de twee, omdat deze een discrete en vertrouwde omgeving gebruikt in vergelijking met een omgeving die gemakkelijk kan worden gehackt en gewijzigd.
Waar worden TPM-chips voor gebruikt?
Kortom, bij TPM-chips draait alles om beveiliging. Ze worden het meest gebruikt om gegevens te beschermen en te versleutelen en kunnen gevoelige informatie zoals wachtwoorden, versleutelingssleutels en beveiligingscertificaten met een hardwarebarrière opslaan.
Een TPM-chip kan zichzelf (en dus alle gegevens die daarop zijn opgeslagen) in quarantaine plaatsen als deze malware of een virus op uw apparaat detecteert. In sommige gevallen kan de chip het BIOS van uw computer scannen bij het opnieuw opstarten en een reeks voorwaardelijke tests uitvoeren om te controleren op ongewenste programma’s of toegang voordat deze wordt uitgevoerd. De chips kunnen ook detecteren of iemand met de schijf van uw computer heeft geknoeid (bijvoorbeeld als deze is gestolen) en voorkomen dat uw computer opstart en het systeem vergrendelt als het iets detecteert. De chips kunnen ook biometrische inloggegevens opslaan, zoals die worden gebruikt voor Windows Hello.
Meestal worden de chips echter gebruikt om unieke cryptografische sleutels te genereren. Daarbij houdt de chip een deel van de sleutel voor zichzelf (letterlijk: het wordt alleen opgeslagen in de TPM, nooit op uw harde schijf). De sleutels helpen bij het versleutelen van je harde schijf, en iedereen die toegang probeert te krijgen tot die sleutel kan niet zomaar wegduiken met de harde schijf en de informatie later krijgen wanneer ze deze thuis op het moederbord van hun computer aansluiten.
Bovendien gebruiken ervaren gebruikers de chips vaak om versleutelde, met een sleutel ondertekende berichten in e-mailclients te verwerken. De chips worden ook vaak gebruikt door browsers, zoals Chrome, voor geavanceerde functies zoals het onderhouden van SSL-certificaten.
Wie gebruikt TPM-chips?
Voorheen werd het onderdeel meestal alleen gebruikt door grote bedrijven die hun informatie moesten beveiligen. Je zag de chips meestal in bedrijfslaptops, omdat ze daar werden gebruikt om ervoor te zorgen dat er niet met de hardware of software was geknoeid door werknemers of iemand anders.
Mediabedrijven die settopboxen gebruiken, gebruikten deze vaak om ervoor te zorgen dat hun inhoud zonder diefstal correct kon worden verspreid. Moderne smartphones, zoals Pixels en iPhones, hebben ook recentelijk geadopteerd soortgelijke beveiligingschips.
Hoewel Microsoft nog niet heeft aangegeven waarom, kiest Microsoft er ook voor om de chip een belangrijk onderdeel te maken van de hardwarevereisten voor de aanstaande Windows 11-update. Het zet een relatief nichecomponent in de schijnwerpers, aangezien iedereen die het nieuwe besturingssysteem wil gebruiken hiervan op de hoogte moet zijn.
Waarom zou Microsoft een TPM-chip voor Windows 11 nodig kunnen hebben?
Toen Microsoft Windows 11 aankondigde in juni 24 evenement, vermeldde het ook specifieke hardwarevereisten waaraan computers zouden moeten voldoen als ze het besturingssysteem zouden gebruiken. In de documentatie vermeldde Microsoft aanvankelijk TPM 1.2 als een”harde vloer”-vereiste en TPM 2.0 als een”zachte vloer”en zei:”Apparaten die niet voldoen aan de harde vloer kunnen niet worden geüpgraded naar Windows 11, en apparaten die voldoen aan de soft floor krijgt een melding dat upgraden niet wordt geadviseerd.” Ja, dat is erg verwarrend.
Een paar dagen later verwijderde Microsoft die informatie van haar website. Het verklaarde ook in een bijgewerkte blogpost dat het tijdelijk verwijderde de PC Health Check-app waarmee gebruikers konden zien of hun computer al dan niet compatibel was met de nieuwe hardwarevereisten, daarbij verwijzend naar speling. Momenteel Microsoft vermeldt TPM 2.0 als het enige harde minimum.
Tot op heden heeft Microsoft nog nooit zulke strenge hardware-eisen gesteld voor eerdere versies van Windows. Tussen het niet geven van een redenering voor de vereisten, het verwijderen van de PC Health Check-app en het flippen over andere verklaringen, is niemand verbaasd dat het bedrijf te maken heeft met terugslag.
Gezien de aard van TPM-chips en wat ze kunnen doen, is het mogelijk dat Microsoft gewoon extra op de beveiliging let. In feite bieden de chips een basis van hardwarebeveiliging voor Windows 11 om op te draaien. Microsoft is ook ransomware aanvallen we hebben gezien, (om nog maar te zwijgen van IoT en het leveren van kwetsbaarheden of phishing-aanvallen) het kan zeker geen kwaad om een extra inspanning te doen om ervoor te zorgen dat alles in de toekomst veiliger is.
Maar hoewel TPM-chips een grote bijdrage zullen leveren aan het afzwakken van deze aanvallen, die voornamelijk worden gelanceerd tegen apparaten met Windows, moet Microsoft ook rekening houden met zijn gebruikers.
Sommigen zouden kunnen beweren dat de zwaardere hardwarevereisten fiscaal gemotiveerd zijn. Het idee is om geplande veroudering tegen te gaan en meer mensen te dwingen een nieuwe computer te kopen die over alle benodigde hardware beschikt. Dat kan voorkomen dat mensen hun oude desktop waarop nog steeds Windows 8 wordt uitgevoerd nog tien jaar vasthouden, zoals mensen in het verleden met eerdere updates hebben gedaan. Aangezien Microsoft een bedrijf is en geen filantropische onderneming, is dat een redelijk argument.
De geschiedenis van Microsoft bewijst echter dat het niet geweldig is als het gaat om het naar de toekomst duwen van zijn software en hardware. Het bedrijf heeft sinds Windows 10 zelfs geëist dat TPM’s worden ingeschakeld op nieuwe pc’s, OEM’s moesten apparaten met TPM-ondersteuning verzenden, maar het bedrijf heeft zijn apparaatpartners nooit gedwongen om ze voor Windows te laten werken. Houd er rekening mee dat zelfs Windows 10-laptops en-desktops die slechts vijf jaar of minder oud zijn, kunnen worden afgesneden van Windows 11.
Het is geen wonder dat gebruikers in de war, gefrustreerd en zelfs overstuur zijn, tussen sterk bewapend zijn in een upgrade en Microsoft haar mond houden over dit onderwerp. Aan de ene kant is het eerlijk en wordt zelfs verwacht dat een bedrijf stappen onderneemt om zijn product (en op zijn beurt de gebruikers) veilig te houden; aan de andere kant, dat product plotseling moeilijker toegankelijk maken, mogelijk het gebruikersbestand beperken, en zeker verwarrend, is niet bepaald de verstandigste zakelijke zet.
Het probleem wordt verergerd door de scalpers die (natuurlijk) de beschikbare componenten al hebben opgepot om ze voor belachelijk hoge prijzen op eBay te verkopen.
Wat is het verschil tussen TPM 1.2 en TPM 2.0?
Hoewel Microsoft nog steeds onduidelijk is of het cool zal zijn met de TPM 1.2-standaard of uiteindelijk voor TPM 2.0 zal kiezen, is het toch de moeite waard om het verschil tussen de twee te kennen.
Microsoft stelt,“De TPM 1.2-specificatie staat alleen het gebruik van RSA en de SHA-1 hashing-algoritme.” Evenzo volgt het door te zeggen:”TPM 2.0 maakt grotere crypto-agility mogelijk door flexibeler te zijn met betrekking tot cryptografische algoritmen. TPM 2.0 ondersteunt nieuwere algoritmen, die het ondertekenen van schijven en het genereren van sleutels kunnen verbeteren.”
Simpel gezegd, TPM 2.0-technologie is nieuwer dan die van TPM 1.2, waarvan de laatste al sinds 2011 bestaat. De codering is sterker en veiliger, en is beter in staat om nieuwere algoritmen te ondersteunen. En zoals met de meeste dingen in technologie, is het nieuwere meestal beter.
Hoe u kunt controleren of uw computer een TPM-chip heeft
Allereerst, als u uw pc op enig moment na 28 juli 2016, heeft het hoogstwaarschijnlijk al een TPM 2.0-chip die al is ingeschakeld. Als je apparaat echter ouder is, of als je je eigen apparaat hebt gebouwd, is dat misschien niet het geval.
Hoe dan ook, onze zustersite How-to-Geek heeft een paar manieren om zelf te controleren, zoals door de TPM Management-tool of het UEFI-firmware-instellingenscherm te controleren. Het is ook mogelijk dat je contact moet opnemen met de fabrikant van je computer om erachter te komen, of om te kijken of ze een FAQ-sectie op hun site hebben met de apparaten die dat wel doen.
Hoe u de TPM-chip van uw computer kunt inschakelen
Als je je eigen pc hebt gebouwd, is er een kleine kans dat hij zegt dat hij geen TPM 2.0 heeft, of dat hij dat wel heeft, maar niet is ingeschakeld. Dus als dat het geval is, moet je naar het UEFI of BIOS instellingenscherm en schakel het daar in. Soms kan een computer ook zeggen dat hij geen TPM 2.0 heeft, maar het is eigenlijk gewoon uitgeschakeld als je het opzoekt in de instellingen; je kunt het indien nodig nog steeds inschakelen.
U zoekt naar een optie met de naam’TPM-ondersteuning’,’Trusted Platform Module’,’Intel PTT’,’PSP fTPM’of iets dergelijks. Van daaruit schakelt u het eenvoudig in, slaat u uw instellingen op en start u uw computer opnieuw op. Houd er rekening mee dat de kans bestaat dat de TPM-chip van uw pc ook wordt vermeld en uitgeschakeld in uw Apparaatbeheer (hoe onwaarschijnlijk ook), dus zorg ervoor dat u daar ook controleert of het elders niet kan worden ingeschakeld.
Waar kun je een TPM-chip kopen?
Voor degenen die wel een TPM-chip voor hun rig moeten kopen, zoek er een die wordt verkocht als een add-on-module. Controleer nogmaals of de chip het exacte moederbord van uw computer ondersteunt voordat u op kopen klikt, en of u ook andere hardwarecomponenten vastloopt.
Zoals we eerder vermeldden, scalpers verspilden geen tijd met het hamsteren van TPM-chips (of markeren ze voor wederverkoop op eBay) bij het horen van Microsoft’s initiële Windows 11-vereisten. Je kunt het beste proberen er een rechtstreeks bij pc-bouwwinkels of onderdelenkiezerwebsites te kopen. Meestal verkopen ze voor ongeveer $ 20-$ 30, dus vermijd veel meer te betalen als je kunt. En vermijd natuurlijk eBay waar mogelijk.
Als je er een kunt vinden, zorg er dan voor dat je de versleuteling inschakelt in het BIOS van je laptop of desktop. De meeste computerfabrikanten bieden software waarmee u ook toegang kunt krijgen tot TPM-functies.
Dit is begrijpelijkerwijs veel informatie om te verwerken, vooral omdat TPM-chips een niche-component zijn waar Microsoft nog nooit veel over heeft gedaan. Maar maak je geen zorgen, het is heel goed mogelijk dat de techgigant verlaagt de hardwarevereisten voor Windows 11 of besluit de TPM-vereiste helemaal te laten vallen. Hier hoop ik tenminste op.
