TPM の推奨事項

TPM の推奨事項
https://learn.microsoft.com/ja-jp/previous-versions//mt604232(v=vs.85)?redirectedfrom=MSDN

『このトピックでは、Windows 10 のトラステッド プラットフォーム モジュール (TPM) テクノロジに関する推奨事項を示します。

概要

トラステッド プラットフォーム モジュール (TPM) テクノロジは、ハードウェア ベースのセキュリティ関連機能を提供します。TPM は、さまざまなデバイスやフォーム ファクターで暗号化操作を実行するために設計された、セキュリティ関連の暗号プロセッサです。TPM には、複数の物理的なセキュリティ メカニズムが搭載されています。TPM のセキュリティ機能は、悪意のあるソフトウェアによる改ざんを防ぐのに役立ちます。TPM テクノロジを使う主な利点は次のとおりです。

暗号化キーを生成、格納、使用、保護します。
一意の保証キー (EK) を使うことで、TPM テクノロジをプラットフォーム デバイスの認証に利用できます。
セキュリティ対策を取得して格納することで、プラットフォームの整合性を高めます。

TPM の最も一般的な機能はシステム整合性の測定とキーの作成に使われます。システムのブート プロセスの実行時、読み込まれたブート コード (ファームウェア、オペレーティング システム コンポーネントを含む) は TPM で測定して記録できます。整合性の測定値は、システムがどのように起動されたかの証拠として使えます。また、正しいソフトウェアによるシステムの起動にのみ TPM ベースのキーが用いられたことの確認としても使えます。

Trusted Computing Group (TCG) の仕様には、TPM のさまざまなバージョンが定義されています。

一部の情報はリリース前の製品に関することであり、正式版がリリースされるまでに大幅に変更される可能性があります。ここに記載された情報について、Microsoft は明示または黙示を問わずいかなる保証をするものでもありません。

TPM 1.2 と 2.0 の比較

業界標準から、Microsoft は TPM 2.0 への移行と標準化について業界をリードしています。 以下の表に示すように、TPM 2.0 にはアルゴリズム、暗号化、階層、ルート キー、承認、NV RAM にわたって数多くのメリットがあります。
TPM 2.0 を使う理由

TPM 2.0 の製品やシステムは TPM 1.2 と比較して次の重要なセキュリティ上の利点があります。

TPM 1.2 仕様では、RSA と SHA-1 ハッシュ アルゴリズムの使用のみが許可されます。
セキュリティ上の理由から、一部のエンティティは SHA-1 の使用を避け始めています。 特に、2014 年現在、NIST は多くの連邦機関に対して SHA-256 への移行を要請しています。Microsoft や Google などのテクノロジ リーダーも、SHA-1 ベースの署名と証明書のサポートを 2017 年に終了することを発表しました。
TPM 2.0 は暗号化アルゴリズムをより柔軟にすることで、より高速な暗号化を実現しました。
    TPM 2.0 では、SHA-256 と ECC がサポートされます。ECC は、署名とキー生成のパフォーマンスを高める場合に重要です。
    TPM 2.0 は、ISO 標準 (ISO/IEC 11889:2015) として承認されました。
    TPM 2.0 の使用は、OEM において、特定の国や地域のために標準構成に例外を設ける必要をなくすために役立つ場合があります。
TPM 2.0 は、異なる実装間でより一貫性のあるエクスペリエンスを実現します。
    TPM 1.2 の実装は、ディスクリートとファームウェアでポリシー設定に違いがあります。ロックアウトのポリシーが異なるため、サポートの問題が生じることがあります。
    TPM 2.0 で標準化されたポリシー要件は、デバイス間で一貫したロックアウト エクスペリエンスを確立するために役立ちます。これにより、Windows 全体にわたってより優れたユーザー エクスペリエンスが提供されます。
TPM 1.2 の部品は、一般的にマザーボード上にはんだ付けされたディスクリートなシリコン コンポーネントでした。これに対して TPM 2.0 は、ディスクリート (dTPM) なシリコン コンポーネントとして提供されるものと、次のようなシステムのメイン SoC 上の信頼された実行環境 (TEE) で動作する、ファームウェア (fTPM) ベースのコンポーネントとして提供されるものがあります。
    Intel のチップでは、Intel Management Engine (ME) または Converged Security Engine (CSE) です。
    AMD のチップでは、AMD Security Processor です。
    ARM のチップでは、Trustzone Trusted Application (TA) です。
    デスクトップ Windows システム用のファームウェア TPM の場合、チップ ベンダーは、ファームウェア TPM の実装を他のチップ ファームウェアと共に OEM に提供します。

ディスクリート TPM かファームウェア TPM か

Windows では、ディスクリート TPM とファームウェア TPM が同じように使われます。どちらを選んでも機能的なメリットやデメリットはありません。

セキュリティの観点からも、ディスクリートとファームウェアの特性は同じです。

両方とも、ハードウェア ベースのセキュリティで保護された実行を使います。
両方とも、TPM 機能の一部にファームウェアを使います。
両方とも、改ざんに対して抵抗する機能が備わっています。
両方とも、セキュリティに関する固有の制限事項/リスクがあります。

詳しくは、ファームウェア ベースの TPM 2.0 の実装 (fTPM) に関するページをご覧ください。
今後の Windows 10 の TPM 2.0 への準拠

2016 年 7 月 28 日以降に出荷されるすべての Windows 10 デバイスは、すべての種類の SKU において、TPM 2.0 ディスクリートまたはファームウェアを使用している必要があります。 この要件は、Windows ハードウェア認定プログラムを通じて適用されます。
Windows 10 デスクトップ エディション (Home、Pro、Enterprise、Education)

Windows 10 と Windows 8 のすべてのコネクト スタンバイ システムに TPM 2.0 のサポートを含める必要があります。
Windows 10 以降では、統合された fTPM2.0 を含む SoC を選択する場合、デバイスは fTPM FW をサポートするか、ディスクリート TPM 1.2 または 2.0 と共に出荷する必要があります。
2016 年 7 月 28 日以降、Windows 10 デスクトップを搭載するすべてのデバイスは、TPM 2.0 を実装し、TPM を有効にした状態で出荷する必要があります。

Windows 10 Mobile

Windows 10 Mobile を搭載するすべてのデバイスは、TPM 2.0 を実装し、TPM を有効にした状態で出荷する必要があります。

IoT Core

IoT Core では、TPM はオプションです。

Windows Server 2016 Technical Preview

Windows Server の SKU については TPM はオプション、ただしその SKU が Host Guardian Services のシナリオの追加条件 (AQ) を満たしている場合は TPM 2.0 が必要です。

TPM と Windows の機能

次の表では、TPM サポートが必要な Windows の機能を定義します。一部の機能は Windows 7/8/8.1 には適用されませんが、それについては記載されていません。
Windows の機能 Windows 7/8/8.1 TPM 1.2 Windows 10 TPM 1.2 Windows 10 TPM 2.0 詳細
メジャー ブート 必須 必須 必須 メジャー ブートには TPM 1.2 か 2.0 および UEFI セキュア ブートが必要です。
BitLocker 必須 必須 必須 TPM 1.2 以降、またはフラッシュ ドライブなどのリムーバブル USB メモリ デバイスが必要です。
Passport: ドメイン AADJ への参加 該当なし 必須 必須 両方のバージョンの TPM をサポートしますが、キーの構成証明のサポート用に HMAC および EK の証明書付きの TPM が必要です。
Passport: MSA またはローカル アカウント 該当なし 必須ではない 必須 TPM 2.0 およびキーの構成証明のサポート用に HMAC と EK の証明書が必要です。
デバイスの暗号化 該当なし 必須ではない 必須 TPM 2.0 は InstantGo のすべてのデバイスに必要です。
デバイス ガード/構成可能なコードの整合性 該当なし 省略可能 省略可能
Credential Guard 該当なし 必須 必須 Windows 10、バージョン 1511 では、TPM 1.2 または 2.0 を強くお勧めします。TPM がインストールされていない場合でも Credential Guard は有効になりますが、Credential Guard を暗号化するために使われるキーは TPM によって保護されません。
デバイスの正常性の認証 該当なし 必須ではない 必須
Windows Hello 該当なし 必須ではない 必須ではない
UEFI セキュア ブート 必須ではない 必須ではない 必須ではない
プラットフォームのキー記憶域プロバイダー 該当なし 必須 必須
仮想スマート カード 該当なし 必須 必須
証明書ストレージ (TPM バインド) 該当なし 必須 必須

TPM 2.0 のチップセット オプション

ディスクリートとファームウェアの両方について、さまざまな TPM 製造元が存在します。
ディスクリート TPM
サプライヤー

Infineon
Nuvoton
NationZ
ST Micro

ファームウェア TPM
サプライヤー チップセット
AMD

Mullins
Beema
Carrizo

Intel

Clovertrail
Haswell
Broadwell
Skylake
Baytrail

Qualcomm

MSM8994
MSM8992
MSM8952
MSM8909
MSM8208

TPM 2.0 のシステムの可用性に関する OEM のフィードバックとステータス
認定済みの TPM パーツ

政府関連のお客様や規制のある業界の大企業のお客様は、場合によっては調達基準により一般的に認定済みの TPM パーツを使う必要があります。このため、デバイスを提供する OEM では、認定済みの TPM コンポーネントだけを使って商用クラスのシステムを構築することが必要になる可能性があります。 ディスクリート TPM 2.0 のベンダーは、2015 年末に認定を完了することを目指しています。
Windows 7 32 ビット版のサポート

TPM 2.0 の仕様や製品が存在する以前に出荷された Windows 7 であっても、マイクロソフトは Windows 7 64 ビット版に対して TPM 2.0 のサポートをバックポートして、2014 年の夏に UEFI ベースの Windows 7 システム用のダウンロード可能な Windows 修正プログラムをリリースしました。現在、マイクロソフトでは、Windows 7 32 ビット版へのバックポート サポートの提供は検討しておりません。

この記事の内容

概要
TPM 1.2 と 2.0 の比較
TPM 2.0 を使う理由
ディスクリート TPM かファームウェア TPM か 』