信任可信任平台模块 (Trusted Platform Module)
TPM芯片可能是主机板上的一个单独的芯片、整合在网络控制器中或是置于南桥芯片里,它存在于任何可以连上LPC (Low Pin Count) 总线的地方。
最初由IBM设计,由信任运算集团 (Trusted Computing Group) 组成的厂商联盟操控的可信任平台模块 (Trusted Platform Module, TPM),您可把它想成一个焊在主机板上的智能卡,在硬件上是与SIM卡一样,但是韧体不相同。IBM原来的嵌入式安全系统 (Embedded Security System) 是放在一片子卡上,再连接至LPC,而且可以拔下来,但是TPM是永久装在主机板上 (接在南桥芯片或I/O Controller Hub上的33MHz Low Pin Count总线)。您不会在所有的系统中看到TPM芯片,但任何标示有vPro或Centrino Pro的计算机都将具备TPM。当苹果计算机在转换至使用英特尔的处理器之初,他们在Mac主机板上设置了一个TPM (用来检测是否在苹果计算机硬件上运行Mac OS X) 但在几个月之后移除了那个芯片,据说是为了降低硬件成本。
TPM具有一些功能,包含一个随机数字产生器及一个金钥产生器,所以它能够为加密功能产生签章及配对金钥。这些加密金钥是放在TPM中被保护的地方,所以很难袭击到它们。您的私人金钥永远不会离开TPM;另外,TPM会比较金钥以及验证它们或是签发公用金钥,有加密金钥可对储存器加密及对存在TPM中金钥进行描述。TPM也有它自己的私有金钥,这个签章金钥 (endorsement key) 是由制造商产生的,而且是无法由TPM以外的任何东西读取出来。初始化及管理功能可让您开启或是关闭TPM的功能,重置芯片以清除您的金钥,并取得新的或重置后的TPM的所有权 (所以您才能够将计算机移交给别人),如果一个安全防护系统只需要知道您的计算机具备有TPM而不必对您了解更多,那么这TPM支持直接匿名认证协议 (Direct Anonymous Attestation protocol)。
TPM芯片在预设情况下是失效的,所以您必须使它生效,透过跳线、BIOS或是两者同时,全视您的系统而定。即便是在生效的状况下,TPM并不会启动中断,它只对软件的请求作出反应。为了要使用TPM,您必须利用随附在您计算机上的TPM工具软件去取得所有权,英特尔是采用Wave的Embassy Security Center。利用TPM产生金钥,您选它作为您所产生的任何验证的密码服务供应者 (Cryptographics Service Provider, CSP)。
可信任平台模块预设是失效的,必须在软件能够使用它进行防护之前设置好。
您一旦启动了TPM并取得所有权,您就可以随时随地的利用进阶选项将它当成加密服务提供者 (Cryptographic Service Provider) 来产生认证。
