Windows 11: co tracimy bez TPM?

Najlepszym (choć dalej chaotycznym i mieszającym tematy) wytłumaczeniem zapotrzebowania na TPM przygotowanym przez Microsoft jest film z kanału MS Mechanics sprzed ponad trzech lat. Wyjaśnia on na przykładach, jakie rodzaje ataków są blokowane przez wykorzystanie TPM. Niestety, mówi o wszystkim naraz, dorzucając do materiału kwestie związane z RDP, Secure Boot, ochroną DMA i UEFI. Sprawia przez to wrażenie, że kwestie te są powiązane bardziej niż jest w istocie.

Jest to jednak znacznie lepszy opis niż to, co Microsoft przygotował w grudniu, zachwalając TPM za pomocą argumentów takich, jak zgodność ze standardem ISO, "izolację procesów kryptograficznych i kluczy" (co jest nadużyciem semantycznym), Windows Hello, BitLocker i "przygotowanie do przyszłego użycia w dobie AI". O ile poprzednia argumentacja była chaotyczna, obecna sprowadza się jedynie do stwierdzenia, że TPM jest wspaniały, więc będzie obowiązkowy.

Dalsza część artykułu pod materiałem wideo

Aby wyjaśnić dokładnie, jaka korzyść płynie z TPM, należy rozdzielić i indywidualnie rozpatrywać kilka pokrewnych technologii. Nawet sam system Windows, w oknie Zabezpieczenia Windows, przedstawia te kwestie oddzielnie, informując o brakującej, częściowej lub pełnej zgodności z nowym, sprzętowym modelem zabezpieczeń. Na czym polega ta zgodność, a raczej - czego nie otrzymamy w razie jej braku?

Bez instalacji w trybie UEFI (nowy bootloader zamiast klasycznego MBR) nie otrzymamy obsługi Secure Boot, co oznacza że komputer nie zablokuje prób załadowania złośliwego oprogramowania, startującego jeszcze przed załadowaniem sterowników i antywirusa (np. najbardziej zjadliwych przedstawicieli rootkitów i ransomware'u). Komputery z UEFI są w sprzedaży od mniej więcej 12 lat.

Odpowiednio nowy wariant UEFI pozwala także uruchomić ochronę DMA, umożliwiającą powstrzymanie złośliwych urządzeń Thunderbolt przed bezpośrednim dostępem do pamięci i próbami obejścia zabezpieczeń. Urządzenia Thunderbolt z wtyczką USB-C wprowadzono w 2015 roku. Obecność gniazd Thunderbolt niemal gwarantuje obsługę ochrony DMA.

Ochrona integralności pamięci (code integrity, HVCI) wprowadza mechanizmy uniemożliwiające zabezpieczenia jądra systemu przed działaniem złośliwego oprogramowania, które teoretycznie ma prawo odczytu/zapisu względem pamięci, gdzie jądro jest załadowane. Działanie CI wymusza na sterownikach stosowanie się do ścisłej dyscypliny w zarządzaniu pamięcią. Platformy, których sterowniki są zgodne z tą dyscypliną powstały dopiero w 2018 roku.

HVCI ma jednak więcej wymagań. Ponieważ cały mechanizm do działania wykorzystuje wirtualizację, potrzebuje on SLAT, IOMMU, UEFI 2.6 i Secure Boot. Do kryptografii potrzebuje także... TPM 2.0. Odrzucając HVCI, zapotrzebowanie na TPM 2.0 wynika także z innych funkcji.

Usługi Kryptograficzne Windows Nowej Generacji (CNG) odblokowują klucze prywatne certyfikatów za pomocą TPM. Windows obsługuje też wirtualne karty inteligentne, przechowywane w formie wpisów w TPM. Klucze sprzętowe i biometria używane do uwierzytelniania w ramach Windows Hello for Business także mogą być blokowane za pomocą TPM.

Wreszcie, TPM jest też wykorzystywany przez BitLockera (aczkolwiek jemu wystarczy tylko wersja 1.2). Dzieje się tak nawet w wariancie z PIN-em. Wykrycie zmian prowadzi do zablokowania TPM i wymusza podanie klucza BitLocker, co uniemożliwia odczytanie danych przez przestępców. Idea stojąca za wysokimi wymaganiami Windows 11 polega na tym, że przesłanki pozwalające zmylić stan zabezpieczeń są niemożliwe do sfałszowania (TPM) lub wyciągnięcia z pamięci (HVCI, ochrona DMA, Secure Boot).

Wszystkie z tych mechanizmów są opcjonalne. Ale nie można powiedzieć, że są zbędne - chyba, że komputer służy wyłącznie do zabawy. Jeżeli nie obawiamy się kradzieży tożsamości, wykradnięcia naszej pracy i naszych haseł ani niewykrywalnego szpiegowania, "nowe" (czyli wprowadzane od 2012 roku) mechanizmy bezpieczeństwa istotnie są zbędne.

Nawet wykorzystanie peceta do gier nie jest wystarczającą wymówką, w dobie wszechobecnych kont i subskrypcji. Microsoft ma jednak świadomość tego, jakie są konsekwencje wycieku haseł w dzisiejszych czasach i stosuje mechanizmy ochrony nawet w laptopach z systemem w wersji Home.

Czasy, w których jedynym istotnym hasłem była poczta elektroniczna bez dwuskładnikowego uwierzytelniania - której przejęcie i tak byłoby najwyżej przejściową niedogodnością - po prostu już minęły. Choć Microsoft wydaje się nie potrafić zakomunikować nowych potrzeb marketingowo, jego dokumentacja techniczna rozwiewa wszelkie wątpliwości. Niemniej, Windows 11 potrafi pracować bez wszystkich tych zabezpieczeń i pozostaje możliwy do instalacji nawet na szesnastoletnich procesorach Nehalem.