升级Windows 11被否？TPM 2.0是“拦路虎”还是“护城河”

硬件安全芯片或模组其实已经不是什么新鲜事了，在黑客攻击技术不断推陈出新下，更高的安全性不仅要从软件上下手，也要从硬件上下手。自从Windows11去年正式推出以来，对于TPM 2.0硬件安全模块的讨论就没有停止。有的人将其视为额外的硬件成本，有的人则对安全性加强喜闻乐见。

虽然不少用户使出奇招绕过了这一要求，但对于电脑本身的安全性来说，可以说是没有半点益处。那么对于不想牺牲这一层网络攻击防护的用户来说，他们有哪些方案可选呢？

微软Pluton

考虑到独立的TPM模块需要系统OS、主板、处理器和TPM芯片厂商的协力合作，主推TPM 2.0的微软提出了一个TPM的方案：直接将TPM安全处理器内置在芯片中，这样主板上就无需额外的TPM 2.0模块，也能完美实现BitLocker硬盘加密，或是存储WindowsHello用到的指纹或人脸生物识别数据。

在Windows系统令竞争对手难以企及的的市场占有率下，微软的号召力可想而知，很快就拉动了英特尔、AMD和高通的支持。比如今年CES 2022上亮相的AMD Ryzen6000系列CPU，就宣布首发集成Pluton处理器。而高通在去年公布的8cxGen3笔记本SoC，也宣布在其安全处理单元（SPU）上集成微软的Pluton方案。

Ryzen6000系列移动处理器 / AMD

不过微软的Pluton除了提高系统安全性以外，可能还别有用心。不少开源圈的开发者表示此举是微软不让Linux有机会抢占PC消费市场，因为现在Linux已经有了对TPM的支持，而微软的Pluton暂时仅支持Windows系统。根据微软的说法，他们当前的工作重心是优化Pluton在Windows11上的表现。

对于同样在近期推出了新品CPU的英特尔来说，他们似乎并没有打算将Pluton集成在12代AlderLakes处理器上，而是选择了继续使用英特尔自己的对策，即IntelPlatformTrust技术（IntelPTT）。据英特尔强调，支持PTT的处理器可以提供独立TPM 2.0模块同样的能力，比如证书存储和密钥管理等，也支持微软对于fTPM（固件TPM）2.0的所有要求以及BitLocker硬盘加密，而对于用户的好处就在于无需任何额外的物理芯片。

英飞凌OPTIGA

但对于不支持Pluton或fTPM的处理器而言，这时往往要用到其他非集成TPM的方案了，比如英飞凌OPTIGA TPM。市面上不少主板的外接TPM模组，用到的都是英飞凌的OPTIGA SLB 9665或SLB 6970，这两者均支持TPM 2.0，也支持各种主流的对称与非对称加密算法。

然而，量子计算的出现对加密提出了更大的挑战，尤其加密数据的保密性和数字签名的完整性。如果未来的网络攻击掌握了可以随手借助量子计算的话，破解如今的加密算法可以说不在话下，尤其是RSA和Diffie-Hellman等公钥密码。

OPTIGA TPM SLB 9672 / 英飞凌

为了应对这些挑战，英飞凌在近期推出了全新的OPTIGA TPM SLB 9672。SLB 9672作为一款开箱即用的标准化TPM，使用XMSS签名，提供后量子加密（PQC）技术加密保护的固件更新机制，并支持最新的TCG规范和TPM 2.0标准。在该机制的加持下，即便标准算法不再处于受信状态，SLB 9672也可以更新。

SLB 9672不仅原生支持最新版的微软Windows系统和主要Linux发行版系统，还提供了可扩展的非易失性内存，最大可达51kB，用于存储证书和密钥。SLB 9672分为两个版本，一个是FW15.xx版本，适合作为要作为微软的Windows环境下的标准化认证安全方案，而16.xx版本提供加强的安全特性，比如AES批量机密、TPM唯一ID和EPS的配置，其中一个型号则使用温度范围从标准的-20℃到+85℃升级至-40℃到+105℃。

小结

微软下定决心也要强推TPM 2.0的态度足以说明他们对网络安全的重视，尽管如今的Windows已经不再是原来那个弱不禁风的系统，但在网络安全再度肆虐的今天，多一层硬件安全也就对自己的隐私多一重保障。在笔者看来，TPM 2.0也许是阻止老用户升级Windows11的“拦路虎”，但其最终目的还是建起一道维护PC安全的“护城河”。