硬件安全芯片或模組其實已經(jīng)不是什么新鮮事了，在黑客攻擊技術不斷推陳出新下，更高的安全性不僅要從軟件上下手，也要從硬件上下手。自從Windows11去年正式推出以來，對于TPM 2.0硬件安全模塊的討論就沒有停止。有的人將其視為額外的硬件成本，有的人則對安全性加強喜聞樂見。

雖然不少用戶使出奇招繞過了這一要求，但對于電腦本身的安全性來說，可以說是沒有半點益處。那么對于不想犧牲這一層網(wǎng)絡攻擊防護的用戶來說，他們有哪些方案可選呢？

微軟Pluton

考慮到獨立的TPM模塊需要系統(tǒng)OS、主板、處理器和TPM芯片廠商的協(xié)力合作，主推TPM 2.0的微軟提出了一個TPM的方案：直接將TPM安全處理器內(nèi)置在芯片中，這樣主板上就無需額外的TPM 2.0模塊，也能完美實現(xiàn)BitLocker硬盤加密，或是存儲WindowsHello用到的指紋或人臉生物識別數(shù)據(jù)。

在Windows系統(tǒng)令競爭對手難以企及的的市場占有率下，微軟的號召力可想而知，很快就拉動了英特爾、AMD和高通的支持。比如今年CES 2022上亮相的AMD Ryzen6000系列CPU，就宣布首發(fā)集成Pluton處理器。而高通在去年公布的8cxGen3筆記本SoC，也宣布在其安全處理單元（SPU）上集成微軟的Pluton方案。

Ryzen6000系列移動處理器 / AMD

不過微軟的Pluton除了提高系統(tǒng)安全性以外，可能還別有用心。不少開源圈的開發(fā)者表示此舉是微軟不讓Linux有機會搶占PC消費市場，因為現(xiàn)在Linux已經(jīng)有了對TPM的支持，而微軟的Pluton暫時僅支持Windows系統(tǒng)。根據(jù)微軟的說法，他們當前的工作重心是優(yōu)化Pluton在Windows11上的表現(xiàn)。

對于同樣在近期推出了新品CPU的英特爾來說，他們似乎并沒有打算將Pluton集成在12代AlderLakes處理器上，而是選擇了繼續(xù)使用英特爾自己的對策，即IntelPlatformTrust技術（IntelPTT）。據(jù)英特爾強調(diào)，支持PTT的處理器可以提供獨立TPM 2.0模塊同樣的能力，比如證書存儲和密鑰管理等，也支持微軟對于fTPM（固件TPM）2.0的所有要求以及BitLocker硬盤加密，而對于用戶的好處就在于無需任何額外的物理芯片。

英飛凌OPTIGA

但對于不支持Pluton或fTPM的處理器而言，這時往往要用到其他非集成TPM的方案了，比如英飛凌OPTIGA TPM。市面上不少主板的外接TPM模組，用到的都是英飛凌的OPTIGA SLB 9665或SLB 6970，這兩者均支持TPM 2.0，也支持各種主流的對稱與非對稱加密算法。

然而，量子計算的出現(xiàn)對加密提出了更大的挑戰(zhàn)，尤其加密數(shù)據(jù)的保密性和數(shù)字簽名的完整性。如果未來的網(wǎng)絡攻擊掌握了可以隨手借助量子計算的話，破解如今的加密算法可以說不在話下，尤其是RSA和Diffie-Hellman等公鑰密碼。

OPTIGA TPM SLB 9672 / 英飛凌

為了應對這些挑戰(zhàn)，英飛凌在近期推出了全新的OPTIGA TPM SLB 9672。SLB 9672作為一款開箱即用的標準化TPM，使用XMSS簽名，提供后量子加密（PQC）技術加密保護的固件更新機制，并支持最新的TCG規(guī)范和TPM 2.0標準。在該機制的加持下，即便標準算法不再處于受信狀態(tài)，SLB 9672也可以更新。

SLB 9672不僅原生支持最新版的微軟Windows系統(tǒng)和主要Linux發(fā)行版系統(tǒng)，還提供了可擴展的非易失性內(nèi)存，最大可達51kB，用于存儲證書和密鑰。SLB 9672分為兩個版本，一個是FW15.xx版本，適合作為要作為微軟的Windows環(huán)境下的標準化認證安全方案，而16.xx版本提供加強的安全特性，比如AES批量機密、TPM唯一ID和EPS的配置，其中一個型號則使用溫度范圍從標準的-20℃到+85℃升級至-40℃到+105℃。

小結(jié)

微軟下定決心也要強推TPM 2.0的態(tài)度足以說明他們對網(wǎng)絡安全的重視，盡管如今的Windows已經(jīng)不再是原來那個弱不禁風的系統(tǒng)，但在網(wǎng)絡安全再度肆虐的今天，多一層硬件安全也就對自己的隱私多一重保障。在筆者看來，TPM 2.0也許是阻止老用戶升級Windows11的“攔路虎”，但其最終目的還是建起一道維護PC安全的“護城河”。