我是一个相当精通计算机的用户,可以双启动 Linux 和 Windows 10,我对家用桌面上针对恶意软件、远程攻击等的安全性感兴趣。至少在理论上,可信平台模块(TPM)能否提供针对任何这些威胁的任何保护?在实践中?
我花了相当多的时间阅读有关 TPM 的内容,但我无法清楚地了解它究竟对我(或大多数人)有何帮助。如果您想要全盘加密,它显然有好处,但是除了全盘加密之外,家庭用户的 TPM 有什么用?我可以找到有关如何使用 TPM 保护我的 SSH 密钥的信息,但我不确定这样做有什么好处。
看起来您已经了解全盘加密,所以我不会深入讨论。
正确配置后,可信平台模块可以保护您免受某些特定类型的恶意软件的侵害。一些特别讨厌的恶意软件会出于以下两个目的之一重写您的引导加载程序:
TPM 可以通过建立信任链来保护您免受这些攻击:验证引导加载程序,然后可以启动经批准的反恶意软件解决方案 ( Early Launch Anti-Malware ),然后保护您免受普通病毒的侵害。这就是“可信平台模块”这个名字的由来;TPM 验证您的操作系统平台未被篡改。
如果引导加载程序已被修改(即未由受信任的机构签名),TPM 可以拒绝提供引导系统所需的信息,您将需要手动修复操作系统安装。这种保护称为可信启动。
但是,一旦操作系统启动并运行,您的保护必须由普通的反恶意软件程序提供。TPM 无法阻止您被普通病毒感染。
UEFI 有一个称为安全启动的功能,它执行类似的操作,并且不一定涉及 TPM(TechNet 来源):
安全启动不需要可信平台模块 (TPM)。
安全启动和可信启动不是一回事!可信启动向操作系统提供启动过程的详细信息,而安全启动只是在启动前验证启动加载程序。现代操作系统 - 从 Windows 8 开始的 Windows,大多数 Linux 发行版 - 支持安全启动。有关如何设置的详细信息因机器固件和操作系统而异,但在您的机器设置屏幕中通常有一个相当明显的“安全启动”设置。
参考:Windows 8.1 启动安全,在 Windows 8 中启用安全启动。Windows 8.1 启动过程、UEFI 安全启动和 TPM