TPM haqqında ətraflı.
TPM nədir və niyə Windows 11 üçün tələb olunur? Bu kiçik, “sirli” çip əslində kompüter təhlükəsizliyinin əsas elementlərindən biridir. Bu mövzunu daha yaxşı anlamaq üçün gəlin TPM-in nə olduğunu və necə işlədiyini ətraflı şəkildə nəzərdən keçirək.
Bu gün Windows əməliyyat sistemi ilə satılan demək olar ki, hər bir kompüterdə TPM modulu mövcuddur. TPM (Trusted Platform Module) — təhlükəsizliyə cavabdeh olan xüsusi bir çipdir. Onu Trusted Computing Group adlı sənaye təşkilatı hazırlayıb. Bu təşkilata AMD, Intel, Microsoft, Google, Dell və Lenovo kimi böyük şirkətlər daxildir və onların məqsədi kompüterləri və proqram təminatını daha təhlükəsiz etməkdir.
TPM-in inkişafı 1999-cu ildən başlayıb. İlk tam standart 2009-cu ildə TPM 1.2 versiyası ilə təqdim olunub. Daha sonra 2015-ci ildə TPM 2.0 standartı əlavə funksiyalarla yenilənib və “etibarlı hesablama” sahəsində əsas texnologiyalardan biri olaraq qalmağa davam edib.
Uzun müddət TPM məcburi komponent deyildi. İstehsalçılar onu cihazlara əlavə edib-etməməkdə sərbəst idilər, istifadəçilər isə BIOS-da onu aktivləşdirib-aktivləşdirməməyi seçə bilirdilər. Lakin Windows 11 ilə vəziyyət dəyişdi — Microsoft bu əməliyyat sistemini yalnız TPM 2.0 aktiv olan cihazlarda dəstəkləyəcəyini elan etdi.
Bu qərar birmənalı qarşılanmadı. Çünki əvvəlki Windows versiyaları TPM olmadan da işləyirdi. Hətta Windows 11-i də müəyyən üsullarla TPM olmadan quraşdırmaq mümkündür. Lakin bu halda sistem rəsmi dəstək və yeniləmələrdən məhrum qala bilər.
TPM-in mahiyyətini anlamaq üçün onun necə işlədiyini bilmək vacibdir.
Əvvəllər TPM ayrıca kiçik çip kimi anakart üzərində yerləşirdi. Sonralar isə o ya birbaşa anakarta lehimləndi, ya da prosessorun daxilində proqram səviyyəsində həyata keçirildi. Bu gün bir çox sistemdə TPM funksiyaları CPU daxilində (məsələn, Intel PTT və ya AMD fTPM) işləyir.
TPM kiçik bir kompüter kimi fəaliyyət göstərir. O, əmrləri qəbul edir, cavab verir və məlumatları saxlayır. Onun daxilində enerjidən asılı olmayan yaddaş mövcuddur — bu yaddaş elektrik kəsilsə belə məlumatı saxlayır. Standarta görə minimum 7 KB yaddaş tələb olunur, lakin müasir TPM modullarında bu həcm 100 KB-dan çox ola bilər.
TPM-in əsas fərqi ondadır ki, o, məlumatlara çıxışı ciddi şəkildə nəzarət edir. Məsələn, əgər bir proqram öz parolunu TPM-də saxlayırsa, modul həmin parolu yalnız həmin proqram üçün əlçatan edir. Başqa bir proqram — məsələn, zərərli proqram — bu məlumatı əldə etməyə çalışsa, TPM buna icazə vermir. Bu da sistemi zərərli proqramlardan qorumağa kömək edir.
TPM həmçinin sistemin vəziyyətini yoxlaya bilir. O, hardware və proqram mühitinin dəyişib-dəyişmədiyini analiz edir və yalnız “etibarlı” hesab etdiyi halda məlumatları təqdim edir.
Məsələn, kompüter açılarkən parol daxil edilirsə, TPM bu məlumatı öz yaddaşında saxlanılan məlumatlarla müqayisə edir. BIOS sıfırlansa belə, bu qoruma mexanizmi qalır. Bundan əlavə, TPM bruteforce hücumlarına qarşı qoruma təmin edir — yanlış parol cəhdləri artdıqca gözləmə müddəti də artır. Hətta TPM-in öz daxili saatı var, buna görə də BIOS vaxtını dəyişmək və ya batareyanı çıxarmaq bu sistemi aldatmır.
TPM-in ən vacib funksiyalarından biri kriptoqrafiyadır. O, həm açıq, həm də gizli açarlarla işləyən şifrələmə mexanizmlərini dəstəkləyir. İki açarlı sistemdə bir açar açıq olur və məlumatı şifrələmək üçün istifadə edilir, digər açar isə gizli olur və yalnız məlumatı deşifrə etmək üçün istifadə olunur.
Ən önəmli məqam isə budur ki, gizli açar TPM-in daxilində saxlanılır və heç vaxt sistemə ötürülmür. Bu, açarın oğurlanmasının qarşısını alır.
Windows sistemində TPM-in ən məşhur tətbiqi BitLocker disk şifrələmə texnologiyasıdır. BitLocker diski tam şifrələyir və kompüter açıldıqda TPM-dən açarı tələb edir. Əgər sistem təhlükəsiz hesab olunursa, TPM açarı təqdim edir və sistem yüklənir. Əks halda, giriş bloklanır.
Bu o deməkdir ki, diski başqa kompüterə qoşub oxumağa çalışsanız, yalnız şifrələnmiş və oxunmaz məlumat görəcəksiniz. Əgər sistemdə dəyişiklik aşkar edilərsə (məsələn, bootloader dəyişərsə), TPM açarı verməyəcək.
Əgər kompüter sıradan çıxarsa, BitLocker xüsusi bərpa açarı (recovery key) yaradır. Bu açar 48 simvoldan ibarətdir və istifadəçi hesabında və ya korporativ mühitdə Active Directory-də saxlanılır.
Windows-un Home versiyasında BitLocker olmasa da, Device Encryption adlı oxşar funksiya mövcuddur. Bundan əlavə, TPM Device Guard və Credential Guard kimi təhlükəsizlik mexanizmlərinin də işini gücləndirir.
TPM 2.0 əvvəlki versiyaya nisbətən daha güclü şifrələmə metodlarını dəstəkləyir. O, elliptik əyrilər əsasında kriptoqrafiyanı və SHA-2 hash funksiyalarını istifadə edir ki, bunlar əvvəlki SHA-1 standartından daha təhlükəsizdir. Bundan əlavə, TPM 2.0 UEFI ilə daha yaxşı işləyir və Secure Boot funksiyasını dəstəkləyir.
Secure Boot sayəsində əməliyyat sistemi yalnız dəyişdirilməmiş və etibarlı kodla yüklənir. Əgər sistemə zərərli kod daxil olarsa, yüklənmə baş vermir.
Bununla belə, TPM bütün təhlükələrə qarşı qoruma təmin etmir. Məsələn, keylogger proqramları və phishing hücumları TPM tərəfindən qarşısı alınmır. Buna görə də əlavə təhlükəsizlik tədbirləri vacibdir.
Bəzi tənqidçilər TPM-in istifadəçi azadlığını məhdudlaşdıra biləcəyini düşünür. Məsələn, proqram təminatının işləməsi yalnız müəyyən şərtlərlə məhdudlaşdırıla bilər. Bu səbəbdən TPM əvvəllər DRM texnologiyası kimi tənqid olunurdu. Lakin zamanla bu qorxuların böyük hissəsi özünü doğrultmadı.
Nəticə olaraq, TPM kompüter təhlükəsizliyində mühüm rol oynayır. O, məlumatları hardware səviyyəsində qoruyur və Windows 11 ilə birlikdə yeni təhlükəsizlik standartına çevrilib. Bununla belə, o, tam qoruma təmin etmir və digər təhlükəsizlik tədbirləri ilə birlikdə istifadə olunmalıdır.
