A Microsoft acaba de lançar o Windows 11, e muitos desenvolvedores de PC se atrapalham com um requisito de sistema estranho: TPM 2.0. Um TPM, ou Trust Platform Module, é um processador dedicado que lida com a criptografia em nível de hardware. É o dispositivo que permite que você use a biometria para fazer login no Windows e criptografar os dados em seu dispositivo.
Ainda assim, é difícil entender o que é um TPM e, mais importante, por que você precisa de um para Windows. Estamos aqui para ajudá-lo a eliminar as ervas daninhas da criptografia para que você possa deixar seu PC de acordo com as especificações para instalar o Windows 11.
O que é TPM?
Um TPM é um chip que fica na placa-mãe do seu computador. É um processador dedicado que lida com criptografia, mantendo parte da chave secreta de que você precisa para descriptografar os dados em seu dispositivo e acessar serviços. No caso do próximo Windows 11, o TPM pode armazenar coisas como seus dados biométricos para Windows Hello e parte da chave de criptografia para BitLocker.
No entanto, esse não é o único propósito de um TPM. Ele pode armazenar qualquer parte de um segredo que você precise para descriptografar, independentemente se for uma senha, certificado ou chave de criptografia. Além disso, o TPM armazena essas informações no hardware real, não por meio de software. Isso significa que os ataques de software não podem expor os segredos que você armazenou no TPM.
Um TPM dedicado aumenta ainda mais a segurança graças a um certificado estático de chave de endosso (EK). Este certificado reside no módulo e nunca muda, verificando se qualquer componente que se comunica com o TPM está, de fato, se comunicando com o TPM.
Resumindo, um TPM ajuda a proteger seus dados mais confidenciais. Como o dispositivo fica na placa-mãe, ele não precisa se comunicar com nenhum servidor ou requer autenticação externa adicional. É um dispositivo que ajuda a provar que você é quem diz ser e que está acessando um computador que possui.
Por que você precisa do TPM para Windows
Não é difícil entender o que um TPM faz, mas sua aplicação no Windows é um pouco confusa. Conforme mencionado, o Windows 10 e o Windows 11 usam o TPM para criptografia de disco BitLocker e Windows Hello. A integração com o Windows é muito mais profunda, porém, o que causou alguma confusão com o Windows 11. Ele requer um chip TPM 2.0.
janelas assume o controle do TPM enquanto seu computador está inicializando. Este é um bom passo por alguns motivos. A primeira é que o TPM pode verificar a integridade do Windows antes que o sistema operacional seja carregado. Isso garante que você não esteja carregando em um sistema operacional com código malicioso.
Também ajuda com software antivírus. A maioria dos malwares é escrita para rodar no seu sistema operacional, então algo como o adware é executado depois que o sistema operacional é carregado, mesmo que você não veja o programa sendo executado ativamente no seu desktop. Os serviços antivírus geralmente podem lidar com esse tipo de malware, mas alguns lutam com rootkits.
Um rootkit é um malware que deve permanecer no seu computador sem ser detectado. Embora alguns rootkits ataquem apenas um aplicativo específico, muitos começam a carregar antes do seu sistema operacional. Isso abre um mundo de possibilidades para os invasores, permitindo que eles infectem o bootloader do seu sistema operacional ou até mesmo o kernel (o núcleo do sistema operacional).
O TPM cuida disso. O Windows aproveita automaticamente o TPM durante as sequências de inicialização, mas outro software, como antivírus, também pode aproveitá-lo para eliminar rootkits antes que o sistema operacional seja carregado.
Ataques cibernéticos continue a subir, provavelmente em resposta à crescente quantidade de dados pessoais (e valiosos) que as pessoas armazenam em seus PCs e online. O requisito de TPM no Windows 11 é o remédio antes do doce. Ao manter os PCs atualizados com a segurança de hardware mais recente, a Microsoft pode levar adiante seus esforços de segurança, em vez de se concentrar em atrair mais pessoas.
Hardware vs. firmware TPM
Após o anúncio do Windows 11, o preço do hardware TPM dedicado disparou no mercado de segunda mão. Os preços caíram desde então, mas isso mostra o quanto essa exigência causou. Você não precisa gastar US $ 100 extras para executar o Windows 11.
Este é um problema principalmente para o mercado de PCs DIY, já que a Microsoft exigiu o TPM em dispositivos que executam o Windows 10 nos últimos anos.
Placas-mãe disponíveis no mercado podem não vir com TPM de hardware, mas a maioria das placas dos últimos anos vem com TPM de firmware. Em vez de um processador criptográfico dedicado, esta forma de TPM usa firmware armazenado em outro lugar na placa-mãe para autenticação. Em seguida, ele empresta a potência de sua CPU para lidar com as funções criptográficas.
Hardware TPM é mais seguro, simplesmente porque está isolado de outros componentes em seu PC. Se um componente ou área do seu PC estiver comprometido, o TPM ainda pode funcionar de forma independente. O firmware TPM não é tão isolado. Ele ainda executa a mesma função que o TPM de hardware, mas é mais sujeito a adulteração, pois um invasor pode, teoricamente, corromper mais facilmente o firmware do hardware físico.
O Windows 11 não se preocupa com o tipo de TPM que você está usando, desde que siga o padrão TPM 2.0. Se você construiu seu próprio computador nos últimos anos, pode habilitar o TPM do firmware por meio do BIOS da placa-mãe. Se você comprou uma máquina ou laptop pré-construído, não há problema em executar o Windows 11 nele, desde que tenha sido fabricado após 2016 (quando a Microsoft implementou o requisito de TPM no Windows 10).
Recomendações dos editores