さてさて、10月５日にWindows11がリリースされるというニュースが先日舞い込んできたところですが、アップグレード要件の一つであるTPM2.0について興味が湧いたので、調べてみました。

そもそもTPMってなにって人のために、簡単に概要を説明。

・暗号化で利用する鍵を安全な場所で管理するための仕組み

・暗号化機能等を備え、TPM内の暗号鍵の作成や使用制限をするために利用

pc.watch.impress.co.jp

自分の持っているPCは、TPMが搭載されていないものやバージョンが古いものだけれども、暗号化機能、例えばHTTPS通信なんかは問題なく動いている。

では、なぜこんな機能が必要なんだろうか。

Microsoftのページでは、こう書かれている。

“オペレーティング システムでは、TPM 内のキーを、マルウェアに対して脆弱なシステム メモリにコピーすることなく読み込んで使用できます。”

それから、

“辞書攻撃からの保護により、TPM は、大量の推測値を送信して PIN を特定しようとする攻撃を防ぐことができます。”

この辺りを防ぐためにTPMが必要らしい。

docs.microsoft.com

TPMを搭載していない場合、暗号化処理を行う場合、鍵はメモリ上に展開される。悪意のある者の攻撃で、例えば、バッファーオーバーフローなんかを引き起こされて、メモリ上のデータが盗まれることもありうる。すると、暗号鍵が漏洩した場合、その後の暗号は意味をなさなくなる。

TPMでは、メモリ上に暗号鍵を展開せず、モジュール（チップ）内で処理をするため、上記の脅威を避けられるということ。

さらに、辞書攻撃のように力技に対してもソフトウェアでの対策よりも効果があるとのこと。

非常に頼もしい。

特に、TPM2.0は最新バージョンであり、TPM1.2の時よりも暗号アルゴリズムが増えている。TPM1.2では、ハッシュ関数として、安全性低下が懸念されているSHA1のみしかサポートしていなかった。

（参考）SHA-1の安全性低下について

https://www.cryptrec.go.jp/topics/cryptrec-er-0001-2016.html

一方で、TPM2.0ではセキュリティレベルの高いSHA256がサポートされている。

Windows11はやはりセキュリティ意識が高いですね。

今日はTPM2.0というセキュリティ機能についてのお勉強でした。

では、また。