TPM 2.0 Windows 11

Con l’avvento di Windows 11 sarà necessario che i computer abbiano a bordo l’hardware TPM 2.0, una tecnologia di controllo progettata per le funzioni relative alla sicurezza crittografica e al mantenimento dell’integrità del sistema.

Windows 11 è l’aggiornamento più corposo del sistema operativo della casa di Redmond degli ultimi anni, per cui non deve stupire la preoccupazione di molti utenti, i quali non sanno se il proprio computer sarà in grado di rispettare i requisiti hardware imposti da Microsoft. Non soltanto, ma sono in pochi a conoscenza dell’effettivo funzionamento del TPM 2.0, tanto che può spesso capitare di possedere l’hardware sul proprio PC ma non di averlo abilitato.

Per rispondere ai tanti dubbi sull’argomento, abbiamo preparato questo approfondimento in cui non soltanto spieghiamo per filo e per segno che cos’è il TPM 2.0, come funziona il TPM 2.0 e a cosa serve il TPM 2.0, ma diamo anche indicazioni su come verificare la presenza del TPM 2.0 sul proprio PC, così da sciogliere ogni dubbio sulla compatibilità del proprio computer con la prossima versione del sistema operativo Windows.

Che cos’è il TPM 2.0

Il Trusted Platform Module (TPM) è una tecnologia hardware, un chip presente sulla scheda madre del computer o integrato nella CPU, il quale è specializzato in operazioni relative alla sicurezza dell’intero sistema e allo scambio di chiavi crittografiche sicure. Agendo un po’ da sistema d’allarme e da bodyguard allo stesso tempo, la piattaforma TPM salvaguarda le operazioni di avvio del computer, impedendo l’esecuzione arbitraria di codice malevolo, ma non solo: ogni volta che si rende necessario l’utilizzo o lo scambio di chiavi crittografiche, perché si sta effettuando un’operazione critica sotto il punto di vista della sicurezza, viene invocato il sistema TPM 2.0.

TPM 2.0

Ad esempio, il TPM viene utilizzato quando si accede a Windows e ci si autentica utilizzando Windows Hello, il sistema di riconoscimento biometrico sviluppato da Microsoft che permette di accedere in modo sicuro utilizzando l’impronta digitale, la scansione dell’iride o il riconoscimento facciale. Altri campi di applicazione del TPM riguardano l’utilizzo delle VPN, oppure l’uso di PC in una rete aziendale in cui la verifica delle credenziali è fondamentale; altri casi d’uso includono la cifratura di contenuti su disco fisso, l’invio e ricezione di mail sicure criptate e la fruizione di contenuti con protezione DRM.

Come funziona il TPM 2.0

La piattaforma TPM migliora la sicurezza e la privacy dei computer proteggendo i dati sensibili e gestendo le credenziali di autenticazione: tutti gli scenari in cui la sicurezza è un fattore critico coinvolgono generalmente i chip o l’implementazione TPM.

TMP 2.0

Nella maggior parte dei computer moderni il TPM è integrato all’interno del processore (CPU) o presente come modulo aggiuntivo sulla scheda madre, ma esistono anche versioni software (o virtuali), utilizzate ad esempio dai prodotti Google Cloud Shielded Virtual Machines.

Lo scopo primario del TPM è garantire l’integrità della piattaforma in cui è installato, dove per integrità si intende il suo corretto funzionamento senza manomissioni. Pensiamo ad esempio al processo di avvio di un computer: il TPM 2.0 permette di verificare che tutto sia in ordine, sia dal punto di vista software che hardware, il che si rivela essere un fattore critico in molti scenari.

Una volta che il sistema operativo è stato avviato, anche singole applicazioni possono utilizzare il TPM: ad esempio, per validare la licenza di Microsoft Office 365 – a proposito, se volete acquistarne una per pochi euro ecco la nostra guida – presente sul PC, il quale presenta una determinata presenza di hardware e software; o nel caso si decida di proteggere i dati presenti sul disco fisso, ad esempio utilizzando BitLocker per e TPM per garantire l’integrità delle chiavi crittografiche utilizzate per criptare i dati.

Altri utilizzi per il TPM 2.0 riguardano la gestione dei diritti digitali (DRM), la protezione dei dati e del software in esecuzione da parte di Windows Defender e la prevenzione del fenomeno del cheating nei giochi online.

Il TPM 2.0, come vedremo anche nei prossimi paragrafi, può essere disabilitato da BIOS: la sua disattivazione risulterà, ovviamente, in un computer meno sicuro, dove non potranno essere utilizzate alcune delle funzionalità che abbiamo appena descritto. Purtroppo, sembra che Microsoft abbia deciso di rendere il TPM 2.0 indispensabile per l’utilizzo di Windows 11.

Perché Windows 11 richiede il TPM 2.0

Per gli utenti, l’utilizzo del TPM è trasparente rispetto alle operazioni che invocano le sue funzioni. Anche se non percepito nel suo utilizzo generale, il livello di sicurezza garantito dal TPM 2.0 garantisce una linea di base da cui partire per garantire a tutti gli utenti un minimo comune denominatore su cui poi andare ad implementare meccanismi di sicurezza che siano universalmente compatibili con l’hardware in commercio.

Rendendo obbligatorio il TPM 2.0 contestualmente all’installazione di Windows 11 si cerca quindi di definire il minimo indispensabile dal punto di vista della sicurezza: un fattore che porta non pochi vantaggi, sia all’utenza business che privata, ma non solo. Anche le aziende produttrici di hardware non dovranno più scegliere se implementare alcune funzionalità di sicurezza avanzate: tutto è già racchiuso e supportato con il TPM 2.0.

Inizialmente Microsoft ha pensato di rendere obbligatorio l’utilizzo della piattaforma TPM 1.2, ma alla fine si è optato per l’implementazione più recente. Perché viene richiesto l’utilizzo specifico del TPM 2.0 rispetto alla versione 1.2? La risposta arriva direttamente dal sito ufficiale Microsoft:

  • la specifica TPM 1.2 consente solo l’uso di RSA e dell’algoritmo di hashing SHA-1, e per motivi di sicurezza, alcune entità si stanno allontanando dall’utilizzo di SHA-1. In particolare, il NIST ha richiesto a molte agenzie federali di passare a SHA-256 a partire dal 2014 e i leader tecnologici, tra cui Microsoft e Google, hanno annunciato che rimuoveranno il supporto per la firma o i certificati basati su SHA-1 nel 2017;
  • il TPM 2.0 consente una maggiore agilità crittografica essendo più flessibile riguardo agli algoritmi crittografici. Inoltre, TPM 2.0 supporta algoritmi più recenti, che possono migliorare la firma dell’unità e le prestazioni di generazione delle chiavi. Per l’elenco completo degli algoritmi supportati, vedere il Registro degli algoritmi TCG. Alcuni TPM non supportano tutti gli algoritmi. Per l’elenco degli algoritmi supportati da Windows nel provider di archiviazione crittografica della piattaforma, vedere provider di algoritmi crittografici CNG;
  • il TPM 2.0 ha raggiunto la standardizzazione ISO (ISO/IEC 11889:2015) e l’uso di TPM 2.0 può aiutare a eliminare la necessità per gli OEM (produttori di hardware) di fare eccezioni alle configurazioni standard per determinati paesi e regioni;
  • il TPM 2.0 offre un’esperienza più coerente tra diverse implementazioni, mentre le implementazioni di TPM 1.2 variano nelle impostazioni dei criteri. Ciò potrebbe causare problemi di supporto poiché i criteri di blocco variano, mentre i criteri di blocco di TPM 2.0 sono configurati da Windows, garantendo una garanzia di protezione dagli attacchi di tipo dizionario;
  • mentre le parti del TPM 1.2 sono componenti discreti in silicio che sono tipicamente saldati sulla scheda madre, TPM 2.0 è disponibile sia come componente discreto (dTPM) in silicio in un unico pacchetto semiconduttore, ovvero un componente integrato incorporato in uno o più pacchetti semiconduttori – insieme ad altre unità logiche in gli stessi pacchetti – sia come un componente basato su firmware (fTPM) in esecuzione in un ambiente di esecuzione affidabile (TEE) di uso generale su di un qualsiasi SoC (System on Chip).

Queste, unite ad altre motivazioni che hanno tutte alla base una maggiore versatilità e sicurezza, hanno portato Microsoft a rendere la presenza del TPM 2.0 indispensabile per Windows 11 e i futuri aggiornamenti del sistema operativo.

Come verificare se il computer dispone del TPM 2.0

Non tutti i computer, anche se relativamente recenti, sono dotati dell’hardware necessario al funzionamento del TPM 2.0. Nonostante la sua larga diffusione come componente basato su firmware (fTPM) integrato all’interno della CPU, molti PC possono invece essere dotati di un modulo esterno discreto (dTPM) collegato sulla scheda madre: in caso di assenza, bisognerà acquistare un modello compatibile con la scheda madre in cui dovrà essere installato, per cui è il caso di prestare particolare attenzione.

C’è poi il problema di chi possiede un hardware più datato: in questo caso, non sarà possibile in alcun modo rispettare i requisiti di sistema per Windows 11. In linea generale, ogni processore Intel a partire dalla serie Skylake – e su alcuni specifiche linee di prodotti, fino a due generazioni precedenti – integra il supporto TPM 2.0; sul fronte AMD, ogni processore successivo al Ryzen 2500 supporta il TPM 2.0, per cui la totalità dei prodotti con architettura Zen 2 e Zen 3, oltre ovviamente ai modelli futuri.

windows 11 pc health check TPM 2.0

Come verificare se il computer dispone del TPM 2.0 se non si conosce il modello di processore o non si è sicuri della sua presenza? In questo caso Windows ci viene in aiuto, permettendo di controllare in pochi secondi il supporto alla piattaforma hardware. Se siete curiosi di conoscere la compatibilità del vostro hardware con Windows 11, abbiamo realizzato un approfondimento dedicato: cliccando qui potrete non solo verificare la compatibilità del vostro sistema con Windows 11, ma anche scorrere la lista dei processori supportati ufficialmente dalla nuova versione del sistema operativo.

Come abilitare TPM 2.0 su Windows

Avete verificato la presenza di TPM 2.0 sul vostro PC ma questo è disabilitato? Poco male, a volte può capitare che il modulo sia disattivato: questo però rende impossibile effettuare l’aggiornamento a Windows 11. La buona notizia è che è possibile abilitarlo in modo semplice: basta entrare in UEFI e abilitare l’opzione fTPM, TPM, PTT o Trusted Platform Module.

Gigabyte TPM 2.0

L’opzione è differente a seconda del produttore di hardware della vostra scheda madre, ma se avete familiarizzato con i termini non avrete troppa difficoltà a individuare l’opzione nei sottomenu.

Come accedere a UEFI, e soprattutto cos’è? Molti accomunano UEFI e BIOS per evitare confusione a chi è già avvezzo all’interfaccia BIOS dei PC tradizionali. I computer moderni, nonostante molti utilizzano ancora il termine BIOS, sono dotati però di firmware UEFI: si tratta di un’interfaccia grafica dove sono presenti le funzionalità firmware della scheda madre/processore, evoluzione dell’ormai datato BIOS.

Tra le altre funzioni, da questa interfaccia si può abilitare/disabilitare il funzionamento del Trusted Platform Module: ad esempio, questa operazione può essere necessaria nel caso della creazione di un hackintosh, soprattutto utilizzando versioni più datati di macOS. Ad ogni modo, il firmware UEFI è l’unico modo per abilitare via hardware il TPM 2.0. Ecco come accedere a UEFI direttamente da Windows:

  • cliccare sul menu Start e scegliere Impostazioni;
  • selezionare Aggiornamento e sicurezza;
  • cliccare su Ripristino nel menu a sinistra;
  • cliccare su Avvio avanzato, quindi su Riavvia ora;
  • scegliere l’opzione Risoluzione dei problemi, quindi Opzioni avanzate;
  • selezionare Impostazioni firmware UEFI e cliccare su Riavvia.

Una volta all’interno del firmware UEFI dovremo cercare l’opzione relativa all’attivazione del TPM 2.0: ricordiamo che ogni produttore di schede madri colloca o nomina in modo differente l’opzione, per cui cercate fTPM, TPM o Trusted Platform Module.