TPM 1.2 VS TPM 2.0 : les différences

La sortie de Windows 11 a mis en lumière le module de plateforme sécurisée (TPM).
Dans un précédent article, je présentais Trusted Platform Module, notamment son intérêt d'un point de vue sécurité.

Comme toute spécification, des améliorations sont ajoutées au fil des nouvelles versions.
Ainsi, il existe des différences entre le module TPM 1.2 et TPM 2.0.

Dans ce tutoriel, je vous explique les différences entre le module TPM 1.2 et TPM 2.0 et ainsi comprendre pourquoi Microsoft pousse la dernière version pour son nouveau système d'exploitation Windows 11.

Quelles sont les différences entre TPM 1.2 et TPM 2.0

Qu'est-ce que TPM ?

TPM est un un module de plateforme sécurisée sous la forme d'une puce sur la carte mère d'un PC ou d'un firmware.
Elle permet notamment d'apporter les fonctionnalités suivantes :

  • Générez, stockez et limitez l'utilisation des clés cryptographiques.
  • Utilisez la technologie TPM pour l'authentification des appareils de la plate-forme en utilisant la clé RSA unique du TPM, qui est gravée sur elle-même.
  • Aidez à garantir l'intégrité de la plate-forme en prenant et en stockant des mesures de sécurité.

Dans l'environnement UEFI, le démarrage sécurisé (Secure Boot) s'appuie sur le module TPM pour valider l'intégrité du boot et lutter contre la falsification ou détournement par des logiciels malveillants.
Dans Windows 10 et Windows 11, Windows Hello, Windows Hello for Busines utilise TPM.
Par exemple, il aide à sécuriser le code PIN en s'appuyant sur le système de cryptographie.
Enfin, la solution de chiffrement de lecteur BitLocker utilise aussi TPM.

Plus d'informations, explications et les implémentations dans Windows :

TPM 1.2 vs. 2.0 : les différences

Plus d'algorithmes de chiffrement dans TPM 2.0

La spécification TPM 1.2 permet uniquement l'utilisation de RSA et de l'algorithme de hachage SHA-1.
Or SHA-1 est considéré comme étant de moins en moins sûr et la plupart des entités l'abandonne.
TPM 2.0 prend en charge de nouveaux algorithmes, qui peuvent améliorer la signature de conduite et la performance de la génération de clé.
On trouve notamment SHA-2 256, SHA-512.

Des algorithmes de chiffrement symétriques et asymétriques sont aussi utilisés par TPM.

TYPE D’ALGORITHMESNOM DE L’ALGORITHMETPM 1.2TPM 2.0
AsymétriqueRSA 1024Ouioptionnel
RSA 2048OuiOui
ECC P256AucuneOui
ECC BN256AucuneOui
SymétriqueAES 128optionnelOui
AES 256optionneloptionnel
Algorithmes de chiffrements dans TPM 1.2 et TPM 2.0

En résumé, TPM 2.0 propose des algorithmes de chiffrement plus forts et sûr.

Une architecture différente

Le module TPM 1.2 ne prend en charge qu'une seule autorisation dite propriété.
Celle-ci stocke une clé EK (Endorsement Key) RSA 2048b pour la signature/l’attestation et une unique clé SRK (Storage Root Key) RSA 2048b pour le chiffrement.
Contrairement à la clé EK (qui est généralement créée lorsque le TPM est fabriqué), la clé racine de stockage est créée lorsque vous prenez la propriété du TPM. Cela signifie que si vous effacez le TPM et un nouvel utilisateur prend la propriété, une nouvelle clé racine de stockage est créée.
Ainsi L'utilisateur contrôle la signature, attestation et le chiffrement TPM 1.2.

Dans TPM 2.0, la gestion des autorisations est améliorée et facilité.
De plus, l'architecture est différente. Les clés EK et SRK sont toujours présentes mais deux hiérarchies de contrôle sont ajoutés.
Tout cela est possible grâce à la combination de plusieurs algorithmes de chiffrement.
Ainsi, on trouve :

  • Une hiérarchie de plateforme (PH) pour les fonctions de maintenance et une hiérarchie nulle. Elles sont utilisées par les fabricants de plateformes
  • La hiérarchie d’autorisation (Endorsement - EH) et la hiérarchie de stockage (SH) utilisées par le système d'exploitation

Mais surtout, chaque hiérarchie a son propre « propriétaire » pour l’autorisation distinct.
Ainsi TPM 2.0 supporte de multiples clés racines de chiffrement pour une diversification du risque.

Une intégration différente dans le PC

Il existe trois méthodes d'intégration de TPM :

  • Puce TPM discrète en tant que composant sillicon distinct dans son propre paquet semi-conducteur (DTPM). En clair, c'est une puce intégrée à la carte mère
  • Solution TPM intégrée, utilisant du matériel dédié intégré dans un ou plusieurs emballages semi-conducteurs à côté, mais logiquement séparé de, d'autres composants
  • Solution de micrologiciel TPM (fTPM), exécutant le TPM dans le microprogramme dans un mode d'exécution de confiance d'une unité de calcul à usage général
TYPE D'INTEGRATIONTPM 1.2TPM 2.0
Puce TPM discrète (DTPM)OuiOui
Solution TPM intégréeNonOui
Solution de micrologiciel TPM (fTPM)NonOui
Intégration de TPM dans un PC
De ce fait, il est tout à fait possible d'acheter un module TPM 2.0 à installer sur votre carte mère afin de mettre à niveau votre PC.
Votre carte mère doit être muni d'un connecteur JTPM1.
Reportez-vous à la notice de votre carte mère ou fabricants du PC pour plus d'informations.
Notez que depuis l'annonce de la sortie de Windows 11, le prix des modules TPM 2.0 a fortement augmenté.
Module TPM a ajouté dans la carte mère

Pourquoi TPM 2.0 ?

Les produits et systèmes TPM 2.0 ont des avantages de sécurité plus importants que TPM 1.2.
Ainsi on trouve :

  • La spécification TPM 1.2 permet uniquement l'utilisation de RSA et de l'algorithme de hachage SHA-1
  • TPM 2.0 prend en charge les nouveaux algorithmes, qui peuvent améliorer la signature de conduite et la performance de la génération de clé
  • TPM 2.0 permet une plus grande agilité crypto en étant plus flexible par rapport aux algorithmes cryptographiques
  • L'utilisateur peut désactiver TPM 1.2 alors que TPM 2.0 fonctionne en permanence
  • TPM 2.0 supporte de multiples architectures et clés racines alors que TPM 1.2 n'en supporte qu'une
  • La stratégie de verrouillage TPM 2.0 est configurée par Windows, garantissant une garantie de protection contre l'attaque de dictionnaire cohérent.

Tous ces améliorations apportées dans TPM 2.0 rend votre appareil plus sûr.
Ainsi, Microsoft cherche à imposer par défaut la dernière version de TPM dans Windows 11.
Toutefois, depuis fin août, TPM 1.2 n'est plus un frein pour la mise à niveau et vous pouvez bénéficier de Windows 11 sur un vieux PC : Windows 11 : Microsoft ne bloque plus l'installation sur de vieux PC

La prise en charge de TPM 1.2 et TPM 2.0 dans les OS

SYSTÈME D'EXPLOITATIONTPM 1.2TPM 2.0
Windows 7OuiNon
Windows 8 et Windows 8.1OuiOui mais sans SHA-1
Windows 10Oui >= ver 1607Oui
Windows 11Oui
Windows Server 2016Oui >= ver 1607Oui
Windows Server 2019Oui Oui
RHELOuiOui pour RHEL 7.3 et versions supérieures
UbuntuOuiOui à partir d'Ubuntu 16.04
La prise en charge de TPM 1.2 et TPM 2.0 dans les OS