Do czego to służy?

Mimo że TPM jest obecna w wielu komputerach od lat (np. HP zaczęło montować układy zgodne z tą specyfikację już w 2003 r.), to nigdy nie były wykorzystywane na masową skalę. Z pewnością wiązało się to z trudnością w zdalnym zarządzaniu (sam rozruch i pierwsze czynności wymagały "gmerania" w BIOS-ie) i niską świadomością możliwości. Dopiero niedawno pojawiły się dostatecznie poważne rozwiązania, które pozwalają na interakcję z TPM z poziomu systemu operacyjnego. Znaczna liczba komputerów, w których TPM jest już wbudowany, zostaje wyposażona w odpowiednie oprogramowanie do zarządzania; np. Dell dodaje narzędzie Embassy firmy Wave, a Infineon sprzedaje TPM Professional Package.

Jak już wspomniano, naturalnym zastosowaniem TPM są wszelkie sytuacje, w których wykorzystywane jest szyfrowanie lub podpisywanie danych. Podstawowym problemem jest tutaj sposób i miejsce przechowywania odpowiednich kluczy. Dzięki możliwości skorzystania z chronionego sprzętowo kontenera, jesteśmy w stanie uniezależnić się od oprogramowania i jego podatności. Jednym z najczęstszych przypadków stosowania TPM są technologie FDE (Full Disk Encryption). TPM może zostać chociażby wykorzystany jako kontener dla windowsowego BitLockera. W tym przypadku klucz SRK przechowywany w układzie TPM jest używany do zaszyfrowania klucza FVEK (Full Volume Encryption Key), który następnie jest umieszczany na twardym dysku. Proces deszyfracji wymaga więc najpierw odczytania klucza z TPM. Również inne popularne rozwiązania FDE mogą skorzystać z tej specyfikacji (np. PGP Whole Disk Encryption, Check Point Full Disk Encryption, McAfee Endpoint Encryption).

Możemy też wykorzystać TPM w procesie szyfrowania katalogów czy plików w ramach microsoftowego EFS. Ale to nie wszystko. TPM może uczestniczyć w generowaniu kluczy dla VPN, sieci Wi-Fi, a także przechowywać hasła czy profile biometryczne (stosowany jest do przechowywania danych uwierzytelniających z czytników linii papilarnych w laptopach). Może również służyć jako baza do weryfikacji integralności stacji roboczej, jak też być montowany w urządzeniach sieciowych (routerach, przełącznikach), wspierających uwierzytelniania administratorów z wykorzystaniem infrastruktury PKI. Procesory Intela wyposażone w technologię vPro również potrafią wykorzystać układy TPM. Coraz częściej mówi się o nich także w kontekście ochrony praw autorskich. TPM możemy też stosować prywatnie, na przykład do przechowywania certyfikatów poczty elektronicznej. Przeszukując internet, znajdziemy co najmniej kilka "howto": jak skonfigurować np. Thunderbirda do współpracy z TPM.

Jak zatem zacząć przygodę z TPM? Najpierw należy włączyć układ. W większości przypadków robi się to bezpośrednio na poziomie BIOS-u (choć, jak wspominaliśmy, można posłużyć się odpowiednimi narzędziami z poziomu systemu). Potem układ należy aktywować oraz przypisać hasło, które będzie wymagane do przeprowadzania dalszych operacji (proces ten nazywany jest przejęciem własności układu - take ownership). Bez znajomości hasła nie będzie możliwe wygenerowanie kluczy, wyłączenie ani wyczyszczenie pamięci układu.

W systemie Windows Vista/7 w ramach konsoli MMC mamy odpowiednią przystawkę (tpm.msc), a pozwalajacą przeprowadzić powyższe czynności. Z poziomu tej konsoli (sekcja "Command Management) można także sterować komendami, które będą mogły być wykonywane/blokowane na układzie. Lista tych komend wraz z opisem znajduje się również w specyfikacji TPM. Zawartość Command Management jest dostępna z poziomu GPO, co pozwala na budowanie globalnej polityki uwzględniającej także TPM-y.