U každé výpočetní techniky se setkáte s různými bezpečnostními prvky. Velkou roli sehrávají TPM a Secure Boot, které mezi sebou spolupracují a my vám nyní prozradíme jak.

Bezpečnost je v dnešní přetechnizované době na prvním místě, o tom není žádných pochyb. U výpočetní techniky to platí dvojnásob. Pokud si myslíte, že vše je řešeno jen dostatečně dlouhým heslem, jste značně na omylu. V pozadí toho, co s počítačem děláte se odehrává spousta procesů přispívajících k celkové bezpečnost. Jde především o úkony provádějící se ještě předtím, než dojde k plnohodnotnému spuštění operačního systému.

PC

Mezi nejefektivnější a nejúčinnější bezpečnostní technologie patří TPM neboli Trusted Platform Module a Secure Boot. Jde o prvky fungující na úrovni hardwaru a firmwaru, o nichž vám nyní povíme něco trochu více. Zároveň vám prozradíme, jak spolu tyto technologie spolupracují a proč jsou tak důležité.

Co je to TPM a jak funguje?

Nejprve se zaměříme na TPM. Za touto zkratkou se skrývá bezpečnostní čip na základní desce označovaný celým názvem Trusted Platform Module. Jde o bezpečný kryptoprocesor zvyšující zabezpečení hardwaru ukládáním hesel, digitálních certifikátů a šifrovacích klíčů. V současnosti jde o nezbytnost, bez níž by vám nešel nainstalovat ani operační systém Windows 11. Bavíme se o standardu TPM 2.0, který podporuje novější algoritmy.

Jeho typickým využitím je BitLocker v systému Windows sloužící pro šifrování pevného disku. Právě klíč k němu je uložen do TPM. Jeho cílem je tedy bezpečné generování a ukládání šifrovacích klíčů. Jedná se o zvýšenou formu ochrany tím, že jsou klíče uloženy v hardwaru. Tak vzniká ochrana při krádeži pevného disku.

TPM vytváří digitální otisky integrity firmwaru, BIOS a zavaděče při každém startu výpočetní techniky. Otisky jsou následně ukládány do PCR registrů. Zjednodušeně řečeno jde o kontrolu, zda nebylo s firmwarem nebo operačním systémem manipulováno. Technologii TPM dnes naleznete v noteboocích i stolních počítačích.

Co je to Secure Boot a jak funguje?

Nyní si představíme druhou zmiňovanou technologii, jíž je Secure Boot, což v překladu znamená Zabezpečené spouštění. Jedná se o bezpečnostní funkci rozhraní UEFI, která se postará o spuštění pouze důvěryhodného softwaru. Ve své podstatě má na starosti ochranu systému před nejrůznějšími bootkity, rootkity apo. Své hlavní slovo má primárně před zavedením operačního systému. Pro systém Windows 11 je naprostou nezbytností.

TPM

Jeho hlavní náplní je kontrola bootloaderu neboli digitálních podpisů zavaděče, ovladačů atd. Co nesouhlasí, to není spuštěno. Jeho fungování v moderním režimu UEFI je jednoduché. Podpis musí odpovídat klíči v UEFI a teprve poté dojde k pokračování spouštění systému. Ve starém režimu Legacy BIOS nefunguje. Zároveň ho lze při instalaci linuxových distribucí vypnout, což je mnohdy žádoucí. Jeho výsledkem je tedy zabránění načtení například napadených ovladačů škodlivými viry neboli rootkity.

Jak jde dohromady TPM a Secure Boot?

Z výše uvedených řádků je patrné, že obě technologie mají, co dočinění s patřičnou bezpečností výpočetní techniky. TPM bezpečně ukládá kryptografické klíče, zatímco Secure Boot ověřujte integritu softwaru. Tato úzká a nezbytná spolupráce probíhá při startu počítače nebo notebooku.

Na počátku všeho výpočetní techniku zapnete prostřednictvím příslušeného tlačítka. Nejprve svoji úlohu splní Secure Boot, který provede kontrolu zavaděče, respektive zjistí, zda je podepsaný. Výsledek této kontroly zaznamená TPM, včetně informace o tom, jaké komponenty byly načteny. Jakákoliv změna zavaděče je odhalena v této fázi. Když je kontrola vyhodnocena kladně, dochází k uvolnění dešifrovacího klíče pro operační systém. V případě operačního systému Windows 11 je to pro BitLocker.

Pakliže dojde k nalezení nějakého problému, respektive byl změněn zavaděč, TPM na to zareaguje, neposkytne potřebné klíče a nedovolí spuštění operačního systému. U systému Windows 11 to zapříčiní například požadavek na obnovovací klíč BitLocker.

Důležitost TPM a Secure Boot

TPM čip

Pakliže využíváte operační systém Windows 11 je pro vás TPM 2.0 a Secure Boot naprostou nezbytností a zároveň ucelenou ochranou. Důležitost obou technologií víceméně zazněla. Jde o efektivní a účinnou ochranu proti malwaru neboli rootkitům skrytým hluboko v zavaděči a zároveň proti fyzické krádeži a phishingu. V dnešní době si bez těchto technologií dokonce nezahrajete některé moderní hry, protože se využívá tzv. anti-cheat software. Ten slouží k zabránění podvádění při hraní her na úrovni jádra.

O Trusted Platform Module a Secure Module se vyplatí mít nejen dostatečné povědomí. Vhod vám určitě přijde také informace, kde si funkčnost a stav těchto technologií prověřit. Pokud jde o Secure Boot, stačí vpravo na hlavní liště kliknout na ikonu Zabezpečení Windows, kde v levém menu najdete položku Zabezpečení zařízení. Zde uvidíte Zabezpečení spouštění, o němž se dozvíte více informací.

Pokud chcete provést kontrolu TPM, klikněte na nabídku Start a dejte aplikaci Spustit, popřípadě využijte rychlou klávesovou zkratku Win + R. Napište příkaz tpm.msc a spusťte ho. V ten moment se vám objeví Správa čipů TPM v místním počítači a vy na první pohled vidíte vše potřebné. Pro získání informací o obou technologií naráz lze upotřebit příkaz msinfo32 sloužící pro spuštění okna se Systémovými informacemi. Tady dohledáte vše potřebné. TPM a Secure Boot jsou zkrátka nezbytností a efektivní ochranou v jednom.