Chip TPM 2.0: cos'è e perché Microsoft ha deciso di renderlo obbligatorio

Si chiama TPM, Trusted Platform Module, il modulo presente sulle schede madri oppure integrato a livello di processore che viene utilizzato per conservare le chiavi crittografiche utilizzate sul sistema. Ogni modulo TPM è dotato di una coppia di chiavi crittografiche uniche che lo rendono univocamente identificabile e poggia su di un motore a crittografia asimmetrica per cifrare i dati.

Il chip TPM consente di proteggere in hardware, anziché via software, informazioni riservate e dati sensibili: per questo motivo viene usato ad esempio da BitLocker per impedire l’accesso alle unità crittografate da parte degli utenti non autorizzati, per conservare e gestire le chiavi di Secure Boot, per memorizzare dati di autenticazione a vario livello.

Microsoft ha reso obbligatorio l’utilizzo di TPM 2.0 per tutti gli utenti che vorranno installare Windows 11 o aggiornare da una precedente versione del sistema operativo.

TPM è solitamente integrato sulla scheda madre ma può essere aggiunto eventualmente come modulo separato sui PC che ne fossero sprovvisti ed è integrato nei moderni processori. Inutile dire che dopo la notizia dei requisiti hardware imposti da Microsoft per l’utilizzo di Windows 11 soggetti senza scrupoli hanno acquistato in massa i moduli TPM presenti sul mercato per poi rivenderli a prezzi fortemente maggiorati.

Chip TPM 1.2 esistono almeno dal 2011 ma in passato venivano essenzialmente utilizzati sui portatili e sui sistemi desktop a uso professionale e aziendale.
Con Windows 11 l’obiettivo di Microsoft è quello di mettere il più possibile al sicuro le informazioni degli utenti, quelle che dal punto di vista degli aggressori hanno maggiore valore. Per questo è stato scelto di rendere obbligatorio l’utilizzo del chip TPM 2.0, più recente versione il cui utilizzo è stato esteso anche al mercato più generalista.

Sebbene Microsoft abbia richiesto ai partner di commercializzare soltanto PC equipaggiati con chip TPM sin dal lancio di Windows 10, l’azienda di Redmond non aveva mai “costretto” gli utenti o i produttori hardware ad abilitarli per far funzionare Windows. Questo è invece ciò che sta succedendo con Windows 11.
Anche perché allo stato attuale i partecipanti al programma Windows Insider possono comunque disattivare il controllo circa la presenza del chip TPM 2.0 all’avvio dell’installazione ma in futuro Microsoft potrebbe non permetterlo più. Come potrebbe non tollerare oltremodo la modifica del contenuto del file ISO per l’installazione di Windows 11.
Microsoft sta comunque valutando di consentire l’installazione e l’utilizzo di Windows 11 anche su sistemi basati su processore Intel Core di settima generazione o AMD Ryzen 1000.

Rispetto al predecessore TPM 1.2, TPM 2.0 supporta un più ampio ventaglio di algoritmi crittografici a chiave asimmetrica e simmetrica, l’hashing SHA-2 256 bit, modalità per l’​autenticazione di messaggi HMAC SHA-2 256 bit, più gerarchie per la firma e alcune funzionalità aggiuntive.

Il chip TPM viene utilizzato dal sistema operativo ma può essere adoperato anche dalle applicazioni installate sulla stessa macchina. I dati vengono salvati usando una chiave che è funzione della configurazione del sistema; la decodifica è quindi praticabile solo utilizzando lo stesso dispositivo.
Una apposita chiave identifica in modo univoco il singolo chip TPM: inserita al momento della fabbricazione del modulo, i dati cifrati dal chip TPM possono essere decifrati solamente per mezzo dello stesso chip.

Come anticipato, quindi, l’idea è quella di fare in modo che Windows 11 possa offrire maggiori garanzie agli utenti in termini di sicurezza e protezione dei dati. Sui sistemi sprovvisti di chip TPM le password sono spesso salvate a livello di Gestore credenziali di Windows o nel password manager dei vari browser, entrambi strumenti che così come sono non offrono adeguate rassicurazioni. Tutt’altro.
Memorizzare password e dati biometrici all’interno del chip TPM consente invece di difendere tali informazioni in maniera decisamente efficace.

Supporto del modulo TPM a livello di processore: Intel PTT e AMD fTPM

Il modulo TPM nasce come chip integrato sulla scheda madre e saldato direttamente su di essa.

L’architettura Intel Platform Trust Technology (PTT) introdotta per la prima volta nel 2013 sui processori di quarta generazione dell’azienda di Santa Clara implementa la funzionalità TPM all’interno della CPU. PTT supporta pienamente tutti i requisiti fissati da Microsoft per il supporto delle specifiche TPM a livello di firmware (fTPM 2.0).

Come facilmente dimostrabile con l’utilità Microsoft Controllo integrità PC Windows Windows 11 potrà essere installato sia sui sistemi che montano un chip TPM 2.0 a livello di motherboard sia sui dispositivi equipaggiati con un processore che supporta/integra le specifiche fTPM.

Premendo Windows+R quindi digitando tpm.msc è possibile verificare se TPM sia supportato a livello di processore o mediante chip dedicato.
Non solo, accedendo al BIOS del PC si possono trovare i riferimenti Discrete TPM e fTPM: la prima voce significa che viene usato il chip “ad hoc” saldato sulla scheda madre mentre con fTPM si userà il modulo integrato a livello di processore.

Per i produttori la differenza tra l’uso di PTT/fTPM e un TPM dedicato è importante perché consente un notevole risparmio in termini di costi: non sono richiesti chip e memoria “ad hoc” ma è possibile fare affidamento su processore e memoria di sistema. Alcune schede madri, tuttavia, potrebbero non consentire l’utilizzo del modulo fTPM, almeno non prima di aver aggiornato il BIOS (se disponibile).

Aggiornare a Windows 11 resterà cosa assolutamente facoltativa: Windows 10 continuerà a ricevere aggiornamenti di sicurezza fino al 14 ottobre 2025 e non richiederà l’utilizzo del modulo TPM come requisito essenziale.

Cosa succede se si utilizza fTPM e si cambia processore?

Nel corso del tempo si può avere la necessità di cambiare il processore installato sulla scheda madre. Ma se si sta usando il modulo fTPM che ne sarà delle proprie chiavi? Si perderà l’accesso ai propri dati?

Quando si attiva ad esempio BitLocker il sistema invita a effettuare il backup della chiave di ripristino che può essere conservata su vari tipi di supporti. Se il sistema fa parte di un dominio Active Directory la chiave stessa dovrebbe essere salvata direttamente dal controller di dominio.

Dopo aver sostituito il processore, al primo avvio del sistema con la nuova CPU BitLocker segnalerà la variazione della configurazione hardware e chiederà di inserire la chiave di ripristino precedentemente oggetto di backup.
Concluso questo passaggio il modulo fTPM sulla nuova CPU verrà inizializzato, gestirà le chiavi crittografiche e permetterà il normale accesso ai dati.

Nulla vieta di disattivare temporaneamente la crittografia basata sull’utilizzo di fTPM prima della sostituzione del processore ma è un passaggio non strettamente necessario. È in ogni caso preferibile effettuare un backup completo dei propri dati.