TPM 2.0, PTT y PSP: Todo lo que necesitas saber

Entre los requisitos mínimos que nos pide Windows 11 está el TPM 2.0. De repente, es una pieza importante para el futuro del uso del PC doméstico. Pero, ¿qué es el TPM 2.0 que pide Windows 11 y en el que Microsoft se ha fijado de repente en esta tecnología tan reciente?

¿Qué es TPM?

Conocido como Trusted Platform Module, TPM es un proceso en la que se cifran las claves para así ofrecer una capa más de seguridad al sistema. Puede almacenar claves de cifrado para proteger información, así como el nombre general de las implementaciones de dicha especificación. También se le conoce con el nombre estándar internacional ISO/IEC 11889.

El TPM es un chip que se encuentra en CPUs, pero que de serie está desactivado y es el usuario final el que debe decidir activarlo. Puede hacerlo uno mismo o acudiendo a un técnico.

¿Qué nos ofrece TPM?

Este conjunto de funcionalidades nos permite implementar tanto el RTS como el RTR de la computación confiable. También puede ser usada por el sistema operativo y aplicaciones para realizar operaciones criptográficas de bajo rendimiento. El CRTM que proporciona el RTM está incluido una pre-BIOS protegida en la que también reside el software de soporte Trusted Software Stack. TTS tiene funciones como proveer de una interfaz estándar para los TPM de distintos fabricantes para comunicarse con la plataforma o con plataformas remotas. La unión del CRTM y el TPM forman la llamada TBB (Trusted Building Block).

PTT, el protocolo TPM en CPUs de Intel

Para los procesadores Intel, la tecnología TPM se conoce como PTT, acrónimo de Platform Trust Technology. TPM estableció un conjunto de estándares e interfaces que permiten a los fabricantes de sistemas crear sus sistemas de control de integridad digital en el hardware del sistema.

Al emplear claves criptográficas únicas grabadas en medios físicos soldadas directamente en la placa base, TPM crea lo que se conoce como la «raíz de la confianza». Desde esa base, los fabricantes de sistemas operativos como Microsoft pueden habilitar el cifrado seguro de todo el disco para bloquear los datos incluso si se quita un disco, y habilitar las comprobaciones del sistema que verifican el código de arranque de bajo nivel antes de permitir que se ejecute.

Este modelo de seguridad del sistema se renovó cuando Intel introdujo la arquitectura Intel Platform Trust Technology (PTT), que implementa TPM en el firmware del sistema. Para su sistema operativo y aplicaciones, PTT se ve y actúa como TPM. La diferencia es que los terminales con Intel PTT no requieren un procesador o memoria dedicados. En su lugar, confían en un acceso seguro al procesador y la memoria del host del sistema para realizar la autenticación y verificación del sistema de bajo nivel.

Gracias a PTT, el protocolo TPM se está implementando en PCs de bajo consumo, tablets y otros dispositivos que en el pasado no podían soportarlo. Esto se debía al coste adicional, su complejidad, el consumo de energía o el espacio físico requerido que viene con el TPM basado en hardware.

CPUs de Intel con TPM 2.0

PSP, el protocolo TPM en CPUs de AMD

Al otro lado del espectro de las CPUs de Intel están la de AMD, que en vez de usar Platform Trust Technology, usan Platform Security Processor (PSP, no confundir con la primera consola portátil de Sony, era la PlayStation Portable). A efectos prácticos para el usuario doméstico, no hay especial diferencia entre PTT de Intel y PSP de AMD ya que ambos cumplen con el protocolo de seguridad TPM.

El procesador de seguridad de plataforma (PSP) de AMD, conocido oficialmente como AMD Secure technology, es un subsistema de entorno de ejecución confiable incorporado desde aproximadamente 2013 en los microprocesadores de AMD. Según una guía para desarrolladores de AMD, es responsable de crear, monitorizar y mantener el entorno de seguridad. Sus funciones incluyen administrar el proceso de arranque, inicializar varios mecanismos relacionados con la seguridad y monitorear el sistema para detectar cualquier actividad o evento sospechoso e implementar una respuesta adecuada.

La propia PSP representa el núcleo ARM con la extensión TrustZone que se introduce en la CPU principal como coprocesador. El firmware propietario de PSP firmado por AMD se redistribuye a través de archivos de imagen UEFI ordinario, con lo que se puede analizar fácilmente. Su núcleo en sí se ejecuta antes que la CPU principal y su proceso de arranque del firmware comienza justo antes de que se cargue la UEFI básica. El firmware se ejecuta dentro del mismo espacio de memoria del sistema que las aplicaciones de los usuarios con acceso sin restricciones, incluido MMIO.

CPUs de AMD con TPM 2.0

TPM 2.0 en Windows 11 y qué representa

Por qué Microsoft quiere obligar a usar TPM 2.0

La respuesta más rápida y sencilla es simplemente por seguridad y el estandarizar la seguridad en ordenadores dispositivos que usen Windows. ya sean servidores, ordenadores personajes, tablets de gama alta… Quieren que todos tengan una mayor seguridad, y entre otros objetivos, bajar las cifras de malware y ataques que tienen los dispositivos con el sistema operativo más extendido del mundo.

¿Qué puedo hacer para tener TPM 2.0 en mi PC?

Lo primero, comprobar si la CPU de tu ordenador, servidor o tablet se encuentra en las listas de CPUs con protocolo TPM 2.0 que hemos puesto. Lo más probable es que si tienes una de esas CPUs, lo tengas desactivado de serie ya que los fabricantes no lo activan y lo dejan en manos de los usuarios.

Pero el protocolo TPM 2.0 no se ha introducido hasya 2016, hace relativamente poco, con lo que si tu CPU tiene más de cuatro años, lo más probable es que no la tenga y tengas que o renovarla (algo difícil con la actual escasez de componentes) o comprar un adaptador que introduce en el hardware el protocolo, pero estos se han revalorizado poco después de que se hicieran públicos los requisitos de Windows 11.

Cómo activar TPM 2.0 de nuestra CPU

Si estamos seguros y confirmamos que nuestra CPU tiene la versión 2.0 del protocolo TPM, procedemos a la siguiente serie de pasos.

  1. Accedemos a la BIOS de nuestro PC pulsando la tecla correspondiente durante el arranque del equipo, que se nos indicará durante el arranque. Si tenemos Windows 10 mediante UEFI, accedemos a la BIOS desde la app de Configuración. Yendo al apartado «Solucionar problemas», luego a «Opciones avanzadas» y por último en «Configuración de firmware UEFI» para luego confirmar el reinicio del sistema.
  2. Dependiendo del fabricante, vamos al apartado de Seguridad.
  3. Accedemos a Trusted Computing
  4. Buscamos la opción de Security Device Support y la activamos. Para las CPUs de Intel, será la opción «Intel Platform Trust Technology»; mientras que la de una CPU AMD será «AMD fTPM Switch»

Estos pasos podrían variar dependiendo de la placa base. Son unas indicaciones generales para activar el protocolo TPM 2.0 en tu ordenador de forma sencilla y sin tener que acudir al servicio técnico.

También se nos pedirá Secure Boot si queremos instalar Windows 11, otra opción deshabilitada por defecto en las CPUs. Para esto, inciamos la BIOS de nuestra placa base como comentamos en el apartado anterior.

  1. Vamos al apartado de opciones avanzadas, o dentro del el apartado «Boot» dependiendo de la placa base que tengamos.
  2. Pulsamos en la opción de «Windows OS Configuration».
  3. Comprobamos que en «BIOS UEFI/CSM Mode» ponga «UEFI».
  4. Hacemos clic o seleccionamos «Secure Boot».
  5. Pulsamos en «Secure Boot Mode» y elegimos «Custom»»
  6. Aceptamos la advertencia sobre claves de seguridad.
  7. Pulsamos en «Enroll all Factory Default Keys» para que así se establezcan las claves de arranque seguro.
  8. Pulsamos en «Secure Boot» y elegimos «Enabled»

Tras todo esto, guardamos los cambios realizados. Con todo esto, nuestro PC debería de estar listo con el protocolo TPM 2.0, además del Arranque Seguro para instalar Windows 11.

Salir de la versión móvil