惠普推出TPM Guard防护系统应对物理TPM攻击

可信平台模块（TPM）由可信计算组织（TCG）开发，是运行Windows 11系统的任何计算机中必备的安全组件。它将加密密钥等敏感信息存储在独立的安全芯片中，根据需要将其传递给CPU。

然而，这里存在一个问题。如果攻击者能够物理接触到设备，他们可以使用成本不到20美元的硬件，运行现成的软件，在加密密钥传输到CPU时截取这些密钥，从而轻松解密和窃取系统中的数据。

在本周的Imagine活动上，惠普发布了一款产品，该公司表示这款产品可以防止此类攻击，无需对BitLocker等设备加密软件进行任何修改。TPM Guard是硬件和固件的结合体，在TPM和CPU之间创建经过身份验证和加密的通道，以保护两者之间的通信，惠普安全与商业系统副总裁Ian Pratt表示。TPM通过加密方式与主机处理器绑定，因此如果芯片从系统中移除，TPM将停止工作。

"这不仅仅是间谍特工在高管外出用餐时潜入酒店房间的问题，"他在媒体简报会上说道。"每天都有许多笔记本电脑被盗，如果笔记本电脑属于企业，其包含数据的潜在价值可能远超设备本身的转售价值。因此，这些设备有机会通过黑市流向有能力提取数据并将其货币化的犯罪集团，或许会利用其中包含的凭据来访问企业系统或威胁泄露客户数据。"

如今大多数公司依赖BitLocker来加密这些数据，但TPM问题可能会削弱这种保护，使组织面临风险。

Pratt表示，TPM Guard可以防止一整类总线拦截和插入攻击。

他说，惠普希望其背后的技术成为行业标准，并已向TCG提交了提案。

从7月开始，TPM Guard将作为固件更新免费提供给"选定的"惠普G2商用PC，并将内置于未来支持的PC中。

"对于企业、政府和高合规性客户而言，惠普TPM Guard可以说是惠普Imagine活动中在结构上最重要的发布，"Techaisle首席全球分析师Anurag Agrawal表示。"从架构角度来看，它封堵了一个巨大的物理边缘漏洞。"

Agrawal说，这是对微软Pluton架构的"巧妙举措"，他指出Pluton通过将安全功能直接集成到CPU芯片上来消除总线，而TPM Guard在不强迫高度管制的客户放弃其首选的TCG认证独立TPM的情况下，提供了Pluton的物理安全性。

他说，惠普向可信计算组织（TCG）提出将TPM Guard作为新行业标准的提案"立即为惠普的竞争对手创造了安全债务"。

"通过将TPM Guard定位为解决这种物理总线攻击的首个也是唯一解决方案，惠普含蓄地表明戴尔和联想等竞争对手现有的'安全'设备存在已知的可利用漏洞，这为惠普及其渠道合作伙伴提供了一个极具攻击性的楔子问题，迫使设备提前进入更新周期，"他说。

Enderle Group首席分析师Rob Enderle表示，TPM已经很长时间没有重大更新，这使得惠普的TPM Guard变得更加重要。"面对日益增长的威胁，重新投资防御始终很重要，这正是他们在这里所做的。"

Q&A

Q1：TPM Guard是什么？它有什么作用？

A：TPM Guard是惠普推出的硬件和固件结合体，在可信平台模块（TPM）和CPU之间创建经过身份验证和加密的通道，保护两者之间的通信，防止攻击者在加密密钥传输过程中截取数据。

Q2：为什么需要TPM Guard？现有的安全措施不够吗？

A：虽然大多数公司依赖BitLocker等加密软件保护数据，但攻击者可以用不到20美元的硬件和现成软件，在TPM向CPU传输加密密钥时截取这些密钥，从而破解系统数据。TPM Guard专门解决这个物理攻击漏洞。

Q3：TPM Guard什么时候可以使用？需要额外付费吗？

A：从7月开始，TPM Guard将作为免费固件更新提供给选定的惠普G2商用PC用户，未来将内置于支持的PC中，无需额外付费。