我有 ASRock X370 Professional Gaming (AM4) 主板,配备 Ryzen 7 CPU。它有网络固件升级选项,但我必须禁用 fTPM 才能启用网络闪存选项。
fTPM 选项到底是什么?启用它有什么作用?我读到它与 Bitlocker 有关,但我有一个 Bitlocker 磁盘,禁用或启用此选项的效果都一样。
答案1
“fTPM” 是一种在系统固件中实现的 TPM,而不是使用专用芯片。
TPM 是一种防篡改的“安全元件”,用于保护加密密钥(包括智能卡私钥和 BitLocker 凭据)。BitLocker 主要用于系统磁盘,因为 TPM 可以提供无密码解锁的同时仍能抵御外部攻击(即用当前系统状态密封加密密钥)。如果没有 TPM,每次重启时您都必须使用密码、恢复密钥或 USB 记忆棒解锁系统磁盘。
这并不适用于数据磁盘,因为一旦访问它们,Windows 就已经完全运行了,因此它可以通过简单地将数据磁盘的密码存储在 Windows 帐户中来提供自动解锁,而无需 TPM。(显然它不会影响解锁和密 码。
在升级固件之前需要禁用 (f)TPM 的最可能原因是:
系统固件是上述“当前系统状态”的一部分。如果您对其进行升级,之前针对其密封的所有内容都将无法使用;例如,如果您将 BitLocker 与 TPM 一起使用,则需要使用恢复密钥。一些制造商坚持要求手动禁用 TPM,以提醒用户他们需要其他方式来解锁系统磁盘。
在固件升级之前强制删除所有机密是一种相对常见的做法,也称为“内部攻击防御”。因为 fTPM部分系统固件,升级它可能会成为一种安全风险——如果新固件有缺陷或有后门,它可能会绕过本应提供的保护;例如,它可能会很方便地“忘记”在释放密钥之前检查系统状态。我不知道“禁用”fTPM 是否会清除其内容,但如果会,那将是一个非常可能的解释。