在没有 TPM 的情况下安装 Linux 是否存在风险 - 后门风险?,管理引擎技术

在没有 TPM 的情况下安装 Linux 是否存在风险 - 后门风险?,管理引擎技术

由于存在回溯风险,我对这项技术没有信心。我的担心有道理吗?在 BIOS 中禁用此选项是否会失去安全性?

Windows 需要此功能,但 Linux 不需要。激活或停用此功能(管理引擎技术)对我有什么好处?

在主板设置下,我有一个名为 ME 的类别,在此类别下我有选项:PCH-FW 配置 - > 配置管理引擎
启用独立 TPM 启用固件 TPM 我可以安全地关闭它吗?还是不推荐这样做,而且风险大于收益?

答案1

一般来说,TPM 与 Intel ME 无关。它是一个独立的被动组件,无法控制操作系统,最初它是主板上的一个独立芯片。(但有“独立 TPM”选项并不一定意味着存在 TPM 芯片;主板通常只有一个针座来连接单独购买的模块。)

不过,Intel ME 可以仿真CPU 内的 TPM(品牌名称为“Intel PTT”),这意味着在某些情况下,计算机可以同时具有独立的 TPM 芯片和 ME 模拟的 TPM。只能启用一个 TPM(基于固件的 TPM 或独立 TPM(如果存在))。

如果您确定当前没有任何东西使用 TPM,则可以安全地禁用它。(例如,在 Linux 中,加密的 LUKS 卷可能配置为在 TPM 的帮助下自动解锁。)

但请注意,这实际上并没有禁用所有 Intel ME – 它只是禁用了 TPM 模拟。例如,它不会禁用 Intel AMT 远程管理功能(也是通过 ME 实现的),而且我更担心 AMT 而不是 TPM。


Windows(甚至 Windows 11)不支持真的需要 TPM 才能进行日常使用;它已成为一项基本要求,以便制造商能够将其包括在内,并且 MS 开发人员可以安全地假设它的存在。

相关内容