Zaskočilo vás, že Windows 11 vyžaduje čip TPM? Nejspíš už ho máte, stačí zapnout v BIOSu

26. 6. 2021

Sdílet

 Autor: MSI
Windows 11 povinně vyžaduje TPM 2.0 a možná teď bádáte, jak ho přidat do vašeho počítače. Ale novější počítače už by měly být v suchu, podporují fTPM, které lze zapnout v BIOSu.

Microsoft odhalil novou verzi OS, Windows 11. Kromě novinek a zlepšení ale také má vyšší hardwarové nároky než Windows 10. Ne úplně na výkon, spíš na zvláštní výbavu, kterou nemusí každé PC mít. Největší pozdvižení způsobilo, že W11 dle Microsoftu vyžaduje součástku TPM 2.0 (neboli Trusted Platform Module), po níž se teď řada lidí shání. Ale nemusíte se stresovat, protože ve skutečnosti ji už nejspíš máte, jen ji stačí zapnout. Jak na to?

Pokud vás požadavky Windows 11 zneklidnily, v prvé řadě zachovejte klid. Zatím není jasné, zda se třeba ještě některé požadavky nezmírní tím, že by je Microsoft uplatňoval jenom u nově vydávaných počítačů a notebooků, ale něco třeba odpustil při upgradu staršího počítače zejména skládaného z komponent. Když se podíváte do seznamů podporovaných CPU, jsou momentálně hodně drsné, chybí v nich i třeba Ryzeny první generace (a APU generace 2000) nebo Intel Core 7. generace. Minimálně někde snad ale půjde neoficiálně používat i starší CPU, nebo aspoň doufáme.

TPM moduly a TPM Headery

Každopádně teď se ještě budeme věnovat jenom požadavku na TPM 2.0, který zdá se spustil menší paniku a lidé začali shánět moduly TPM 2.0. Už se dokonce objevily i případy zvyšování cen a „scalperů“, kteří se snaží na jinak pár dolarů/eur stojících modulech TPM rýžovat mnohanásobky.

https://twitter.com/shen/status/1408284995131645956

Trusted Platform Module je malý čip, který slouží k uchovávání šifrovacích klíčů, certifikátů a podobných citlivých kousků dat, používá ho třeba šifrování Bitlocker a je možné, že ve Windows 11 se na něj bude spoléhat více komponent – což je asi důvod, proč by ho Microsoft mohl požadovat. Potíž je v tom, že ne každé PC ho má. Před lety pro něj základní desky mívaly – bohužel také ne všechny – speciální vývod na desce, do kterého se zasunul malý modul s čipem TPM. Najdete ho na PCB nebo v manuálu označený „TPM Header“.

Modul TPM pro některé desky Gigabyte Modul TPM pro některé desky Gigabyte (Zdroj: Heureka.cz)

Právě po těchto modulech se teď začali lidé hodně shánět a řeší třeba jejich kompatibilitu. Raději je ale překotně nekupujte. Je problém v tom, že konektory se liší mezi jednotlivými výrobci. A také se liší verze rozhraní, které používají. Starší desky pro Intel například mají TPM připojené přes sběrnici LPC (jako SuperIO čip), ale novější přes sběrnici SPI – to nebude kompatibilní a možná byste i riskovali i poškození.

 

Modul TPM pro některé desky Gigabyte 2 Modul TPM pro jiné desky Gigabyte. Můžete vidět, že konektor je odlišný a zřejmě nekompatibilní (Zdroj: Heureka.cz)

Pokud byste chtěli na desku s prázdným vývodem TPM doplnit tento modul, musíte z manuálu nebo webu výrobce zjistit přesný typ modulu, který je deskou kompatibilní, a koupit ten. Rozhodně nezkoušejte kupovat „na blind“ modul jednoho výrobce, když máte desku jiného.

Header pro osazení modulu TPM. Obvykle ho najdete nekde u spodní hrany desky Header pro osazení modulu TPM. Obvykle ho najdete někde u spodní hrany desky Zdroj: Gigabyte)

Ve skutečnosti nejspíš TPM 2.0 kupovat nemusíte, máte ho ve firmwaru

Realita je ale taková, že pokud máte aktuální nebo jen pár let starý procesor a desku, pravděpodobně vůbec TPM dokupovat nemusíte. Už pár let totiž procesory přímo podporují tzv. funkci fTPM (Firmware TPM), který fungování modulu TPM 2.0 implementuje na úrovni firmwaru desky a procesoru. Žádný další hardware už není třeba, stačí jenom v BIOSu najít tuto volbu a zapnout ji. Obvykle není ve výchozím stavu aktivní, takže se vaše PC může tvářit, že TPM 2.0 nemá, ale opravdu stačí zajít do firmwaru a zapnout potřebnou možnost.

Nejdřív je dobré se podívat, jestli vůbec něco musíte řešit. Možná už fTPM máte zapnutý, nebo máte starší OEM počítač či notebook, který má hardwarový čip TPM napevno osazený. Nejdřív tedy ověříme, zda je TPM 2.0 přítomno a zapnuto. Otevřete Nastavení Windows 10, sekci „Aktualizace a zabezpečení“, tam zvolte „Zabezpečení Windows“, dále „Zabezpečení zařízení“ a v okně, které na vás vyskočí, se podívejte na „Procesor zabezpečení“, klikněte na „Podrobnosti o procesoru zabezpečení“. Pokud tato volba není vidět, znamená to, že TPM nemáte nebo není zapnuté.

Když TPM v počítači není nebo není zapnuté najdete v nastaveních zabezpečení jen toto Když TPM v počítači není nebo není zapnuté, najdete v nastaveních zabezpečení jen toto, případně ještě méně (Zdroj: Cnews.cz)

Pokud TPM máte, vypadá to takto:

Když se objeví volba procesor zabezpečení máte TMP zapnuté Když se objeví volba procesor zabezpečení, máte TPM zapnuté (Zdroj: Cnews.cz)

Tam už uvidíte detaily vašeho TPM. Pokud se vám ukazuje to co mě a u řádku „Verze specifikace“ máte „2.0“, tak už máte hotovo, TPM 2.0 již máte – hardwarové nebo firmwarové.

Okno s informacemi o TPM ve Windows 10 Okno s informacemi o TPM ve Windows 10. Takto to vypadá, pokud už máte fTPM nebo jiné TPM aktivní a jste za vodou (Zdroj: Cnews.cz)

Jiná a rychlejší verze, jak se k této informaci proklikat, je zmáčknout klávesu Windows a „R“, čímž se otevře dialog pro spuštění příkazu. Napište „tpm.msc“ bez uvozovek a máčkněte enter, čímž se otevře toto okno. Opět můžete vidět „Verze specifikace“, pokud 2.0, máte vyhráno.

Okno správy modulu TPM vyvolaná příkazen tpm msc Okno správy modulu TPM vyvolané příkazem tpm.msc (Zdroj: Cnews.cz)

Jak zapnout TPM 2.0 v BIOSu (UEFI)

Pokud volbu nemáte aktivní, budete muset do BIOSu desky, přesněji do nastavení jejího UEFI firmwaru, protože dnes máte místo BIOSu UEFI, jen tomu často ze zvyku pořád říkáme BIOS. V manuálu desky nebo na internetu se podívejte, jak se do nastavení UEFI dostat, obvykle je to držením určité klávesy (Del, F2, F10 a podobné) při spouštění počítač (ne při probuzení ze spánku, musíte provést restart). Alternativa je použít volbu z Windows (dělá se to přes možnost „Změnit možnosti spuštění s upřesněným nastavením“).

Postup pro AMD

Volba zapnutí fTPM či Firmware TPM bývá na různých místech. Moje deska Gigabyte ji například má v nastavení „Peripherals“ pod označením „AMD CPU fTPM“. U Asusu se zdá se možnost nachází v oddělení „Advanced“ a dále „AMD fTPM configuration“.

Volba zapínající fTPM v nastaveních desky Gigabyte Volba zapínající fTPM v nastaveních desky Gigabyte (Zdroj: Cnews.cz)

V těchto volbách buď může být nabízena volba zapnutí nebo vypnutí fTPM, ale také alternativně může jít o volbu mezi „Discrete TPM“ a „Firmware TPM“. Pokud fyzický modul TPM nemáte, logicky chcete zapnout volbu Firmware TPM.

Volby zapínající fTPM v nastaveních desky Asus Volby zapínající fTPM v nastaveních desky Asus (Zdroj: Asus)

Postup pro Intel

U Intelu se sice také někdy hovoří o „Firmware TPM“, ale v BIOSu nemusíte volbu najít pod tímto jménem, Intel si totiž tuto funkcionalitu překřtil na „Platform Trust Technology“, neboli PTT. V BIOSech se proto volba většinou objevuje pod tímto jménem, hledejte tedy PTT (nebo tu dlouhou verzi Platform Trust Technology). V případě Intelu jinak není tato funkce provozována procesorem, ale čipsetem, což je však jen implementační detail. Nicméně z tohoto důvodu najdete nastavení fTPM, respektive PTT mezi volbami pro čipovou sadu, pod označením „Platform Controller Hub“ nebo PCH Options/Settings a podobně.

Volby zapínající PTT v nastaveních desky Gigabyte Zdroj TenForums Volby zapínající PTT v nastaveních desky Gigabyte (Zdroj: TenForums)

Například na deskách Asus se tato forma firmwarového TPM zapíná v sekci „Advanced“, dále „PCH-FW Configuration“ a tam byste měli (doufejme) nalézt možnost PTT.

Volby zapínající PTT v nastaveních desky MSI Zdroj TenForums Volby zapínající PTT v nastaveních desky MSI (Zdroj: TenForums)

Někdy asi budete mít možnost prostě zapnout PTT, jindy může být volba mezi „fPTT“, tedy firmwarovým PTT a „dPTT“ nebo discrete PTT, což znamená samostatný modul. Zvolení fPTT zapne firmwarový modul TPM, který my chceme.

Volby zapínající PTT v nastaveních desky Asus Zdroj Asus Volby zapínající PTT v nastaveních desky Asus (Zdroj: Asus)

Volby zapínající fTPM či (f)PTT se mohu jmenovat různě, takže pokud hned nenajdete, nezoufejte. Zkuste zagooglit označení vaší desky a „PTT“ nebo „fTPM“. Případně se můžete na umístění této volby v BIOSu dotázat podporu výrobce, ale hledání na internetu bude asi obvykle rychlejší.

Které procesory umožňují zapnout TPM 2.0 v BIOSu (UEFI)?

Ještě než předchozí postup vyzkoušíte, asi bude dobré se podívat na to, u kterých generací procesorů a jejich platforem je tato volba vůbec dostupná. U úplně starého hardwaru nepochodíte. Například u procesorů AMD FX a starších APU na bázi Piledriveru, Steamrolleru a Excavatoru (různé A6, A8, A10) funkce fTPM ještě nebyla.

Na platformě AMD by mělo firmwarové TPM 2.0 být dostupné až od platformy AM4, a to s procesory Ryzen nebo Athlony majícími architekturu Zen. Mělo by to být možné použít už od A320/B350/X370 desek.

Procesory před Zenem by mohly vyžadovat skutečně zakoupení onoho modulu a osazení do headeru na desce – pokud ho ovšem deska má!

Na platformě Intel by to mělo být ještě lepší. Zdá se, že PTT (Platform Trust Technology) by měly mít už některé procesory Haswell, respektive jejich čipsety (ale zřejmě jen ty pro notebooky) a také by ji měly umět moderní out-of-order Atomy a na nich založené Celerony a Pentia od 22nm čipu Bay Trail (s architekturou Silvermont). Tudíž i pozdější lowendové a úsporné SoC by měly být schopné PTT zapnout – za podmínky, že tuto volbu výrobce desky nebo notebooku v UEFI poskytuje. Je možné, že někdy se na to výrobce vyflákl a bohužel tuto možnost nemáte šanci zapnout, i když by ji hardware uměl.

U desktopových počítačů je volba PTT zdá se přítomná až u generace procesorů Skylake a desek pro ně. Čipsety B150, Z170 i H110 tuto technologii podporují. Máte-li tedy počítač na bázi Skylake (Intel Core 6. generace) a novější, určitě po PTT zapátrejte, vaše deska a její BIOS/UEFI už by tuto možnost mohla nabízet.

Starší počítače s procesorem Haswell nebo Sandy Bridge a Ivy Bridge opět zřejmě už budou odkázané na samostatný přídavný modul TPM zasunutý do TPM headeru. Nicméně opět bych zopakoval, ať raději počkáte na vyjasnění situace a zda se nakonec neukáže, že třeba Windows 11 budou fungovat i bez TPM. Nebo zda se třeba nakonec nerozhodnete, že ani Windows 11 nepotřebujete.

Microsoft potvrdil, že podpora Windows 10 bude udržena až do roku 2025, takže po vydání Windows 11 bude možné poměrně dlouhou dobu dál fungovat i bez tohoto upgradu. Všechny populární aplikace by měly na W10 dál fungovat, takže se jen budete muset smířit, že váš OS bude mít starý vzhled bez některých nových, ale nijak kritických prvků.

UEFI, GPT a Secure Boot povinné

Jinak také pozor na to, že TPM není jediný problematický požadavek Windows 11. Microsoft také uvádí požadavek na UEFI. Takže pokud máte desku s klasickým standardním BIOSem, třeba s Phenomem, AMD FX nebo Intel Core 2, tak máte smůlu kvůli tomuto a je zbytečné shánět TPM. Dále je v požadavcích také grafika s podporou DirectX 12 a ovladačem typu WDDM 2.0. To znamená GeForce alespoň generace 400/500/600 (Fermi nebo novější), Radeon HD 7000 (architektura GCN – u integrovaných grafik pak APU Kabini nebo Kaveri) nebo novější, nebo grafiku Intel asi až od generace procesorů Skylake (Haswelly dřív DX12 podporovaly, ale Intel podporu odstranil kvůli bezpečnostní zranitelnosti, kterou otevírala). Pokud toto nesplňujete, tak opět nemá smysl teď řešit TPM.

Hardwarové a další požadavky Windows 11 Hardwarové a další požadavky Windows 11 (Zdroj: Microsoft)

Kromě toho, že musí vaše deska/notebook mít firmware typu UEFI, také Windows 11 vyžaduje, aby v režimu UEFI také bootovala. Nesmí tedy být zapnutá emulace legacy BIOSu, která se často označuje jako CSM. Tu tedy musíte vypnout (ale pozor, pokud jste v tomto režimu nainstalovali Windows, přestaly by vám fungovat; tuto změnu v nastaveních tedy udělejte až předtím, než budete Windows 11 instalovat a po záloze svých dat). S tímto souvisí, že také musíte mít operační systém nainstalovaný na disku a oddílu typu GPT, nikoliv MBR.

Další požadavek je, že pro Windows 11 musí být zapnutý Secure Boot. Ten znamená, že UEFI při spouštění počítače ověřuje, zda je zavaděč a potažmo Windows legitimní tím, že u nich ověří kryptografický podpis proti klíčům, které má uložené v sobě. Zabraňuje to tomu, aby vám nějaký malware podstrčil infikované jádro operačního systému. Při použití Secure Boostu to bude detekováno a kompromitovaná binárka se nespustí. Secure Boot bývá považován za překážku či komplikaci při instalaci Linuxu, ale to je jen vedlejším produktem a dnes již Linuxové distribuce také Secure Boot běžně podporují a nebrání jim ve fungování.

Secure Boot se také zapíná v nastaveních firmwaru (UEFI) základní desky. Nebudeme to už komplikovat dlouhým popisem, pokud máte problémy toto nastavení najít, pohledejte ho v manuálu desky (v PDF verzi, kde s dá vyhledávat). Secure Boot naštěstí není komplikovaný a výrobci ho neoznačují nějakými jinými názvy, a současně je dobrá zpráva, že by ho měly  umět prakticky všechny desky a notebooky s UEFI firmwarem, na rozdíl od fTPM.

ICTS24

Volba Secure Boot v UEFI desky Gigabyte Volba Secure Boot v UEFI desky Gigabyte se nachází v sekci BIOS. Pokud by vám volba Secure Boot nešla zapnout, musíte nejdřív přepnout položku Secure Boot Mode z volby User na volbu Standard (Zdroj: Cnews.cz)

TPM 2.0 nebo jen TPM 1.2?

Ačkoliv se ve většině zpráv i dokumentů objevuje informace, je bude potřeba TPM 2.0, objevují se i konfliktní zprávy, že by mohlo dokonce stačit i starší zařízení TPM 1.2. Opět tedy opakujeme, že asi zatím není třeba se stresovat. Do vydání Windows 11 zbývají dlouhé měsíce, je klidně možné, že se ještě nějaké požadavky změní. Proto bude lepší s těmito přípravami počkat až na pozdější dobu, protože se jinak může stát, že si teď budete dělat zbytečné starosti. Jiná věc je, pokud byste teď stavěli či kupovali nové PC a vybírali komponenty a specifikace. Pak se raději zařiďte tak, aby aktuální požadavky na velikost RAM, podporu UEFI Secure Boostu, DirectX 12 grafiku a také TPM 2.0 (klidně ale firmwarové, hardwarové nepotřebujete) byly splněné.

Máte v počítači TPM 2.0, nebo řešíte, jak ho nainstalovat?

Zdroje: Microsoft, TenForums, Asus, Heureka.cz, Gigabyte, MSI, vlastní