• Hallo Gast, du kaufst gerne günstig ein und erfährst oft vor deinen Freunden von interessanten Angeboten? Dann kannst du dein Talent als Schnäppchenjäger jetzt zu Geld machen und anderen PCGH-Lesern beim Sparen helfen! Schau einfach mal rein - beim Test der Community Deals!

TPM , ich blicke nicht mehr durch

Rocketeer67

PC-Selbstbauer(in)
Hallo allerseits, seit der Windows 11 Ankündigung ist ja der Hardware-Check überall im Gange. Eine Weile bin ich gut mitgekommen, blicke jetzt aber nicht mehr durch. Als Beispiel:

Mainboard Asus Rampage VI Extreme
- hat einen Stecksockel für die Nachrüstmöglichkeit eine TPM-M 2.0 Moduls
- hat aber auch bereits TPM in Firmware integriert

In einem Anruf bei Asus hat mir ein kompetent wirkender Mitarbeiter versichert, dass ich kein zusätzliches TPM-Steckmodul in Hardware benötige. Wenn Windows 11 die benötigen würde, dann würden vom Hersteller neue Firmwareupdates ausgerollt. Aber wie er sagte weiß man derzeit selbst bei Asusu nicht, was genau Microsoft da alles will.

Nun bin ich erst recht verwirrt: wenn ich doch bereits ein TPM im UEFI integriert habe, die Option sich also erfolgreich akltivieren lässt und Windows 10 anschließend auch erklärt, TPM 2.0 ist erfolgreich aktiviert ( ohne zusätzliches Model ) ... wozu dann dieser Stecksockel ? Und wenn die Mainboards über Firmwareupdates TPM's nachgerüstet bekommen, wozu dann der Stecksockel ?
Und wofür gibt es dann eigentlich diese Steckmodule ?

Bei MSI sieht es ähnlich aus: alle Boards ab Z170-Chipset haben nach Worten eines Mitarbeiters ebenfalls TPM 2.0 in Firmware im UEFI integriert. Aber wieso gibt es dann trotzdem noch separate Module und die passenden Stecksockel dafür ?
Beispiel: MSI Z170A Gaming Pro Carbon

Kann mir das einer erklären? Oder habe ich irgendwo einen Denkfehler?
 

Olstyle

Moderator
Teammitglied
Der Stecksockel hilft wenn du Board oder CPU tauschen willst/musst und z.B. die Grundverschlüsselung deiner Festplatte am TPM Modul hängt. Dann nimmst du das gesockelte Modul als HW-Schlüssel einfach mit.
 

Belzebub13

PC-Selbstbauer(in)
Also so wie ich das verstehe ist TPM entweder in der CPU (ab einer bestimmten CPU-Reihe) integriert oder man kann es eben über dieses Steckmodul nachrüsten.

Dies ist standardmäßig im UEFI (Bios) deaktiviert und muss eben manuell eingeschaltet werden.
Was die Mitarbeiter sagen verstehe ich nicht, TPM gibt es schon seit einigen Jahren und ist seit langem Bestandteil des Uefi. Eventuell meinen sie zuätzliche notwendige Updates oder vielleicht für alte Mainboards wo dies noch nicht vorgesehen war.

Also theoretisch muss man es einfach nur im Uefi aktivieren und kann es dann auch in Windows prüfen ob aktiviert.
z.b. im Gerätemanager:
1624998477965.png
 
TE
R

Rocketeer67

PC-Selbstbauer(in)
Die gleiche Ansicht vom Gerätemanager habe ich nach der Aktivierung im BIOS bzw. UEFI auch. Seitdem wird es mir als Sicherheitsgerät angezeigt. D.h. dann also quasi wenn ich ein Mainboard tauschen muss und kein neues Board habe auf welchen genau dieses bereits vorhandene Modul passt ... tja dann sind alle Daten futsch ?
Das wäre dann richtiger Mist! Jeder Hersteller hat seine eingenen Bauformen für diese Module, da ist nichts genormt.

Wie machen das dann die PC-Besitzer, die kein soclches Modul verwenden sondern nur die TPM aus der UEFI-FW?

Die Frage ist auch wie oft tausche ich ein Board aus. Bei mir nur im Fehlerfall oder wenn mein altes System zu klahm war. Da vergehen aber einige Jahre dazwischen. Bis dahin gibt es diesen Sockel vermutlich gar nicht mehr.
 

taks

PCGH-Community-Veteran(in)
D.h. dann also quasi wenn ich ein Mainboard tauschen muss und kein neues Board habe auf welchen genau dieses bereits vorhandene Modul passt ... tja dann sind alle Daten futsch ?
Wenn man davon ausgeht das Neues Board = Neue Windows Installation passt das schon. Die Daten sind eh auf einem Backup und der Rest wird einfach neu installiert. Ich hab mich schon länger nicht mehr mit dem Thema beschäftigt, aber soweit ich das in Erinnerung habe setzt sich des UEFI TPM auch bei einem BIOS-Reset zurück. Das bedeutet wenn die Platte mit dem UEFI-TPM verschlüsselt wurde, kann die Platte nach einem BIOS-Reset nicht mehr gelesen werden.
Aus meiner Sicht ergibt die Plattenverschlüsselung via TPM aber nur bei Laptops Sinn. Die Frage aber wäre, für was Windows 11 TPM genau benötigt.
 
TE
R

Rocketeer67

PC-Selbstbauer(in)
Danke für die Info. Also je mehr ich darüber nachdenke, desto unklarer wird das für mich alles. In Anbetracht des kommenden Windows 11 wäre das doch mal ein Thema für die nächste PCGH-Ausgabe. :)

Ich frage mich, wie das eigentlich die vielen "Enduser" hinbekommen sollen, welche ggf. älter sind und / oder nicht so tief in der Materie drin stehen.
 

Richu006

Software-Overclocker(in)
So richtig verstehe ich das auch nicht.

Wann wird denn die Platte durch tpm verschlüsselt?
Einmal kurz aktivieren und hochfahren, danach sind die eigenen Daten nach nem Bios Reset futsch? Ds wäre ja wirklich eine tolle Neuerung! XD
 

taks

PCGH-Community-Veteran(in)
Ich frage mich, wie das eigentlich die vielen "Enduser" hinbekommen sollen, welche ggf. älter sind und / oder nicht so tief in der Materie drin stehen.
Darum habe ich geschrieben, das ich mich Frage für was Window11 überhaupt TPM benötigt.

Festplatte Verschlüsseln:
 

DARPA

Volt-Modder(in)
Wann wird denn die Platte durch tpm verschlüsselt?
Einmal kurz aktivieren und hochfahren, danach sind die eigenen Daten nach nem Bios Reset futsch? Ds wäre ja wirklich eine tolle Neuerung! XD
Nein, wenn man TPM im Bios aktiviert oder ein Modul einbaut, aktiviert man erstmal nur die Möglichkeit Trusted Computing zu nutzen.
Man benötigt immer noch eine konkrete Software und muss diese erst ausführen / einrichten, bevor eine Verschlüsselung aktiv wird.

Als nur TPM im Bios aktivieren, booten und wieder deaktivieren macht gar nix. Schon getestet ;)

Die Frage aber wäre, für was Windows 11 TPM genau benötigt.
Ja genau das ist die große Frage
 

Malkolm

BIOS-Overclocker(in)
Für den SecureBoot. Vereinfacht ausgedrückt speichert das TPM die Soll-Konfiguration bzgl. UEFI und Windows-Kernel(-Module). Passt die Ist-Konfiguration nicht dazu, etwa weil der Kernel durch Malware verändert wurde, erkennt das Windows und handelt entsprechend der konfigurierten Richtlinie (z. B nur melden, Modul blocken, abgesicherte Modus oder auch kompletter Lockdown).
Bitlocker ist nur eine, wenn auch die haufigst genutzte, Funktion des TPM. Windows Hello/FIDO (2) sind aber auch stark im Kommen.
 
TE
R

Rocketeer67

PC-Selbstbauer(in)
Ich habe nach meiner gestrigen tel. Anfrage bei MSI jetzt nun doch eine ander Antwort bekommen:

"Unsere Ingenieure bestätigen, dass das Z170A Gaming Pro Carbon -- 601-7A12-010 keinen TPM-Chip verwendet
Bitte helfen Sie bei der Bereitstellung der physischen Bilder, von den Teil, den Sie benötigen.

Das Motherboard selbst verfügt nicht über die Funktion von TPM. Es bietet nur eine tpm2.0-Schnittstelle. Falls nötig, müssen Sie eine kleine TPM-Karte auf dem Markt kaufen."


Und schon bin ich wieder am Anfang ... das ist ja irre, wenn nicht mal der Support eines Herstellers sich innerhalb der Firma einig ist. Gestern hieß es noch, TPM kann im UEFI in FW aktiviert werden und W10 bestätigt mir das auch, dass es aktiv ist.

Davon abgesehen hat MSI die Produktion der TPM-Module schon seit Jahren eingestellt ....
Die Mainboard-Handbücher kann man diesbezüglich sowieso von allen Herstellern in die Tonne schmeißen.
 

chill_eule

Moderator
Teammitglied
Gestern hieß es noch, TPM kann im UEFI in FW aktiviert werden und W10 bestätigt mir das auch, dass es aktiv ist.
Ja, weil deine CPU f(irmware)TPM kann.
Das hat mit dem Mainboard eigentlich nichts zu tun, die Funktion muss halt im UEFI drin sein, aber mehr auch nicht.
Ein extra Chip muss dann eben gekauft und gesteckt werden.

So hat es MSI doch auch erklärt und du selbst schreibst es auch im ersten Beitrag :ugly:
Die Erklärung warum es ein zusätzliche Möglichkeit gibt, steht direkt im nächsten Beitrag...
Der Stecksockel hilft wenn du Board oder CPU tauschen willst/musst und z.B. die Grundverschlüsselung deiner Festplatte am TPM Modul hängt. Dann nimmst du das gesockelte Modul als HW-Schlüssel einfach mit.
:schief:
 

chill_eule

Moderator
Teammitglied
heise.de sagt z.B. was anderes:

Bei Intel ist das fTPM 2.0 Teil der Platform Trust Technology (PTT) auf Basis der Converged Security and Management Engine (CSME, früher ME). Je nach Plattform ist eine ME/CSME mit PTT im Chipsatz oder im Prozessor eingebaut; bei Desktop-PCs etwa seit der 2015 eingeführten CPU-Generation Skylake (Core i-6000, Chipsätze der Serie 100).

Und dein Windows ja auch:
TPM 2.0 ist erfolgreich aktiviert
Seitdem wird es mir als Sicherheitsgerät angezeigt.

Das erfindet Windows ja nicht einfach so :ka:
 
TE
R

Rocketeer67

PC-Selbstbauer(in)
ok, das ist schon stimmig. Ich denke bei Heise aber auch gelesen zu haben, dass es erst ab Gen. 7 integriert ist. Aber die Beweise sprechen ja dagegen
 

chill_eule

Moderator
Teammitglied
Wenn dann Win11 irgendwann mal erscheint, dann wirst du sicherlich noch mehr und besser gesicherte Infos bekommen.
Kein Grund zur Panik; Monate vor Release!
:D
 

PCGH_Torsten

Redaktion
Teammitglied
ok, das ist schon stimmig. Ich denke bei Heise aber auch gelesen zu haben, dass es erst ab Gen. 7 integriert ist. Aber die Beweise sprechen ja dagegen

Von Skylake zu Kaby Lake hat Intel damals nichts derartiges neu integriert. Auch zu Coffee Lake hat sich eigentlich nichts sicherheitsrelevantes geändert – deswegen tappen derzeit alle im Dunkeln, einschließlich PCGH und Mainboard-Herstellern, was Microsoft mit den Kompatibilitätsangaben eigentlich bezweckt. Soweit wir, als Gaming-Experten(!), es nachvollziehen können, gibt es wohl durchaus noch Unterschiede in der Angreifbarkeit zwischen getrennten TPM-Modulen und Firmware-Lösungen. Man könnte danach also unterscheiden, aber selbst in Business-Umgebungen kräht scheinbar kein Hahn mehr danach. Und sowohl Intel (Skylake) als auch AMD (Zen 1) haben ihre aktuellen Lösungen vor der von Microsoft gezogenen Grenze eingeführt. Microsoft macht also weder Angaben zu den technischen Anforderungen noch lässt sich diese aus den Kompatiblitätslisten etwas sinnvolles ableiten.
 
Zuletzt bearbeitet:

Incredible Alk

Moderator
Teammitglied
Microsoft macht also weder Angaben zu den technischen Anforderungen noch lässt sich diese aus den Kompatiblitätslisten etwas sinnvolles ableiten
So siehts aus.

Mein Vorschlag wäre an der Stelle einfach ganz gechillt in der Ecke sitzen und warten, bis Win11 released ist, 17 Shitstorms über alles mögliche einschließlich TPM durch sind, Microsoft wie üblich 5x in jede Richtung hin und zurückgerudert hat, nach dem ersten Jahr Updates die größen Bugs rausgepatcht sind und in der Zeit die Hersteller sich auf ein dann hoffentlich klares TPM-Konzept (falls es dann noch existiert...) eingestellt haben und dann so langsam überlegen ob man Win11 jetzt haben möchte oder nicht.

Persönlich sehe ich das keinesfalls vor 2023 :ugly:
 

Olstyle

Moderator
Teammitglied
Und sowohl Intel (Skylake) als auch AMD (Zen 1) haben ihre aktuellen Lösungen vor der von Microsoft gezogenen Grenze eingeführt. Microsoft macht also weder Angaben zu den technischen Anforderungen noch lässt sich diese aus den Kompatiblitätslisten etwas sinnvolles ableiten.
Hängt es vielleicht schlicht am Supportende der entsprechenden Plattformen auf Seiten der CPU-Hersteller?
 

markus1612

Kokü-Junkie (m/w)
Für den SecureBoot. Vereinfacht ausgedrückt speichert das TPM die Soll-Konfiguration bzgl. UEFI und Windows-Kernel(-Module). Passt die Ist-Konfiguration nicht dazu, etwa weil der Kernel durch Malware verändert wurde, erkennt das Windows und handelt entsprechend der konfigurierten Richtlinie (z. B nur melden, Modul blocken, abgesicherte Modus oder auch kompletter Lockdown).
Bitlocker ist nur eine, wenn auch die haufigst genutzte, Funktion des TPM. Windows Hello/FIDO (2) sind aber auch stark im Kommen.
Der Secure Boot hat mit dem TPM gar nix zutun.
 

hintzsche

Komplett-PC-Aufrüster(in)
Laut aussagen einiger "Experten" geht dabei darum das Windows mit TPM die Streams von Netflix und co. auf der Platte verschlüsseln kann so kann man den Cache nicht mehr abgreifen auf der Platte. War wohl ein Zugeständnis an die Unterhaltungsindustrie
 
Oben Unten