TPM , ich blicke nicht mehr durch

R

Rocketeer67

Software-Overclocker(in)
Hallo allerseits, seit der Windows 11 Ankündigung ist ja der Hardware-Check überall im Gange. Eine Weile bin ich gut mitgekommen, blicke jetzt aber nicht mehr durch. Als Beispiel:

Mainboard Asus Rampage VI Extreme
- hat einen Stecksockel für die Nachrüstmöglichkeit eine TPM-M 2.0 Moduls
- hat aber auch bereits TPM in Firmware integriert

In einem Anruf bei Asus hat mir ein kompetent wirkender Mitarbeiter versichert, dass ich kein zusätzliches TPM-Steckmodul in Hardware benötige. Wenn Windows 11 die benötigen würde, dann würden vom Hersteller neue Firmwareupdates ausgerollt. Aber wie er sagte weiß man derzeit selbst bei Asusu nicht, was genau Microsoft da alles will.

Nun bin ich erst recht verwirrt: wenn ich doch bereits ein TPM im UEFI integriert habe, die Option sich also erfolgreich akltivieren lässt und Windows 10 anschließend auch erklärt, TPM 2.0 ist erfolgreich aktiviert ( ohne zusätzliches Model ) ... wozu dann dieser Stecksockel ? Und wenn die Mainboards über Firmwareupdates TPM's nachgerüstet bekommen, wozu dann der Stecksockel ?
Und wofür gibt es dann eigentlich diese Steckmodule ?

Bei MSI sieht es ähnlich aus: alle Boards ab Z170-Chipset haben nach Worten eines Mitarbeiters ebenfalls TPM 2.0 in Firmware im UEFI integriert. Aber wieso gibt es dann trotzdem noch separate Module und die passenden Stecksockel dafür ?
Beispiel: MSI Z170A Gaming Pro Carbon

Kann mir das einer erklären? Oder habe ich irgendwo einen Denkfehler?
 
Der Stecksockel hilft wenn du Board oder CPU tauschen willst/musst und z.B. die Grundverschlüsselung deiner Festplatte am TPM Modul hängt. Dann nimmst du das gesockelte Modul als HW-Schlüssel einfach mit.
 
Also so wie ich das verstehe ist TPM entweder in der CPU (ab einer bestimmten CPU-Reihe) integriert oder man kann es eben über dieses Steckmodul nachrüsten.

Dies ist standardmäßig im UEFI (Bios) deaktiviert und muss eben manuell eingeschaltet werden.
Was die Mitarbeiter sagen verstehe ich nicht, TPM gibt es schon seit einigen Jahren und ist seit langem Bestandteil des Uefi. Eventuell meinen sie zuätzliche notwendige Updates oder vielleicht für alte Mainboards wo dies noch nicht vorgesehen war.

Also theoretisch muss man es einfach nur im Uefi aktivieren und kann es dann auch in Windows prüfen ob aktiviert.
z.b. im Gerätemanager:
1624998477965.png
 
Die gleiche Ansicht vom Gerätemanager habe ich nach der Aktivierung im BIOS bzw. UEFI auch. Seitdem wird es mir als Sicherheitsgerät angezeigt. D.h. dann also quasi wenn ich ein Mainboard tauschen muss und kein neues Board habe auf welchen genau dieses bereits vorhandene Modul passt ... tja dann sind alle Daten futsch ?
Das wäre dann richtiger Mist! Jeder Hersteller hat seine eingenen Bauformen für diese Module, da ist nichts genormt.

Wie machen das dann die PC-Besitzer, die kein soclches Modul verwenden sondern nur die TPM aus der UEFI-FW?

Die Frage ist auch wie oft tausche ich ein Board aus. Bei mir nur im Fehlerfall oder wenn mein altes System zu klahm war. Da vergehen aber einige Jahre dazwischen. Bis dahin gibt es diesen Sockel vermutlich gar nicht mehr.
 
Rocketeer67 schrieb:
D.h. dann also quasi wenn ich ein Mainboard tauschen muss und kein neues Board habe auf welchen genau dieses bereits vorhandene Modul passt ... tja dann sind alle Daten futsch ?
Zum Vergrößern anklicken....
Wenn man davon ausgeht das Neues Board = Neue Windows Installation passt das schon. Die Daten sind eh auf einem Backup und der Rest wird einfach neu installiert. Ich hab mich schon länger nicht mehr mit dem Thema beschäftigt, aber soweit ich das in Erinnerung habe setzt sich des UEFI TPM auch bei einem BIOS-Reset zurück. Das bedeutet wenn die Platte mit dem UEFI-TPM verschlüsselt wurde, kann die Platte nach einem BIOS-Reset nicht mehr gelesen werden.
Aus meiner Sicht ergibt die Plattenverschlüsselung via TPM aber nur bei Laptops Sinn. Die Frage aber wäre, für was Windows 11 TPM genau benötigt.
 
Danke für die Info. Also je mehr ich darüber nachdenke, desto unklarer wird das für mich alles. In Anbetracht des kommenden Windows 11 wäre das doch mal ein Thema für die nächste PCGH-Ausgabe. :)

Ich frage mich, wie das eigentlich die vielen "Enduser" hinbekommen sollen, welche ggf. älter sind und / oder nicht so tief in der Materie drin stehen.
 
So richtig verstehe ich das auch nicht.

Wann wird denn die Platte durch tpm verschlüsselt?
Einmal kurz aktivieren und hochfahren, danach sind die eigenen Daten nach nem Bios Reset futsch? Ds wäre ja wirklich eine tolle Neuerung! XD
 
Rocketeer67 schrieb:
Ich frage mich, wie das eigentlich die vielen "Enduser" hinbekommen sollen, welche ggf. älter sind und / oder nicht so tief in der Materie drin stehen.
Zum Vergrößern anklicken....
Darum habe ich geschrieben, das ich mich Frage für was Window11 überhaupt TPM benötigt.

Festplatte Verschlüsseln:
www.heise.de

BitLocker auf Windows 10: Festplatte richtig verschlüsseln

Falls Sie Ihr Gerät und Ihre Daten vor unautorisierten Personen schützen wollen, dann bietet BitLocker eine Lösung zur Verschlüsselung.
www.heise.de www.heise.de
 
Richu006 schrieb:
Wann wird denn die Platte durch tpm verschlüsselt?
Einmal kurz aktivieren und hochfahren, danach sind die eigenen Daten nach nem Bios Reset futsch? Ds wäre ja wirklich eine tolle Neuerung! XD
Zum Vergrößern anklicken....
Nein, wenn man TPM im Bios aktiviert oder ein Modul einbaut, aktiviert man erstmal nur die Möglichkeit Trusted Computing zu nutzen.
Man benötigt immer noch eine konkrete Software und muss diese erst ausführen / einrichten, bevor eine Verschlüsselung aktiv wird.

Als nur TPM im Bios aktivieren, booten und wieder deaktivieren macht gar nix. Schon getestet ;)

taks schrieb:
Die Frage aber wäre, für was Windows 11 TPM genau benötigt.
Zum Vergrößern anklicken....
Ja genau das ist die große Frage
 
Für den SecureBoot. Vereinfacht ausgedrückt speichert das TPM die Soll-Konfiguration bzgl. UEFI und Windows-Kernel(-Module). Passt die Ist-Konfiguration nicht dazu, etwa weil der Kernel durch Malware verändert wurde, erkennt das Windows und handelt entsprechend der konfigurierten Richtlinie (z. B nur melden, Modul blocken, abgesicherte Modus oder auch kompletter Lockdown).
Bitlocker ist nur eine, wenn auch die haufigst genutzte, Funktion des TPM. Windows Hello/FIDO (2) sind aber auch stark im Kommen.
 
Ich habe nach meiner gestrigen tel. Anfrage bei MSI jetzt nun doch eine ander Antwort bekommen:

"Unsere Ingenieure bestätigen, dass das Z170A Gaming Pro Carbon -- 601-7A12-010 keinen TPM-Chip verwendet
Bitte helfen Sie bei der Bereitstellung der physischen Bilder, von den Teil, den Sie benötigen.

Das Motherboard selbst verfügt nicht über die Funktion von TPM. Es bietet nur eine tpm2.0-Schnittstelle. Falls nötig, müssen Sie eine kleine TPM-Karte auf dem Markt kaufen."

Und schon bin ich wieder am Anfang ... das ist ja irre, wenn nicht mal der Support eines Herstellers sich innerhalb der Firma einig ist. Gestern hieß es noch, TPM kann im UEFI in FW aktiviert werden und W10 bestätigt mir das auch, dass es aktiv ist.

Davon abgesehen hat MSI die Produktion der TPM-Module schon seit Jahren eingestellt ....
Die Mainboard-Handbücher kann man diesbezüglich sowieso von allen Herstellern in die Tonne schmeißen.
 
Rocketeer67 schrieb:
Gestern hieß es noch, TPM kann im UEFI in FW aktiviert werden und W10 bestätigt mir das auch, dass es aktiv ist.
Zum Vergrößern anklicken....
Ja, weil deine CPU f(irmware)TPM kann.
Das hat mit dem Mainboard eigentlich nichts zu tun, die Funktion muss halt im UEFI drin sein, aber mehr auch nicht.
Ein extra Chip muss dann eben gekauft und gesteckt werden.

So hat es MSI doch auch erklärt und du selbst schreibst es auch im ersten Beitrag :ugly:
Die Erklärung warum es ein zusätzliche Möglichkeit gibt, steht direkt im nächsten Beitrag...
Olstyle schrieb:
Der Stecksockel hilft wenn du Board oder CPU tauschen willst/musst und z.B. die Grundverschlüsselung deiner Festplatte am TPM Modul hängt. Dann nimmst du das gesockelte Modul als HW-Schlüssel einfach mit.
Zum Vergrößern anklicken....
:schief:
 
heise.de sagt z.B. was anderes:

Bei Intel ist das fTPM 2.0 Teil der Platform Trust Technology (PTT) auf Basis der Converged Security and Management Engine (CSME, früher ME). Je nach Plattform ist eine ME/CSME mit PTT im Chipsatz oder im Prozessor eingebaut; bei Desktop-PCs etwa seit der 2015 eingeführten CPU-Generation Skylake (Core i-6000, Chipsätze der Serie 100).
Zum Vergrößern anklicken....

Und dein Windows ja auch:
Rocketeer67 schrieb:
TPM 2.0 ist erfolgreich aktiviert
Zum Vergrößern anklicken....
Rocketeer67 schrieb:
Seitdem wird es mir als Sicherheitsgerät angezeigt.
Zum Vergrößern anklicken....

Das erfindet Windows ja nicht einfach so :ka:
 
ok, das ist schon stimmig. Ich denke bei Heise aber auch gelesen zu haben, dass es erst ab Gen. 7 integriert ist. Aber die Beweise sprechen ja dagegen
 
Wenn dann Win11 irgendwann mal erscheint, dann wirst du sicherlich noch mehr und besser gesicherte Infos bekommen.
Kein Grund zur Panik; Monate vor Release!
:D
 
Rocketeer67 schrieb:
ok, das ist schon stimmig. Ich denke bei Heise aber auch gelesen zu haben, dass es erst ab Gen. 7 integriert ist. Aber die Beweise sprechen ja dagegen
Zum Vergrößern anklicken....

Von Skylake zu Kaby Lake hat Intel damals nichts derartiges neu integriert. Auch zu Coffee Lake hat sich eigentlich nichts sicherheitsrelevantes geändert – deswegen tappen derzeit alle im Dunkeln, einschließlich PCGH und Mainboard-Herstellern, was Microsoft mit den Kompatibilitätsangaben eigentlich bezweckt. Soweit wir, als Gaming-Experten(!), es nachvollziehen können, gibt es wohl durchaus noch Unterschiede in der Angreifbarkeit zwischen getrennten TPM-Modulen und Firmware-Lösungen. Man könnte danach also unterscheiden, aber selbst in Business-Umgebungen kräht scheinbar kein Hahn mehr danach. Und sowohl Intel (Skylake) als auch AMD (Zen 1) haben ihre aktuellen Lösungen vor der von Microsoft gezogenen Grenze eingeführt. Microsoft macht also weder Angaben zu den technischen Anforderungen noch lässt sich diese aus den Kompatiblitätslisten etwas sinnvolles ableiten.
 
Zuletzt bearbeitet:
PCGH_Torsten schrieb:
Microsoft macht also weder Angaben zu den technischen Anforderungen noch lässt sich diese aus den Kompatiblitätslisten etwas sinnvolles ableiten
Zum Vergrößern anklicken....
So siehts aus.

Mein Vorschlag wäre an der Stelle einfach ganz gechillt in der Ecke sitzen und warten, bis Win11 released ist, 17 Shitstorms über alles mögliche einschließlich TPM durch sind, Microsoft wie üblich 5x in jede Richtung hin und zurückgerudert hat, nach dem ersten Jahr Updates die größen Bugs rausgepatcht sind und in der Zeit die Hersteller sich auf ein dann hoffentlich klares TPM-Konzept (falls es dann noch existiert...) eingestellt haben und dann so langsam überlegen ob man Win11 jetzt haben möchte oder nicht.

Persönlich sehe ich das keinesfalls vor 2023 :ugly:
 
Einloggen o. Registrieren zum Antworten.

Ähnliche Themen

-FA-
TPM-Modul ASUS Zenith II Extreme
Antworten
3
Aufrufe
610
-FA-
-FA-
R
Windows 11 Update
Antworten
6
Aufrufe
781
RoTTeN1234
R
PCGH-Redaktion
Valorant und Windows 11: Anti-Cheat-Software lässt einen ohne TPM 2.0 nicht spielen
2 3 4
Antworten
73
Aufrufe
5K
T_BLUE
T
K
Bräuchte Eure Hilfe, für mein Game-Notebook
Antworten
2
Aufrufe
772
KriticVII
K
M
Windows 11 funktioniert nicht mit meinem Intel Core i7-6700K?
2 3
Antworten
42
Aufrufe
49K
chill_eule
chill_eule
Oben Unten
Zurück