Por esto puedes instalar Windows 11 en tu PC con CPU Intel sin TXT

Uno de los puntos clave que ha traído Microsoft a la palestra con su nuevo SO es sin duda TPM. Hace dos semanas levantamos mucha polémica por el hecho de que nos dimos cuenta de algo que muchos habían pasado por alto: la nueva generación de procesadores para portátiles de Intel no incluían su tecnología TXT. ¿Cómo era posible que las marcas estuvieran certificando sus portátiles compatibles con Windows 11? ¿Había un chip TPM 2.0 instalado previamente? ¿Cómo soportan ciertos procesadores Intel PTT?

Lógicamente la controversia saltó a la palestra y con razón. Cuando salió Intel Trusted Execution Technology o TXT si lo abreviamos, la compañía comentó que era un paso adelante en cuanto a seguridad. Y era y es cierto, pero a raíz de esta tecnología también se implantó más tarde lo que conocemos como Intel PTT o Platform Trust Technology. 

Esta tecnología es la causante de la controversia, puesto que como ya comentamos y según pudimos conocer de boca de Intel Trusted Execution Technology (TXT) no es un requisito para TPM, pero Intel TXT es una función que utiliza TPM. Entonces, si los procesadores Intel carecen de TXT, ¿cómo pueden estar dentro de la lista de Microsoft para Windows 11 como compatibles?

La controversia de Intel TXT, PTT y TPM 2.0 para Windows 11

TPM 2.0

No vamos a entrar en lo que es y hace cada tecnología en sí misma puesto que ya las comentamos en sus correspondientes artículos, pero a groso modo y citando directamente a Intel la compañía lo define brevemente así:

Intel Trusted Execution Technology es un conjunto de extensiones de hardware para los Procesadores y Chipsets que mejoran la plataforma con capacidades de seguridad como el Measured Launched Environment (MLE) y la ejecución protegida. Proporciona mecanismos basados en hardware que ayudan a proteger al equipo contra ataques basados en software y mantienen a salvo la confidencialidad y la integridad de los datos almacenados o creados en el PC del usuario o empresa.

También proporciona estos mecanismos al habilitar un entorno en el que las aplicaciones puedan ejecutarse dentro de su propio espacio, protegidas de cualquier otro software del sistema. Estas capacidades proporcionan los mecanismos de protección, arraigados en el hardware, que son necesarios para dar confianza en el entorno de ejecución de la aplicación. Al mismo tiempo, estos mecanismos pueden proteger los datos y procesos vitales de ser comprometidos por el software malicioso que se ejecuta en el PC.

A raíz de aquí, Intel desarrolló un método de encriptación de la información mediante firmware llamado Intel PTT, el cual es el objeto de toda la controversia. Al principio, Intel PTT estaba incluido dentro de Intel TXT, por lo que si no se tenía esta última no era posible disponer de la primera.

Intel PTT, ¿por qué es tan buscado y codiciado para Windows 11?

Windows 11 TPM

El problema radica en algo muy simple: Microsoft requiere TPM 2.0 para instalar Windows 11 como requisito, independientemente del hardware que se posea y el cual puede cumplir con los requerimientos. Es decir, si tu PC entra dentro de lo que pide Microsoft, pero no tiene TPM 2.0, no podrás instalar Windows 11.

TPM 2.0 es una tecnología de encriptación en la que se basa precisamente Intel PTT, con la salvedad de que la primera requiere de un chip físico instalado o soldado en la placa base del portátil o PC de escritorio, mientras que Intel PTT logra la misma función pero por software y mediante firmware actualizable por la compañía.

Por lo tanto, si nuestro portátil o PC no tiene un chip TPM 2.0 y tampoco tiene Intel TXT, los documentos técnicos decían que no era posible obtener Intel PTT y por lo tanto no hay instalación de Windows 11 posible. Pero hemos sabido directamente de boca del gigante azul un cambio que no habíamos visto en ningún DataSheet y que lo cambia todo.

Según nos comentó Intel y vemos reflejado en un documento técnico de TXT para este 2021, desde 2017 y las plataformas posteriores ha habido cambios en el MLE por la convergencia del nuevo Boot Guard y la propia TXT, por lo que ahora Intel PTT aunque depende de la CPU entabla y se apoya en MEI con el PCH de la placa base mediante TPG.

Esto no quiere decir que si cambiamos la CPU del equipo mantengamos el mismo cifrado que teníamos, más bien al contrario, la nueva CPU volverá a cifrar los datos. En definitiva y simplificando, desde 2017 y tras la salida de la octava generación de CPUs al mercado Intel dividió TXT y PTT como dos tecnologías independientes y complementarias, ya que cuando fue presentada con Haswell (solo algunos modelos) no era así.

Por lo tanto, este cambio afectó a los procesadores Core (importante este detalle, hay Celeron soportados de la serie 4000 y Pentium de la serie 5000) de octava generación en adelante y por eso los anteriores no están validados como tal. El problema es que Intel no especificó dicho cambio y solo dispuso la opción en BIOS (seleccionable por el fabricante y modelo de placa al gusto) dentro del apartado del PCH-FW (por norma general).

¿Por qué no se especifica esto en ningún documento técnico?

Intel-PTT-TXT

Por seguridad, de hecho, es realmente complicado (por no decir imposible) encontrar información en los DataSheet de Intel. Ni siquiera en la última versión de 2021 de Trusted Execution Technology podemos encontrar algo explicativo más allá de una FLAG dentro de TXT.SCRATCHPAD – ACM_POLICY_STATUS, donde Intel solo lo nombra de pasada como una opción a escoger para el tipo de TPM detectado por ACM. En ella la opción cero sería sin TPM, la uno dTPM 1.2, la opción dos está marcada como dTPM 2.0 y la opción tres lleva a Intel PTT.

El nivel de seguridad es tal que aparte de la declaración oficial de la compañía no hay forma de saber exactamente cómo funciona por motivos obvios:

Tecnología Intel Platform Trust (Intel PTT): la tecnología Intel Platform Trust (Intel PTT) ofrece las capacidades de dTPM 2.0. Intel PTT es una funcionalidad de plataforma para el almacenamiento de credenciales y la administración de claves que utilizan actualmente Windows 8 y Windows 10. Intel PTT es compatible con BitLocker para el cifrado del disco duro y es compatible con todos los requisitos de Microsoft para el firmware Trusted Platform Module (fTPM) 2.0.

Y ya. No esperéis encontrar nada más de que lo descrito en este artículo puesto que no hay más información y eso que nos hemos pateado 12 DataSheet siendo el último de nada menos que 181 páginas. Por eso la información aquí descrita es tan esclarecedora y por lo tanto, la lista de CPUs de Microsoft es válida. Esta lista también fue ampliada en su momento, puesto que ni siquiera ellos tenían esta información hasta que Intel no se la facilitó.

Recordemos que en su primera versión no aparecían procesadores Core de octava generación y muchos otros. Por último, solo aclarar de nuevo que si nuestro procesador figura en dicha lista no es necesario un chip TPM 2.0, salvo y solo en el caso de que Intel PTT no esté activado o no se pueda activar en BIOS/UEFI, cosa bastante extraña pero que algún caso se ha visto, como por ejemplo opciones ocultas o directamente inexistentes sin posibilidad de activación.

En estos casos muchos usuarios están editando las BIOS para intentar habilitar Intel PTT, ya que sus procesadores lo soportan y simplemente la opción no es mostrada porque el fabricante no ha querido. Es un método que necesita de conocimientos y paciencia, arriesgado en gran medida, pero que si logramos hacerlo nos puede ahorrar el comprar un equipo nuevo. En cualquier caso y lógicamente, no nos hacemos responsables de los daños que pudieran ocurrir si se recurre a estas prácticas.

Para finalizar, dar gracias a Agostino Melillo, el cual fue quien respondió a nuestras preguntas en Intel y con el que mantuve una interesante charla sobre todo este tema, donde además nos facilitó la documentación pertinente y permitida actualizada a enero de este 2021. Al mismo tiempo agradecer a Paula Mantiñán sus respuestas técnicas y enlace con Intel y Agostino.

3 Comentarios