Elige sabiamente: qué TPM debe tener una placa base para Windows 11

Son muchas las dudas que han surgido sobre TPM (Trusted Platform Module) desde que Microsoft anunciara su obligatoriedad para poder instalar Windows 11, y como tal también son muchas las explicaciones y definiciones necesarias para aclarar conceptos al respecto. En el día de hoy vamos a contaros cuáles son las maneras de integrar TPM en una placa base de PC, tanto de manera externa como integrada, para garantizar su compatibilidad con el nuevo sistema operativo de Microsoft.

TPM son las siglas de Trusted Platform Module, o módulo de plataforma de confianza en castellano, y es el nombre de la especificación que detalla un criptoprocesador seguro que almacena claves de cifrado con las que proteger la información; dicho de otra manera, estamos hablando de un componente específico para la seguridad y más concretamente para el cifrado de los datos, en este caso refiriéndonos a un PC.

Así se implementa TPM en una placa base de PC

Conector TPM

Tal y como se menciona en su definición, el módulo de plataforma de confianza es un módulo, y a pesar de que esta palabra nos puede sugerir que estamos tratando un elemento físico no es así necesariamente, ya que como te vamos a explicar a continuación podemos incluso virtualizarlo si así lo queremos (por lo que, efectivamente, podrías «engañar» al sistema operativo para hacerle pensar que tienes un módulo físico instalado y que así puedas instalar Windows 11).

En todo caso, la esencia base del TPM es que estamos hablando de un chip físico, y más concretamente un criptoprocesador encargado ya no solo de almacenar sino también de gestionar las claves de cifrado que se pueden utilizar, por ejemplo, para cifrar la información del disco duro pero también para almacenar contraseñas en un espacio seguro y aislado del resto. Y es que esta es una de sus características fundamentales: el aislamiento. Solo la CPU debe poder acceder al TPM mediante un canal seguro, de manera que ninguna interacción externa que no sea la CPU pueda hacerse con estas claves seguras.

Para ello, podemos encontrar un total de cinco tipos de implementaciones de TPM en una placa base de PC, que son las siguientes.

Con un módulo TPM dedicado conectado a las placas base

TPM en placa base

No hace falta irnos a las placas base más modernas (ya que TPM es algo que, de hecho, existe desde 2006) para poder tener compatibilidad con TPM, ya que muchas de ellas incorporan un conector serigrafiado como «TPM», generalmente ubicado en la zona inferior, cerca de los conectores internos USB, o en el extremo derecho del PCB, cerca del conector ATX de 24 pines para la fuente de alimentación.

En todo caso, el módulo TPM dedicado es precisamente eso, un módulo que incorpora el chip criptográfico y que podemos conectar y desconectar de las placas base a voluntad. Estos dispositivos se pueden comprar en tiendas de electrónica (e incluso en Amazon) por relativamente poco dinero (su precio suele rondar los 15-20 euros aproximadamente) y simplemente conectándolo a la placa base ya tendrás lo necesario para que funcione Windows 11, después claro está de habilitar su funcionamiento.

Estos chips son semiconductores pero con la peculiaridad de que están integrados en un paquete a prueba de manipulaciones, así que en teoría son el método más seguro que hay. Además, las rutinas implementadas en su hardware son más resistentes a los errores en comparación con otros métodos, por lo que también nos dan cierta garantía de buen funcionamiento y longevidad.

Eso sí, no te confíes porque no todos los módulos TPM funcionan en todas las placas base. Te recomendamos primero leer el manual de instrucciones de tu placa para cerciorarte, pero en todo caso debes saber que el Trusted Computing Group solo certifica como válidos los chips (que no los módulos, lo que significa que por ejemplo puedes encontrarte con un módulo fabricado por ASRock pero con chip Infineon) fabricados por Infineon, Novoton o STMicroelectronics, AMD, Atmel, Broadcom, IBM, Intel, Lenovo, National Semiconductor, Nationz, Qualcomm, Rockchip, SMC, Samsung, Sinosun, Texas Instruments o Winbond.

Con TPM integrado en un chip en las propias placas base

TPM Chip

Algunas placas base integran directamente TPM en un chip soldado a su propio PCB, de manera que en vez de tener un conector TPM ya tienen el chip sin que tengamos que preocuparnos de nada. Esto se conoce como TPM integrado, y podemos encontrarlo como parte de otro chip (como por ejemplo, dentro del chipset de las placas base), motivo por el que en este caso no es necesario que el fabricante se preocupe en implementar medidas contra la manipulación.

Presentan el mismo nivel de seguridad que los módulos pero tienen la ventaja de que, al contrario que los módulos físicos, no corremos el riesgo de perderlos, golpearlos o que se estropeen por el uso, por lo que esta integración podríamos decir que es sin duda la mejor de cara al usuario.

Mediante firmware

Activar TPM

Técnicamente, podríamos decir que esta manera de implementar TPM en una placa base es por software, pero también técnicamente tendremos que pasar por aquí para hacer que funcionen los módulos físicos; por defecto las placas base traen TPM desactivado, así que si instalas un módulo y no funciona es porque deberás ir a la BIOS de tu placa base y activarlo a mano. Generalmente lo encontrarás en Opciones avanzadas o en el apartado de Seguridad tanto si tienes BIOS como UEFI.

En cualquier caso, la implementación mediante firmware se conoce como fTPM y son soluciones integradas generalmente en la UEFI que se ejecutan dentro del anillo de confianza de máximo nivel del procesador. Es el método desde luego más barato de implementar para el fabricante, y de hecho tanto Intel como AMD o Qualcomm lo han utilizado mucho en el pasado, aunque no es tan seguro como los métodos anteriores.

TPM virtualizado

vTPM

Este es un tipo de TPM bastante específico, conocido como vTPM o TPM por Hipervisor. No vamos a adentrarnos mucho en esta implementación porque está pensada para entornos profesionales con máquinas virtuales (aunque a los que uséis el PC con máquinas virtuales os alegrará saber esto), pero para que lo entendáis en esencia se implementa TPM a nivel del hipervisor (sea a nivel de hardware, firmware o software) y éste es capaz de hacer de «servidor» para todas las máquinas virtuales que «cuelgan» de él con un simple driver. Su nivel de seguridad, eso sí, está al nivel del tipo por firmware.

TPM también puede funcionar por software en las placas base

TPM Software

También existe la posibilidad de que, incluso en placas base que no cuentan con ninguna manera de implementar TPM, éste se pueda ejecutar mediante software. Se trata de un emulador que se ejecuta sin más protección que la que tiene un programa normal (y estaría en el nivel más alejado de los anillos de confianza de la CPU) dentro del sistema operativo, y por lo tanto depende completamente del entorno en el que se ejecute.

Por lo tanto, este tipo de seguridad no es tal porque tiene las mismas vulnerabilidades que cualquier otro software e incluso a los propios errores del sistema operativo, así que en general no verás implementaciones de TPM por software en placas base ya que solo son útiles para fines de desarrollo (con todo, lo ponemos en la lista porque la posibilidad de implementarlo existe).

1 Comentario