Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

Windows 11 vereist geen TPM 2.0 - update

Voor de installatie van Windows 11 is TPM 2.0 niet vereist, ondanks dat Microsofts PC Health Check-app dat suggereert. In uitgebreide documentatie staat dat TPM 1.2 voldoet. Daarmee komen veel meer systemen in aanmerking voor het nieuwe besturingsyssteem.

Bij de introductie van Windows 11 donderdagavond leek het erop dat TPM 2.0 een vereiste is voor de upgrade naar het nieuwe besturingssysteem. Microsoft schrijft op de pagina met hardwarevereisten dat deze feature aanwezig moet zijn en ook de PC Health Check-app die Microsoft uitbracht, geeft aan dat een systeem geen upgrade naar Windows 11 kan krijgen als er geen TPM 2.0 aanwezig is.

In uitgebreidere documentatie van Microsoft staat dat de aanwezigheid van TPM 2.0 echter geen harde vereiste is. Windows 11 kan ook geïnstalleerd worden op systemen met TPM 1.2, maar er zal dan een waarschuwing getoond worden dat dit minder veilig is. TPM 2.0 werd eind 2017 geïntroduceerd en als dit vereist is, zouden oudere systemen dus buiten de boot vallen. Voor TPM 2.0 is bijvoorbeeld UEFI vereist.

TPM 1.2 bestaat al veel langer en wordt door vrijwel alle systemen ondersteund. De trusted platform module kan aanwezig zijn als een fysieke chip, maar dat hoeft niet het geval te zijn. Veel moederborden ondersteunen fTPM in het bios; dat is een firmware-implementatie van de techniek. AMD's marketingdirecteur merkt op dat de meeste AMD-moederborden minimaal fTPM 1.2 ondersteunen. Mogelijk moeten gebruikers de functie wel eerst activeren in het bios.

TPM, ofwel trusted platform module, is een beveiligingstechniek in de vorm van een losse cryptoprocessor, die gebruikt wordt om cryptrografische sleutels te genereren en op te slaan. Microsoft gebruikt dit in Windows onder andere voor BitLocker.

Microsoft heeft ook lijsten met ondersteunde processors op zijn website gezet. Daarop staan vrijwel alle AMD- en Intel-processors van de afgelopen jaren, maar de Ryzen 1000-serie ontbreekt. Ook Intel-processors van voor de achtste generatie staan niet op de lijst. Het is echter niet vereist om een processor te gebruiken die op de lijst staat. Microsoft beveelt dat wel aan, maar de 'harde vloer' is dat een cpu minimaal twee cores moet hebben en een kloksnelheid van 1GHz of hoger.

Update, zaterdag: Windows 11 vereist wél TPM 2.0 en ook is een processor van de lijst met ondersteunde cpu's verplicht. Volgens Microsoft was de documentatie die aangaf dat TPM 1.2 voldoende is onjuist en die pagina is aangepast. Tweakers heeft een nieuw artikel gepubliceerd over de hardwarevereisten voor Windows 11.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Julian Huijbregts

Nieuwsredacteur

25-06-2021 • 07:56

308 Linkedin

Submitter: Eagle Creek

Reacties (308)

Wijzig sortering
Er kleeft wel een nadeel aan fTPM, zodra je de bios reset of update (wat meestal ook een reset inhoudt) wordt ook de fTPM gewist. Ik vermoed dat ze TPM willen gaan gebruiken omdat de Windows-schijf standaard encrypted zal zijn, die kan je dan niet meer benaderen. Dus als je vergeet je BitLocker keys op te slaan kan je alles opnieuw installeren. Dit voorkom je door een TPM 2.0 module van een tientje te kopen.
Het is by design dat bitlocker in recovery mode gaat bij grotere onverwachte hardware aanpassingen. Dus voordat je een BIOS update doet altijd eerst bitlocker in suspend modus zetten

Wel heel irritant dat mijn MSI moederbord bij een update de TPM op disabled zet.
Als de bios update via windows update komt dan wordt bitlocker automagisch suspended. Ik weet dat de nieuwere Dell bios updates dit ook doen als je hem vanuit Windows uitvoert. Dan heb je dus geen issues, van andere merken weet ik het niet.
Dat is niet enkel bij fTPM zo, zelfs bij een hardwarematige implementatie dien je bitlocker uit te schakelen als je je BIOS gaat updaten anders heb je na de update je recovery key nodig.
Je moet bitlocker even op pauze zetten, subspend voor je de Bios update, uitschakelen is het niet echt.
Bitlocker key kun je opslaan in je microsoft account,

Zo kun je hem op elke pc recoveren die aan internet hangt,

Of anders het ouderwetse print op papier of save to USB
Gaat de EUFI bios dan op internet naar je microsoft account toe om die key op te halen?

Want windows kun je immers niet opstarten als je die key niet hebt.
Windows geeft een bitlocker-recoveryscherm waar je de key moet invoeren om je PC te unlocken. Vandaar dat je de key extern ergens moet invoeren. Als je een losse schijf versleuteld kan dit vgm unlocked worden via je MS account direct. Als het je startupschijf is kun je in je MS account op internet bij 'apparaten' je bitlocker key opzoeken.
Dit kan je terugvinden op de volgende pagina (nadat je bent ingelogd): https://onedrive.live.com/recoverykey
Tot je een foto op je Onedrive opslaat die, naar de mening van Microsoft, niet door de beugel kan. Dan wordt je Microsoft account geblokkeerd. Als je daar dan ook je bitlocker key had staan, dan ben je niet alleen je online data, maar ook alle data op je harddisk kwijt. Dit is geen hypothetische situatie, het internet staat vol met mensen die hun Microsoft account geblokkeerd zien en niet eens van Microsoft te horen krijgen waarom dat is. Ook op het Tweakers forum zijn deze situaties te vinden.

Grappig is dat. Hardware wordt steeds beter en betrouwbaarder, backuppen steeds meer gemeengoed, maar toch blijven gebruikers zoeken naar nieuwe manieren om hun data in gevaar te brengen...

Ontopic. Mijn TPM staat uit en dat blijft zo. Ik hoef geen 'beveiliging' of versleuteling van Microsoft. Als ik daardoor geen Windows 11 kan gebruiken, dan blijf ik wel op Windows 10. En ik ben niet de enige.
Goed idee, ik heb trouwens geen idee waarover dat versleutelen, bitlocker gaat. Ben maar een eenvoudige gebruiker. Thuis, mail, internet, games. F-secure. Lijkt me goed genoeg. W10 is wat mij betreft voldoende.
Schijfversleuteling is absoluut nuttig en je hoeft je bitlocker key niet in de cloud op te slaan, dat zou ik sowieso niet aanraden zelfs. ja is wel makkelijk maar niet safe.
Ik zie dat een TPM module voor de aorus elite x570 zo'n 180 euro kost.
Ik hou het wel bij fTPM

[Reactie gewijzigd door sanscorp op 25 juni 2021 09:26]

Eeeeuhm, ik weet niet waar jij zit te kijken maar: Gigabyte TPM

Op de site van Alternate staat enkel FM2 maar die van Gigabyte: Gigabyte specs geeft aan dat AM4 ondersteund is.

[Reactie gewijzigd door magatsu op 25 juni 2021 09:51]

Had even vluchtig gekeken. Maar als deze de AM4 ook ondersteund is er niets aan de hand.
Voor Gigabyte Aorus X570 moederboarden is de volgende dedicated TPM module beschikbaar:
https://tweakers.net/pric.../gigabyte-gc-tpm20_s.html

[Reactie gewijzigd door Vipe op 25 juni 2021 10:26]

Daar hebben we een backup voor :) Ik heb Macrium images van al mijn machines. Al is het alleen maar voor de "he bah mijn SSD is overleden" situatie.
TPM module voor in je laptop? Hoe sluit ik dat aan?
In de meeste enigszins moderne laptops zitten die al ingebouwd, scheelt weer.
Koop maar een andere dus.
Ik vermoed dat ze TPM willen gaan gebruiken omdat de Windows-schijf standaard encrypted zal zijn, die kan je dan niet meer benaderen.
Ik hoop dat hij externe schijven dan niet gaat encrypten. Anders moet je steeds je TPM-module overzetten van de ene naar de andere PC.
kan ik op dit systeem ook een TPM 2.0 module aanbrengen?

Intel core i7 4790 @ 3.60GHz Haswell 22nm Technology
RAM 16,0GB Dual-channel DDR3 @ 798MHz (9-9-9-24)
Motherboard Gigabyte Technology co. Ltd. Z87P-D3 (socket O) rev 1.x

Alvast bedankt voor je reactie.

Mvg,
HJ

deze dus: https://www.gigabyte.com/Motherboard/GA-Z87P-D3-rev-1x/sp#sp

[Reactie gewijzigd door hjb012 op 6 juli 2021 16:50]

Zo te zien is er geen TPM header op het moederbord aanwezig, dus ik vrees dat het geen mogelijkheid is. Tevens ondersteunt de BIOS ook geen secure boot, dat is een vereiste. De processor gaat ook niet meer ondersteund worden, ik vrees dat het upgraden wordt.
Wil je controleren of je systeem TPM heeft?

1) Wintoets+R
2) typ: 'tpm.msc'
3) Als er een versienummer wordt getoond, heb je TPM
En om daarop toe te voegen; als er niks staat kan je nog steeds misschien TPM hebben, maar dan heb je het nog niet aanstaan. Kijk in je BIOS-instellingen of je TPM aanstaat. Bij de meeste machines die direct van fabrikanten zoals HP, Dell, Lenovo, enz. hebben TPM meestal standaard aanstaan. Bij eigen builds moet je soms TPM handmatig aanstaan en nagaan of je moederbord model TPM heeft, meestal staat dit al bij de specificatie lijst. Ik heb gisteren dit ook even opgezocht en was er zo achter gekomen dat mijn moederbord TPM had (wat misschien vanzelfsprekend is), maar dat ik het niet aan had staan. Toen ben ik even door mijn BIOS-instellingen gegaan en heb het daar handmatig aan gezet. En ta da, ik kon Windows 11 uitvoeren.
Dan bedoel je denk ik geen fysieke TPM, maar een geemuleerde variant? Door gebruik van Intel Platform Trust Technology en AMD fTPM.
Ik weet nog wel in de vroege dagen van Intune met machines waar Bitlocker de hele tijd over z'n zuiger ging, bij iedere update waar de TPM moest worden gepauzeerd. Dit levert een bitlocker scherm op waarbij de gebruiker een zeer lange cijferreeks moet invoeren om de disk te unlocken. Dit leek random voor mij als gebruiker en beheerder, met fysieke TPM's was dit euvel er amper.

Ik draai nu al een paar maanden met AMD fTPM en op de installatie na (CSM moest uit, Secure Boot aan etc.), lijkt het vrij stabiel op de beruchte updates met pauses van TPM na. Of ik dit met mijn privé bak ook wil weet ik nog niet, eerst maar eens kijken of ergens een fysieke TPM en header op m'n mobo gevonden kan worden :+.
Wel erg prettig als we de header ook op het gros van de consumenten borden kunnen gaan vinden, daar met fysieke tpm's bij ons in ieder geval veel minder gezeik oplevert.

[Reactie gewijzigd door Lampiz op 25 juni 2021 20:02]

Toevallig gister mee bezig geweest, en voor 9 euro een module voor op m'n Asrock besteld bij Alternate.
Moet de module hetzelfde merk zijn als je moederbord? Ik zie in de pricewatch dat de grote moederbord merken allemaal een eigen moduletje aanbieden.
Niet per ce, maar de merken hebben veelal verschillende connectors. Hierdoor is een tpm module van het zelfde merk als je moederbord kopen wel de makkelijkste manier om te weten dat het compatibele is.
En zelfs dan hebben de meeste Intel en AMD CPUs tegenwoordig firmware TPM. Voor Intel heet het PTT, voor AMD heet het (SPS) fTPM.
Dit probeerde ik, maar dan krijg ik een (voor mij) rare foutmelding: Secure boot can be enabled when the System is in user mode. Restart operation after installing platform key. Als ik dit ga Googelen . .dan lig ik er af. Allemaal opmerkingen over key's key, Bitlocker (ken ik van mijn werk laptop, was ik geregeld NIET blij mee). Is in begrijpelijke taal uit te leggen wat TPM doet, en wat die 'platform' key is.

Ik heb een AMD Ryzen 5 2600 processor, en een Asrock moederbord

[Reactie gewijzigd door Alex53 op 28 juni 2021 06:26]

Voor Linux: dmesg | grep -i tpm

Mogelijk dat het niet aan staat in je moederbord, maar de meeste computers van de afgelopen 10 jaar hebben zo'n chip.
Mogelijk dat het niet aan staat in je moederbord, maar de meeste computers van de afgelopen 10 jaar hebben zo'n chip.
Dat is niet waar. Ik heb meerdere systemen bekeken van tussen de 4 en 8 jaar oud, vrijwel geen enkele heeft standaard een TPM, enkele een TPM header om een module op aan te sluiten.
Nu ben je met een wat recenter systeem met 2.0 ondersteuning vaak wel voor 1-2 tientjes klaar bij een Nederlandse webwinkel

Alleen als je systeem wat meer op leeftijd(~8jaar) is het nog verdomd lastig/onmogelijk om zo'n ding nog bij een webshop te vinden. Heb toevallig eens voor mijn MSI Z87-G45 uit 2013 gekeken, afgezien van het feit dat deze alleen 1.2 chips ondersteund is deze proprietary module van MSI nergens meer te krijgen buiten obscure Ebay listings..

[Reactie gewijzigd door !mark op 25 juni 2021 11:22]

Precies, gisteren ook zitten doen voor mijn MSI Tomahawk Z170A board.

Hopelijk ziet MSI er weer brood in om nog een batch te laten maken nu.
Meestal zit de TPM gewoon in de cpu, is helemaal geen losse chip voor nodig.
Geen.. Damn Zo oud is het ding toch niet :)
Zoals anderen ook zeggen, het zou kunnen dat het gewoon niet aan staat in je BIOS
Je moet dit wel doen vanuit een account met adminstrator rechten. Zoals elke goede tweaker doe je je dagenlijke surf gedrag natuurlijk niet van een account met deze rechten ;-)
Ik zou ze niet graag de kost geven.
Ik heb niks gezegd

[Reactie gewijzigd door Animalcommencal op 25 juni 2021 08:43]

Kan het kloppen dat tie ook geen versie aangeeft, als je hem niet aan hebt staan.
...3) Als er een versienummer wordt getoond, heb je TPM
Alleen als je admin-rechten hebt.
Dat had @jobvr op 25 juni om 09:12 al toegevoegd als reactie.
Dat zag ik vrijwel direct daarna
@Xtuv de pagina van Microsoft is net geüpdate en dit bleek een fout te zijn. Er staat nu dat TPM 2.0 wel degelijk vereist is, en dit staat ook zo in de minimum requirements spec (PDF). Er staat nu een note onder het lijstje met requirements:
This article has been updated to correct the guidance around the TPM requirements for Windows 11. For more information, see the Windows 11 Specifications.
Wellicht goed om artikel een update te geven :)
Ik zag het ja. Wat een saga... 8)7 Ik maak een nieuw artikel en zet hier een update bij.
Dat zag ik ook idd
Veel mensen vergeten dat windows 10 nog updates krijgt tot 2025. De pc's die dan niet meer aan de minimale systeemvereisten voldoen, zijn dan 15 jaar oud!
Winddows 10 kwam officieel uit in 2015. Hoe kan het dan 15 jaar oud zijn als 2025 arriveert?

10 Jaar klopt dan beter. Dat er 15 jaar oude computers zijn die nog met de laatste versie van WIndows 10 overweg kunnen geloof ik wel.

Heb zelf 2 desktops (AMD) en een laptop. Geen enkel systeem heeft TPM aan boord (volgens tpm.msc).

Windows 11 mag dan als gratis update worden aangeboden, voor mij zit er stiekum toch een behoorlijke kostenpost aan verbonden. Indrukwekkend genoeg om Windows 11 maar over te slaan. Geld groeit me niet op de rug en met mijn huidige lasten moeten de computers nog een paar jaar mee.

Nou ja, mijn laptop loopt al op Linux en bevalt me prima.
Goed lezen. Het gaat om dat non- TPM systemen waarschijnlijk van voor 2010 zijn
Ik heb verschillende mainbords van 2011-2014 en daar zit geen firmware TPM in voor zover ik kan zien.
Ja lekkere research doet Tweakers tegenwoordig, en zich dan later verschuilen dat ze woorden gebruiken als waarschijnlijk en ongeveer, en doe er een kuub zout bij. Als ze even hadden gezocht dan wisten ze dat de officieele release van TPM 2.0 van 9 april 2014 is en dus minder oud dan beweerd. Er zijn dus geen moederborden geproduceerd voor deze datum met TPM 2.0 of ze zijn gemaakt door doc. Brown van Back to the Future. source: https://trustedcomputingg...platform-device-security/

Voor de mensen die denken dat de PTT en fTPM enkel een Bios update is helaas ook hier moet de hardware wel in de CPU zitten. Bij intel kan je op ark.intel.com netjes nalezen dat de oudste chips die dit hebben enkele modellen zijn van Haswell generatie en Bay Trail atom's. Check voor deze generatie ark.intel.com welke het wel en niet hebben. Vanaf de 6e generatie hebben alle intel CPU's PTT. AMD heeft fTPM pas toegevoegd bij release van AM4, en de release van AM4 was in september van 2016.

[Reactie gewijzigd door Leon Straathof op 27 juni 2021 19:56]

Ja klopt TPM 1.1B is van 2003, TPM 1.2 is van 2009. En TPM 2.0 van 2014. Echter TPM 1.1B en TPM 1.2 zijn beide niet geschikt voor Windows 11. Bovendien waren er veel minder moederborden die daadwerkelijk TPM 1.1B of 1.2 hadden of een header om de module toe te voegen.

De reden dat Microsoft niets ziet in de eerdere versies van TPM is ook wel begrijpelijk. Het gaat ze om een stukje security en aangezien tot 1.2 enkel SHA1 en RSA verplicht was is dit anno 2021 niet echt een nuttige toevoeging meer.
De kans is vrij groot dat je bij de AMD desktops (als dit Ryzen is) je gewoon de fTPM nog uit hebt staan in de bios. Deze zal je dan even moeten aanzetten.

Mocht dat niet zo zijn, dan je vaak voor +-10 euro alsnog een TPM chip kopen en deze installeren. In veel gevallen is die kostenpost dus helemaal niet zo hoog :)

[Reactie gewijzigd door Dennism op 25 juni 2021 11:31]

Ik denkt dat ie doelt op de leeftijd van zijn pc, die dan niet meer wordt ondersteund door windows 10.
Het kan ook zijn dat de TPM in de BIOS is uitgeschakeld dan is ie ook niet aanwezig in de software van windows.

[Reactie gewijzigd door trisje op 25 juni 2021 12:42]

Nou, mijn Ryzen 5 1600 uit 2017 staat er ook niet bij. Die kan op het moment nog prima meekomen. Tegen 2025 zou die acht jaar oud zijn, dus bij lange na geen 15 jaar. Dan heb ik mijn pc wel weer geüpgraded, maar toch jammer dat op dit moment een vier jaar oude processor niet meer ondersteund wordt.
Redelijk grote kans dat het wel gaat werken. Die CPU requirements op de website van ms is eerder voor pc leveranciers, ryzen support tpm 1.2
Helaas heb je minimaal TPM2.0 nodig.
mijn gewone pc stamt nog uit 2011 met SSD, intel i5 2500k P8Z68-V PRO zonder TPM, doet het nog prima voor waar ik hem voor gebruik, browsen, netflix, word, email. zelf foto bewerking werkt nog prima, al zijn er natuurijk snellere options heden te dagen. maar zie voorals nog geen reden om dit te vernieuwen. misschien in 2025 dan maar. dus dan 14 jaar. Al ben ik er van overtuigt dat you CPU het gewoon voldoet met een moederbord dat TPM ondersteunt.
👍 ik gebruik mn 2500k met 16gb mem zelfs voor moderne games, met een 2dehands 570rx kaart. In het dagelijks gebruik met Office etc vind ik m zelfs sneller dan m’n nieuwe Dell laptop van t werk.
Tegen 2025 moet ie nu dus echt t veld gaan ruimen…
Veel mensen vergeten dat windows 10 nog updates krijgt tot 2025. De pc's die dan niet meer aan de minimale systeemvereisten voldoen, zijn dan 15 jaar oud!
Dat is 10 jaar.

Verder heeft Windows 10 Enterprise LTSC 2019 ondersteuning tot eind 2028.
Neen, dat is Windows 10. Tpm 1.2 bestaat sinds 2011, dus eigenlijk 14 jaar. Ltsc is enkel supported in enterprise omgevingen.
Neen, dat is Windows 10. Tpm 1.2 bestaat sinds 2011, dus eigenlijk 14 jaar.
Onwaar.
The current version of the TPM specification is 1.2 Revision 94, published on March 29 2006
En dat was mogelijk niet eens de eerste revisie. Verder werkt Windows al native met de TPM sinds Vista.
Ltsc is enkel supported in enterprise omgevingen.
Kritieke en security updates via WSUS zullen gewoon binnen blijven komen, enterprise omgeving of niet.

Ik zou je adviseren om je wat meer in te lezen. De TPM is echt niet zo eng als dat je denkt. Onder Linux is er zelfs open source ondersteuning voor. Verder kan je een TPM zodanig gebruiken dat het enkel iets toe kan voegen aan je beveiliging, zonder afbreuk te kunnen doen.

[Reactie gewijzigd door The Zep Man op 25 juni 2021 12:42]

Ik heb tpm al een tijdje actief onder w10, dus ik heb er weinig issues mee.

Als je een ltsc installatie hebt in een thuis omgeving dan is die sowieso niet legaal verkregen.
Als je een ltsc installatie hebt in een thuis omgeving dan is die sowieso niet legaal verkregen.
Aanname. Mogelijk heb ik een licentie via het werk, voor het werk, in een thuisomgevingslab. Wie weet? :P

Verder boeit het Microsoft niets dat een consument een andere editie van Windows gebruikt buiten de licentie om. Microsoft boeit het enkel als Windows illegaal verkocht wordt, of als organisaties Windows illegaal gebruiken.

[Reactie gewijzigd door The Zep Man op 25 juni 2021 15:19]

Dat klopt wel maar in de praktijk voldoet mijn oude socket 1336 systeem nog prima voor wat ik er mee doe. Ik speel enkel oudere games en verder is het voor office werk, wat fotobewerking en lichte videobewerking meer dan goed genoeg.

Natuurlijk snap ik wel dat oude hardware niet eeuwig ondersteund kan worden maar ik zou het fijner gevonden hebben als men de keuze voor encryptie via bitlocker aan de gebruiker zou laten, al dan niet na een dikke vette waarschuwing.
Ik heb er nog een 2600K inzitten en deze cpu is nog steeds sneller dan alles wat er in een Surface Pro 7 wordt geleverd, en dan leg maar uit waarom ik mijn systeem zou moeten vervangen als ik niet doe gamen.

Vind de kop van dit artikel ook een beetje slecht, ik dacht eerst tof we kunnen wel Windows 11 draaien en dan blijkt dat je geen TPM 2.0 maar in 1.2 nodig hebt.
Mijn huidige PC is uit 2012... Heel lang voelde dat als recent, maar nu besef ik me dat het al 9 jaar geleden is!

Ah, waar ik trouwens echt geen zin in heb (alvast) is dat we op het werk weer die hele migratie naar een nieuwe Windows mogen gaan doen. Arg arg arg!!! De laatste Windows 7 machines zijn net de afgelopen maanden gemigreerd of van het netwerk gehaald en nu moeten we alweer gaan nadenken over Windows 11!? Ik hoop maar dat de stap van 10 naar 11 een stuk minder complex is dan die van 7 naar 10.
Ik geloof dat ze al hebben gezegd dat het net als een nieuwe versie van windows 10 gaat. dat gaat ook steeds soepeler.
Ik ben benieuwd. Windows 10 draait zelfs soepel op een Core 2 Quad Q6600 systeem uit 2007 (voorzien van een SSD en nieuwe videokaart om het werkbaar te houden). Tenzij Microsoft het dicht gaat timmeren of bijzonder nieuwe CPU instructies vereist, denk ik dat Windows 11 zodanig gemodificeerd gaat worden door de community dat het op alles zal draaien waar Windows 10 nu op draait. Met of zonder TPM.

[Reactie gewijzigd door The Zep Man op 25 juni 2021 08:01]

Dat is wel te hopen.
Heb nog verschillen systemen staan met Intel core 4000 cpu's. Die hebben geen tpm op het moeder bord.
Die voldoen voorlopig nog prima. Ga die echt niet vervangen omdat windows 11 eigenlijk gewoon een update van 10 is maar dusdanige eisen stelt dat je deze oude systemen niet meer kunt gebruiken.
Dat is geen technische beperking maar een marketing verhaal verkopen als een technische beperking.

Dan maar geen windows 11.
Denk dat je het andersom moet zien.
Dan maar geen basisbeveiliging. Microsoft heeft hier gelijk om minimale eisen te stellen aan de fysieke beveiliging.
Gelukkig wordt Windows 10 nog tot 2025 ondersteund. :)
Basis beveiliging is een wachtwoord instellen. Deze TPM onzin is voor Jan en alleman totaal overbodig
Dat is inderdaad al het geval door bestanden van de iso te vervangen door bestanden van een Windows 10 installatie iso. https://youtu.be/5rDJyMXbPdE

[Reactie gewijzigd door Bliksem B op 25 juni 2021 08:33]

Ik hoop ook dat die TPM vereiste op een of andere manier soepeler wordt.
Heb hier een Core 2 Duo E6600 uit 2006 (HTPC) en een HP Pavilion X2 uit 2016 lopen met TPM 1.16 (handig klein ding om Spotify te bedienen en wat te surfen en te mailen) en die draaien heel vlotjes Windows 10, en het zou heel jammer zijn moesten die binnen afzienbare tijd geen ondersteuning meer krijgen wegens op Win 10...
Ik dacht dat ik achterliep met mijn 2600K :+ Als het werkt, dan werkt het. Desnoods gooi ik er een hogere overclock tegenaan, maar ik voorzie dat ik dit beestje ga draaien tot ie het opgeeft.
Vind de tool om compatibiliteit te checken ook behoorlijk ondoorzichtig. Stelt alleen dat "This PC can't run Windows 11", zonder enige verdere context welke van de eisen niet gehaald zou moeten zijn. Stelt mensen niet bepaald in staat om hun configuratie te wijzigen danwel upgraden om dit mogelijk te maken.
Dat vind ik voor bijna alle onderdelen van Windows (en MS-producten in het algemeen) dat de berichtgeving te wensen over laat.
Zoals bijv. bij bepaalde upgrades een zwart scherm tonen en niet vertellen dat ie iets aan het doen is of de kryptische boodschappen als er iets fout gaat. Bij alles op dat gebied zie je nog steeds de hand van de nerdische techneut die zich niet kan voorstellen dat zo iets van belang kan zijn (of zou het opzet zijn van MS om ons zo dom mogelijk te houden?)
Ja dat is wel zo, maar vaak kan je het ergens in een log of temp map wel vinden. Een gewone gebruiker heeft niks aan de informatie denk ik.

Ben het wel met je eens hoor, maar ik denk dat ze het met opzet doen om de scheiding tussen een doorsnee gebruiker en gevorderde gebruikers zwart-wit te houden.
Hoe moeilijk is het om even een uitklapmenu erin te frotten met wat meer info?
(of zou het opzet zijn van MS om ons zo dom mogelijk te houden?)
Dat is grotendeels inderdaad opzet, omdat de meeste mensen er toch niks mee kunnen. Waar je dit met name ziet is dat je steeds minder configuratie mogelijkheden krijgt in windows. Bestaande opties in de GUI in Win7 worden er in Win10 steeds meer uit gesloopt. Kijk maar eens naar je advanced power settings.

Ik kan dat enigzins begrijpen. In de meeste gevallen zijn de standaard settings prima en alles wat een normale gebruiker er aan zit te rommelen maakt het alleen maar slechter.
Hoeveel internet paginas zijn er wel niet met tweaks voor windows die in het beste geval niets doen, maar vaak negatief zijn?

Helaas betekent dat dat een poweruser dus ook veel minder instellingen kan doen die wel nuttig zijn.
Je wordt een meer naar Powershell gedwongen lijkt het wel. Ik heb er niet zo'n moeite mee dat Microsoft de wat diepergaande instellingen verstopt als ze de instellingen standaard wat beter zouden zetten. Bijvoorbeeld Storage Sense eens per maand, 'what to do when closing the lid' (waarom hebben ze die zo verschrikkelijk ver weggestopt!?) en dat soort dingen.
Een aantal van die dingen zitten niet eens in Powershell.
De nerdische techneut kan prima uit de voeten met een linux achtige install (waar de hele log letterlijk over je scherm flitst)

Het zijn vaak de UI/UX goeroes die ons vertellen dat de gemiddelde gebruiker daar niks mee kan, dus laten grote vendors het weg. Opzich prima, maar het zou mooi zijn als met bijvoorbeeld een toetsencombinatie een power-user mode geactiveerd kon worden, waarmee de extra details wel inzichtelijk zijn.
De gemiddelde gebruiker kan dan wel niks met die log die over je scherm flitst, maar je ziet in ieder geval wel dat het systeem bezig is.
Het lijkt dan ook minder lang te duren.

Maar Microsoft lijkt liever te hebben dat je ondertussen koffie gaat zetten of zo.
Tool zelf niet gedraaid hoor maar is er ook niet in een Temp folder een logfile te vinden waar mogelijk meer in staat?
Eens, ik kan me maar heel moeilijk voorstellen dat ik met deze pc in mijn inventaris geen Windows 11 zou kunnen draaien. Er wordt niets gezegd over op welk onderdeel het mis zou gaan.

En de eisenlijst staat nog wel 'Geschikt voor UEFI Secure Boot'. Mogelijk moet ik daarvoor nog wat zaken aanpassen op het moederbord. Maar geef dat dan ook gewoon aan in plaats van me meteen te adviseren een nieuwe computer te kopen. Deze is (voor mijn gevoel althans) net nieuw.

Edit:
Lijkt er na wat zoeken op dat het moederbord niet standaard TPM heeft, maar wel eenaansluiting her voor. Mogelijk toch een upgradeje toevoegen dus. Edit 2: De processor heeft het ook. Toch een kwestie van inschakelen mogelijk :+ Edit 3: En gelukt, 'This PC can run Windows 11'!

[Reactie gewijzigd door Melkunie op 25 juni 2021 08:42]

De tool gaf mij duidelijk aan dat ik geen TPM 2.0 had in mijn pc.
Op mijn laptop schoot ie zo door.
Detecteert die Windows versie niet eens correct, zegt dat ik de '2009' versie heb ipv de '21H1'. Lekker betrouwbaar dus..
Ik heb die tool ook geprobeerd, je krijgt totaal niet te zien wat er ontbreekt. Kortom een baggertool.
Misschien een controversiële mening, maar ik ben blij dat Microsoft de TPM verplicht stelt. Iedere telefoon band e afgelopen acht tot negen jaar heeft zo'n chip al, net als de meeste laptops. Encryptie met een TPM maakt je computer makkelijk veel veiliger voor leken. Het maakt het mogelijk encryptie transparant toe te voegen zonder daarvoor lange wachtwoordsleutels in te moeten voeren of via group policy de bitlockerbeveiligingsvereisten omlaag bij te stellen.

Ja, wij Tweakers draaien vast allemaal systemen met detached LUKS headers of VeraCrypt, maar normale mensen hebben geen idee wat dat betekent. En ja, een TPM is proprietary spul met binary blobs waar je geen inzicht in hebt, maar met die mindset heb je op Windows sowieso niks te zoeken. Je WiFi, Bluetooth en geluidskaart werken niet anders. Blijf vooral Linux gebruiken, blijf ver weg van secure boot en start je game-OS in een virtual machine zoals je nu wellicht al doet, dat neemt niemand van je weg.

Moederbordfabrikanten hebben voor zelfs dure "gaming"-moederborden zulke beveiligingsfeatures wegbespaard omdat ze een extra chipje nodig hebben. Mijn moederbord kan mijn enkele ethernetpoort teamen (?), de knipperconfiguratie van mijn ethernetpoort aanpassen, mijn RAM "auto-overclocken" (werkt echt voor geen meter), mijn processor "optimaliseren" (weet nog steeds niet wat dat zou moeten doen) maar voor veilige versleuteling moet ik bijbetalen. Tegelijkertijd heeft een 200 euro Chromebook de nieuwste standaard van TPM's ingebouwd zitten.

We hadden allemaal al lang zo'n TPM moeten hebben, en nu Windows 11 het vereist, wordt de nodige hardware hopelijk in de toekomst meegeleverd.
Ik ben ook tweaker en ik werk in security. Maar op mijn desktop PC wil ik helemaal geen TPM nodig hebben. Ik gebruik mijn Windows PC alleen om te gamen dus ik wil die helemaal niet gecrypt hebben, dat kost alleen extra performance. En fysieke toegang is bij mijn PC geen probleem (bovendien staat er toch niks gevoeligs op). En gamen in een VM is slecht voor de performance.

Voor aanloggen en mijn paswoord manager gebruik ik een yubikey, dat is nog veel prettiger dan een ingebouwde secure element.

Het probleem waar ik nu tegen aan ga lopen is dat mijn moederboard geen TPM heeft en ik ook nog niet wil upgraden. AM4 boards gaan gewoon lekker lang mee.

[Reactie gewijzigd door GekkePrutser op 25 juni 2021 11:46]

Het kost geen performance. Of denk je dat alles on the fly decrypt wordt als je het aanroept? Bitlocker is een container die je opent.
Ja natuurlijk wordt alles on the fly gedecrypt :) Anders werkt het toch niet? Met bitlocker is de data encrypted in rust, dus die moet gedecrypt worden om het in te lezen.

AES-NI versnelt wel wat, maar het versnelt alleen bepaalde onderdelen van de AES berekening. Niet het hele proces.

[Reactie gewijzigd door GekkePrutser op 25 juni 2021 11:58]

Gamen in een VM scheelt je misschien een frame of twee op de 150, maar het is niet alsof je alles op een virtuele GPU moet doen. PCIe-devices doorgeven aan VM's is nu al jaren een standaardfeature van processoren en moederborden.

De performance loss van encryptie is ook minimaal, je zult sneller aan de limiet van je schijf zitten ver voor je peformance loss krijgt. Misschien met een PCIe 4.0-SSD, maar ik ken zelf nog niemand gehoord die zo'n ding heeft gekocht. Zelfs dan trek ik hier zo'n 3.2GB/s sustained per core door AES heen, dus geef van je 16-core CPU een core of drie aan je storage en je hebt geen enkel probleem. Het is niet alsof games meer dan vier cores gebruiken.

De performance-impact van encryptie is in mijn ogen puur theoretisch.

Van wat ik in het artikel lees, zijn alleen borden voor de Ryzen 1000-serie getroffen door het tekort aan een TPM. Misschien dat jij er zo een hebt, AM4 gaat inderdaad heerlijk lang mee, maar er is een goede kans dat je de TPM kan aanzetten in je UEFI-settings.
Ze hadden het ook alleen voor nieuwe systemen verplicht kunnen stellen, bereik je richting fabrikanten en toekomstige hardware hetzelfde.

Alhoewel ik je onderbouwing kan volgen ben ik van mening dat het voor de vele bestaande systemen ook zonder TPMondersteuning alsnog veiliger is mee te kunnen naar Windows 11 dan op Windows 10 te blijven zitten. Alhoewel ik het nut van TPM zeker inzie is een compleet nieuw systeem kopen puur en alleen om die ondersteuning natuurlijk niet realistisch.

Nu zou ik in mijn oudere systeem (MSI Z87-G45 Gaming) technisch gezien een losse TPM chip kunnen plaatsen, alleen zijn die proprietary 1.2 (2.0 gaat met dit bord niet werken..) modules van MSI inmiddels nergens meer te koop. Wil dat tientje ansich wel uitgeven, maar dan moet het wel nog te krijgen zijn buiten vage Ebay listings :+
Ik zit in hetzelfde schuitje, MSI bied (bood?) in de VS hun TPM's aan maar nu is die ene Ebay-listing de enige plek om ze te krijgen. Misschien moet ik die maar kopen op de creditcard, dan kan ik altijd nog een chargeback aanvragen als het spul nep blijkt te zijn... Hierin ben ik wel teleurgesteld in MSI, de volgende keer zoek ik een beter moederbordmerk.

Als ze de TPM voor nieuwe systemen zouden verplichten, zal iedere computer de komende vijf jaar met Windows 10 komen. Fabrikanten zijn natuurlijk ook niet gek, en zolang W10 ondersteund zal worden, zullen ze dat op hun systemen installeren om die twee of drie euro te besparen.
je bedoelt dat je blij bent meer meer hardware lockouts en je niets meer mag doen aan je eigen pc.

als je u bios reset dan kan je ook je windows installatie disk boven halen.
nee danku

Ik update ook geregeld die biosen op het werk van onze servers (zeker nu met dell zijn bios bug)
als tpm vereist is voor u os wilt dat zeggen dat je een gebrickte server hebt.
Een TPM is een losse chip, die werkt op zich compleet los van je UEFI-configuratie. Als je een software-TPM op je moederbord hebt zal je de gegevens inderdaad kwijtraken bij het resetten, maar dat is dan ook niet bepaald een veilige TPM. Ik weet niet wat voor bug Dell met hun servers heeft, maar dat klinkt als een goede reden om boos te zijn op Dell, niet op Microsoft.

Je hoeft encryptie niet in te schakelen, maar de optie is wel goed om te hebben. Persoonlijk vind ik het van de zotte dat je op Windows moet bijbetalen voor Bitlocker terwijl de concurrentie al lang encryptie standaard aanzet.

Wil je het niet, dan zet je het spul uit. Gewoon een eigen password op de TPM zetten vanuit de UEFI, dan kan je OS er niks mee.
Ik hoop dat deze TPM vereiste gauw verdwijnt. Mijn Intel core i7-4770 (4c/8t) met 16 GB en 750 GB SSD draait Windows 10 zonder enige problemen. Load komt niet boven de 30% uit. Maar systemen uit die tijd hadden geen tpm chip, geen tpm header, geen ftpm.
Een 4770 staat niet op de compatible processor lijst.
Mijn i5 6300u in een HP elitebook 820 ook, niet, de rest voldoet aan alle eisen.
Ik hoop hetzelfde, maar uiteraard weet men bij Microsoft perfect wat Windows 11 zal opbrengen aan nieuwe licenties, en hoeveel gebruikers van Windows 10 wel kunnen upgraden.
Precies en anders blijft gewoon Windows 10 draaien en als daar geen support meer op geleverd wordt dan draait de PC maar mee in een botnet.
We moeten af van de gedachte dat we om de 5 jaren een nieuwe PC nodig hebben alleen omdat Microsoft dat vereist?
Als het oude beestje het nog goed doet dan blijft ie draaien!
Welk moederbord, zeker weten geen header? Mijn mobo uit 2012 heeft het wel. En de chip had ik nog van een c2d moederbord. TPM 1.2
Gigabyte GA-Z97X-SLI (rev. 1.2). Ik ga zo nog eens in de bios neuzen, maar vooralsnog niets gevonden helaas.

update: Ik kwam in de bios Intel TXT (Trusted Execution Technology) tegen, die stond uit. Heb ik aangezet, en driver in Windows 10 geïnstalleerd. Maar nog steeds geen tpm chip. Wat ik zo gauw lees over TXT is dat het afhankelijk is van TPM?

[Reactie gewijzigd door segil op 25 juni 2021 09:41]

ik draai ook nog op een z97 en ook ik mis deze functie in de bios, vanuitgaand dat er helaas geen tpm ondersteuning voor is.
Hier ook een heel mooi B85 bord met een i7-4790, draait prima, maar geen TPM header op 't bord en geen Intel PTT met de laatste bios update uit 2018.
En TPM 1.2 is wél vereist? Niet net als in Windows 10 te omzeilen via een registry tweak om toch bitlocker te kunnen gebruiken bijvoorbeeld?

Ik heb geen TPM op mijn desktop en TPM op mijn laptop heb ik uitgeschakeld. Ik hoef die meuk met binary blobs en preloaded Microsoft-keys niet, dus ik was niet van plan om dat te veranderen.

Ik draai hoofdzakelijk Linux, maar heb Windows 10 er wel naast voor games. Het wordt nog een zware overstap als Windows 11 TPM gaat vereisen.
preloaded Microsoft-keys? Volgens mij haal je Secure Boot en TPM door elkaar.
Ook in Linux zijn er toch wel oplossingen beschikbaar om gebruik te kunnen maken van de TPM? Misschien ook disk encryptie?
Beide dingen horen bij het "Trusted Platform" idee, waarbij ik geacht wordt Microsoft en consorten te vertrouwen in plaats van mezelf. Maar Secure Boot heb ik ook uitstaan inderdaad - ik lees hier en daar hier in de reacties dat dat ook vereist zou worden voor Windows 11.

Je kunt idd op Linux je keys ook wel in TPM hacken, maar dat wil ik niet. Ik onthoudt mijn wachtwoorden, die hoeven niet IN mijn PC opgeslagen te worden. Het feit dat je een met BitLocker versleutelde PC standaard gewoon kunt opstarten zonder een encryptiewachtwoord in te vullen toont wel aan wat er mis is met dat idee. Pas als je hardware gaat veranderen dan wil hij een sleutel hebben.
Met Linux en luks kan je dat ook, dan save je je keyfile toch ook op hardware. TPM is niks meer of minder dan dat.
Dat kán, dat hoeft niet. Bij gebruik van LUKS moet je standaard een wachtwoord invullen bij het booten. Met wat configuratie kan je LUKS zover krijgen om de sleutel in TPM te zetten, net als bij Windows / BitLocker. Wat mij betreft een onveilige oplossing.

Maar ja, alles wordt in het teken gesteld van het uitroeien van wachtwoorden. Eerlijk is eerlijk, veiligheid op basis van wachtwoorden valt of staat met de complexiteit van de wachtwoorden en daarmee met de instelling van de gebruikers. Voor het gros van de mensen die anders `test1234` als encryptiewachtwoord zou nemen is TPM een verbetering. Maar als je veiligheid serieus neemt is het prut om erop te vertrouwen.
Ik snap je wel, en er zijn ook wel wat threats aangaande TPM security wat ik me zo herinner vorig jaar was dat nieuws geloof ik. Maar los daarvan een laptop vind ik altijd wel erg fijn om encrypted te hebben, vooral zakelijk waarmee je over straat gaat.
Precies. Daarom heb ik TPM uitgeschakeld en via GPO ingesteld dat ik een wachtwoord voor BitLocker bij boot moet invoeren. Op geen manier toegang zonder wachtwoord, ook niet in dezelfde laptop.

Even er vanuit gaande dat er geen backdoor in BitLocker zelf zit, that is. Maar goed, ik heb geen gevoelige gegevens op Windows staan. Ik gebruik het enkel voor games persoonlijk en Skype for Business zakelijk. Op mijn Linux-partitie is alles met LUKS versleuteld.
Of ik begrijp TPM niet, of jij niet. Maar volgens mij zijn er helemaal geen standaard keys in je TPM of iets. Misschien heb ik het wel mis, dus ik hou in het midden of ik het begrijp of niet.

Verder werkt BitLocker volgens mij gewoon veilig. Je komt toch uit op het aanmeldscherm waarbij je het wachtwoord van een user nodig hebt. Anders kan je toch gewoon nergens bij? Als je een ander OS boot krijg je de decryptiesleutel niet van de TPM. Als je de harddisk eruit haalt en in een andere PC steekt, heb je de decryptiesleutel ook niet. Maar als alles wel in orde is, zal de TPM je gewoon de sleutel geven en kan de BitLocker boot loader dus gewoon je schijf ontsleutelen.
Nee, de signing keys van secure boot staan pre-loaded in UEFI, niet in TPM, inderdaad.

Als ik BitLocker activeer in de default opstelling dan start mijn apparaat gewoon op zonder om een wachtwoord te vragen. Afhankelijk van je configuratie krijg je wel een login-scherm van Windows, maar op dat moment is je schijf al ontsleuteld. De sleutel komt dan uit TPM, en die geeft die vrij als je hardware niet afwijkt van waar het mee versleuteld is. Als je hardware wel veranderd is (of als je, bijvoorbeeld, je harde schijf geherpartitioneerd hebt) dan geeft TPM de sleutel niet vrij en mag je een lange veiligheidscode intypen die je van BitLocker gekregen hebt toen je het activeerde

Met een register-tweak (of GPO-wijziging) kun je BitLocker zover krijgen om bij het booten om een wachtwoord te vragen. Als je dat doet werkt het ook zonder TPM, je beheert immers zelf je eigen sleutel. Dat heb ik hier op mijn Windows-partitie op mijn laptop. Stuk veiliger, want als iemand mijn laptop jat dan zou hij met alleen TPM gewoon opstarten. Een lek in de beveiliging van Windows en je bent binnen.
Aan de andere kant zou je je kunnen afvragen hoe veilig encryptie is als je de sleutel ervan steeds zelf moet invullen. Als je een systeem deelt met meerdere gebruikers (bijvoorbeeld in een bedrijf), moet je de sleutel ook delen. Wat is dat dan nog waard als iedereen hem weet.

Het zal altijd een compromis zijn, maar ik denk dat dit wel de juiste is. Je kan niet voorbij het inlogscherm van Windows komen en daarmee dus ook niet bij de gegevens die op de schijf staan komen. (Laat zerodays/hacks nog even buiten beschouwing, die zijn volgens mij ook zeer zeldzaam wat het inlogscherm betreft.)
Zolang je een wachtwoord moet invullen om in het OS the komen dus een local of domain paswoord kan je niets lezen op de disk. dus dit is veilig zat, ook als je de disk er uit haald en in een ander computer stopt kan je de schijf niet lezen want het is immers encrypted.dus meer dan veilig genoeg. Dus claimen dat de beveiliging lek zou zijn is gewoon onzin.
We hebben al veelvuldig gezien dat "handige hulpjes" als Cortana of Siri leuk langs het loginscherm kunnen wandelen, en daarmee het systeem ook weer vatbaarder maken voor exploits waarmee je die volledig kunt omzeilen. Dus daar zou ik niet te hard op vertrouwen.
Zijn die fouten inmiddels al niet gerapareerd. Fouten in software kunnen inderdaad je systeem kwetsbaar maken, dat geld voor elk stukje software, ook op Linux, MacOS, Android en noem maar op.
De bekende fouten zijn verholpen. De onbekende vanzelfsprekend nog niet ;-)

En ja, dat geld voor elk stukje. Daarom is degelijke encryptie ook zo belangrijk. De login van Windows is volledig gebaseerd op authenticatie en permissies. Daar zijn veel bugs in gemaakt en worden ook nog veel bugs in gemaakt. Het onderliggende systeem heeft sowieso volledig toegang tot de (ontsleutelde) data.

Bij encryptie is dat anders. Encryptie is heel simpel, in de basis. Je hebt versleutelde data en een sleutel. Dat past, of dat past niet. Als het niet past, kun je er niet omheen zoals bij authenticatie / permissies wel kan. Het onderliggende systeem heeft, zonder de juiste sleutel, gewoon geen toegang tot de data.

Wat TPM nu doet is daar toch weer een stuk authenticatie omheen bouwen - TPM beheert jouw sleutel, en geeft die vrij op basis van bepaalde criteria. Dat is weer iets waar je omheen kunt proberen te werken. Bovendien is het gesloten en kun je dus niet zien hoe die criteria geïmplementeerd zijn en of er mogelijk nog verborgen andere criteria zijn waarop hij de sleutel ook vrijgeeft.
Dat geld toch voor iedere stukje software wat jou data encrypt.
Dat geld toch voor iedere stukje software wat jou data encrypt.
Ja. Dat zeg ik toch ook?

Mijn punt is dat TPM vervolgens wél weer die sleutel op je apparaat gaat opslaan en daar een laag van authenticatie omheen legt. Als het wachtwoord in mijn hoofd zit dan is de sleutel niét op het apparaat opgeslagen en is de authenticatie dus ook niet te misleiden.
Ben je hier niet in de war met UEFI Secureboot, daar zitten inderdaad Microsoft key's preloaded in, maar voor zover ik weet niet in TPM modules.
Klopt inderdaad.

Alsnog wordt mijn encryptiesleutel opgeslagen in een stuk hardware waar ik geen vrije toegang toe heb. Als ik mijn harde schijf ergens anders in hang dan blokkeert de TPM de toegang tot de sleutel, maar zolang het in dezelfde hardware zit start hij gewoon op zonder sleutel. En wie weet wat voor backdoors er allemaal inzitten.
Als jij je schijf in een ander systeem hangt dan heeft dat systeem geen idee wat de ontgrendelsleutel is. Nogal logisch dat dat systeem niet kan opstarten met je harde schijf. De TPM zit op het moederbord, niet op de schijf en is net bedoeld om te voorkomen dat je zomaar aan de data van die schijf kunt
Ja, je focust op het verkeerde deel van mijn post. Het gaat erom dat de TPM die sleutel juist wél vrijgeeft. Zonder dat er een wachtwoord benodigd is. Dat is het ontwerp van BitLocker, maar wel een slecht ontwerp.
Maar wie kan die sleutel uitlezen? Daar al eens bij stilgestaan? Jij kan vanuit je OS die sleutel niet uitlezen. Je moet een exploit hebben in de UEFI om die chip te kunnen uitlezen. Er is een reden waarom men dat zo heeft opgezet. En als je het niet vertrouwd kan je er nog altijd voor kiezen om Bitlocker op te zetten met een bijkomend wachtwoord. Ik kan mijn werk PC ook niet opzetten zonder dat ik een bitlockercode moet ingeven om de harde schijf te ontgrendellen.

Alles heeft een doel en je moet niet voor de nucleaire optie gaan als de meeste mensen die niet wensen.
TPM voegt niets toe als je een sterk, veilig wachtwoord hebt. Het maakt het alleen complexer. En het geeft een extra aanvalsvector als je niet gebruik maakt van een aanvullend wachtwoord (zoals BitLocker by default doet).
Alsnog wordt mijn encryptiesleutel opgeslagen in een stuk hardware waar ik geen vrije toegang toe heb.
Als je Linux gebruikt (wat je claimt in een ander comment), dan kan je gewoon de TPM deel laten zijn van de ketting van sleutels die nodig zijn. Dus TPM ontsleutelt binary blob gebaseerd op vertrouwde opstart, en de binary blob bevat een met wachtwoord beveiligde LUKS volume waar een keyfile in zit om je root LUKS volume mee te openen.

Dat is een stuk beter dan je systeem openzetten voor evil maid attacks door geen hardwaregebaseerde beveiliging te gebruiken. :+
De Evil Maid komt niet door mijn LUKS-encryptie heen want hij/zij heeft mijn sterke wachtwoord niet en gaat die ook niet kunnen raden, hacken of brute-forcen. Zo werkte het in 2004, zo werkt het nog steeds.

Ik zou ook de Evil Maid zelf een extra stukje van de chain kunnen zijn door zijn/haar vingerafdruk te vereisen om de boel te ontsleutelen. Maakt het wel complexer, niet veiliger.
De Evil Maid komt niet door mijn LUKS-encryptie heen want hij/zij heeft mijn sterke wachtwoord niet en gaat die ook niet kunnen raden, hacken of brute-forcen. Zo werkte het in 2004, zo werkt het nog steeds.
Evil maid vervangt je onversleutelde kernel/boot loader met een ingebouwde keylogger, jij vult je wachtwoord in en begint gewoon je notebook te gebruiken zoals vanouds, gecompromitteerde boot loader/kernel upload het wachtwoord na het opstarten van het systeem en biedt verdere toegang op afstand. Of je laptop wordt achteraf alsnog gestolen terwijl het wachtwoord cleartext in je boot sector is opgeslagen zonder dat je het merkt... Oeps.

En daar had je geen last van als je de TPM gebruikte als additionele beveiliging.

Enkel softwarematige beveiliging gebruiken is zo 2004. Iemand die dat doet, zit echt vastgeroest in het verleden.

[Reactie gewijzigd door The Zep Man op 25 juni 2021 15:04]

Tja, en met TPM hoefde de Evil Maid dat niet eens te doen want de laptop onsleutelt zichzelf. Ze kan hem gewoon meenemen.
Tja, en met TPM hoefde de Evil Maid dat niet eens te doen want de laptop onsleutelt zichzelf.
Dit toont echt aan dat je er niets van begrijpt. Jammer. Het siert je niet om je vingers in je oren te steken en keihard 'lalala' te roepen.

Als je klaar bent in 2004 te leven, mag je contact opnemen met mij via PM. Ik kan je dan uitleggen waarom een TPM beveiliging kan toevoegen terwijl het onmogelijk is om beveiliging weg te nemen. De deur staat open. Het is aan jou om erdoorheen te lopen. Of leef je leven in onwetendheid. Het is mij om het even.

[Reactie gewijzigd door The Zep Man op 26 juni 2021 19:31]

Dat is toch juist het hele punt van bitlocker?
Dat is by design ja. Fout design imo. Dat hij elders niet werkt is natuurlijk de bedoeling. Maar dat het lokaal werkt zonder wachtwoord is onveilig. Er is een stuk hardware in je PC wat de sleutel van je encryptie heeft en die vrij kan geven. Maar je hebt hier zelf geen controle over. Als jij je hardware verandert doet hij het niet, terecht. Maar wat voor backdoors zitten erin? Voor de NSA bijvoorbeeld?
Als je door de NSA wordt onderzocht heb je heel andere problemen om je zorgen over te maken.
Voor de meeste is de beveiliging adekwaat genoeg. vergeet niet dat elke beveiliging ook die met een wachtwoord die jij alleen kent, en je computer ja die moet je wachtwoord ergens mee vergelijken niet ?
ook backdoors kunnen bevatten of bugs. zodat ze er als nog in kunnen zonder wachtwoord.
áls er een backdoor voor de Amerikaanse inlichtingendiensten inzit (Wat me niet zou verbazen, zie o.a. Cisco) dan betekent dat dus dat die backdoor door iedereen gebruikt kan worden. Dat is het hele probleem met backdoors - ze staan open. Je moet alleen weten hoe je erbij komt.

Mijn computer moet niet mijn wachtwoord ergens mee vergelijken. Hij gebruikt mijn wachtwoord om de daadwerkelijke encryptiesleutel te ontsleutelen. Dat lukt of dat mislukt. Als het mislukt kan hij niets lezen, als het wel lukt kan de schijf wel gelezen worden. Het wachtwoord zelf staat nergens opgeslagen. LUKS is open source en veelvuldig onderzocht op exploits. Bugs zijn vanzelfsprekend niet uit te sluiten, maar de kans dat een bug de encryptie plotseling ongedaan maakt is bijzonder klein.
Miscchien zit er wel een backdoor in Windows of Linux of in you encryption programma wat will je nu zeggen als als kan altijd iets zijn. wat je vergeet is dat jou wchtwoord ook op je computer staat aleen is deze geencrypted, het is teroretie dus mogelijk deze te achterhalen al dan niet met brute kracht :-) of een backdoor, dus niet meer veiliger dan de methode van de TPM.
Zoals ik al zei: wachtwoorden worden niet op je computer opgeslagen. Tenzij je een brakke website met plain-test passwords hebt.

In de meestvoorkomende situatie voor authenticatie is je wachtwoord gehashed. Op een niet-terug-te-rekenen manier geconverteerd in een andere representatie. Daar haal je je originele wachtwoord nooit en te nimmer meer uit. Bij de login geef je het juiste wachtwoord op wat dezelfde transformatie ondergaat. Indien het wachtwoord juist is, is het resultaat ook hetzelfde.

Bij encryptie is het nog beter. Je wachtwoord is de sleutel. Er is zelfs geen representatie/transformatie van je wachtwoord opgeslagen. Je vult het in, het wordt gebruikt in de transformatie van een stuk data wat al op je PC staat en het resultaat is een geslaagde of gefaalde ontsleuteling.
ja ik snap dat je wachtwoorden niet worden opgeslagen in clear tekst, maar er moet wel een controle zijn of het wachtwoord juist of onjuist, deze hash kan je dus gebruiken om het wachtwoord te achterhalen. als dan niet met gokken of met een achterdeur in de software. het princype blijft het zelfde of je nu het wachtwoord zelf invult of laat doen door een chip. Bovendien is dit voor de meeste onder ons meer dan genoeg beveiligd. Als je voor een of ander inlichtinge dienst werkt heb je misschien wat extra beveiling nodig.
TPM 1.2 bestaat al veel langer en wordt door vrijwel alle systemen ondersteund.
Ik denk dat dit niet klopt. Genoeg wat oudere of goedkopere laptops waar dit standaard niet in zit. Sommige moederborden hebben wel een TMP header voor het aansluiten van een module maar beschikken ook niet standaard over een TMP chip.
Deze YouTube'r https://youtu.be/5rDJyMXbPdE heeft wat bestanden in de ISO vervangen door Windows 10 bestanden. Maar de gelekte ISO kan lijkt mij heel anders zijn dan de Final Windows 10.
Dit klopt. Er zijn op internet al de nodige tutorials te vinden die dit uitleggen. Je hebt 1 specifieke dll nodig uit een Windows 10 iso. Ik heb het zelf ook geprobeerd op een oude AMD testbench en het werkt, met de dll uit een Windows 10 21H1 iso.
Een TPM-chip lijkt geen vereiste te zijn, de firmware-implementatie zou ook werken. Bij AMD is dat fTPM en bij Intel is dat Intel Platform Trust Technology. Die zijn via het bios in te schakelen.

[Reactie gewijzigd door Xtuv op 25 juni 2021 08:51]

Een TMP-chip lijkt geen vereiste te zijn, de firmware-implementatie zou ook werken. Bij AMD is dat fTMP
Wel bijzonder hoe je als auteur van een artikel dat over TPM-chips gaat tot 2x toe in je eigen reactie erop TPM verkeerd schrijft als TMP :'(
Wees blij dat ik het in de comments doe en niet in het artikel :P
1 2 3 ... 7

Op dit item kan niet meer gereageerd worden.


Nintendo Switch (OLED model) Apple iPhone 13 LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S21 5G Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True