Trusted Platform Module là gì? Phân loại, chức năng và cài đặt TPM 2.0

Trusted Platform Module (TPM) là một vi mạch bảo mật được thiết kế để cung cấp các chức năng liên quan đến an ninh phần cứng. Trong bối cảnh an ninh mạng ngày càng phức tạp, TPM trở thành “lá chắn thép” bảo vệ dữ liệu người dùng.

Đặc biệt, kể từ khi Microsoft yêu cầu bắt buộc phải có TPM 2.0 để cài đặt Windows 11, việc hiểu và kích hoạt công nghệ này trở nên cấp thiết hơn bao giờ hết. Bài viết dưới đây, đội ngũ kỹ thuật tại VinaHost sẽ giải mã chi tiết về công nghệ này, so sánh các phiên bản và hướng dẫn bạn cách cài đặt chuẩn xác nhất.

1. Trusted Platform Module là gì?

Trusted Platform Module (TPM) là một vi mạch (microchip) bảo mật được tích hợp trên bo mạch chủ máy tính, có chức năng tạo, lưu trữ và hạn chế việc sử dụng các khóa mật mã (cryptographic keys). Nó hoạt động như một thiết bị xác thực phần cứng, đảm bảo tính toàn vẹn của hệ thống độc lập với hệ điều hành.

Chip bảo mật là trung tâm an ninh vật lý của một thiết bị, đóng vai trò nền tảng để xây dựng một môi trường điện toán đáng tin cậy. Trusted Platform Module không chỉ phổ biến trên máy tính cá nhân mà còn được mở rộng sang máy chủ và thiết bị di động.

Theo báo cáo từ Trusted Computing Group, công nghệ TPM đã được tích hợp trên hàng tỷ thiết bị toàn cầu, trở thành tiêu chuẩn vàng cho bảo mật phần cứng doanh nghiệp và cá nhân. Các ứng dụng như mã hóa BitLocker, Windows Hello đều dựa trên nền tảng xác thực của TPM.

2. Phân loại các phiên bản TPM: 1.2 vs 2.0

Để hiểu rõ hơn về sự phát triển của công nghệ này, chúng ta cần phân biệt hai phiên bản phổ biến nhất. Việc Microsoft yêu cầu TPM 2.0 cho Windows 11 không phải là ngẫu nhiên, mà là sự nâng cấp đáng kể về thuật toán bảo mật.

2.1. TPM 1.2 là gì?

TPM 1.2 là tiêu chuẩn cũ, tập trung chủ yếu vào các thuật toán băm SHA-1. Mặc dù vẫn cung cấp khả năng bảo mật cơ bản, nhưng nó thiếu tính linh hoạt về thuật toán crypto (crypto-agility) và không còn đáp ứng được các tiêu chuẩn an ninh mạng hiện đại.

2.2. TPM 2.0 là gì? (Chuẩn mới nhất)

TPM 2.0 không chỉ là bản cập nhật, mà là sự thay đổi kiến trúc toàn diện. Nó hỗ trợ các thuật toán mới hơn như SHA-256, ECC và cho phép các nhà sản xuất linh hoạt hơn trong việc triển khai chính sách bảo mật.

Dưới đây là bảng so sánh chi tiết sự khác biệt giữa hai phiên bản này:

3. Chức năng cốt lõi của Trusted Platform Module

Tại VinaHost, trong quá trình triển khai máy chủ cho khách hàng doanh nghiệp, chúng tôi luôn khuyến nghị kích hoạt TPM để tận dụng 4 lớp bảo mật sau:

3.1. Thiết lập Root of Trust (Gốc tin cậy)

TPM giám sát quá trình khởi động của máy tính. Nó đo lường (measure) chữ ký số của BIOS, Firmware và Bootloader. Nếu phát hiện virus hoặc mã độc đã thay đổi bất kỳ thành phần nào trong chuỗi khởi động, TPM sẽ khóa hệ thống lại, không cho phép Boot để bảo vệ dữ liệu.

3.2. Mã hóa ổ cứng (BitLocker)

Đây là ứng dụng phổ biến nhất. Khóa giải mã ổ cứng được lưu an toàn bên trong chip TPM chứ không phải trên ổ cứng. Điều này có nghĩa là nếu kẻ trộm tháo ổ cứng của bạn lắp sang máy khác, chúng sẽ không thể đọc được dữ liệu vì không có chip TPM đi kèm để “mở khóa”.

3.3. Xác thực người dùng (Windows Hello)

TPM thay thế việc lưu trữ mật khẩu truyền thống. Các dữ liệu sinh trắc học (khuôn mặt, vân tay) hoặc mã PIN của Windows Hello được bảo vệ bởi TPM, giúp ngăn chặn các phần mềm Keylogger đánh cắp mật khẩu.

3.4. Bảo vệ khỏi tấn công Dictinary Attack

TPM có cơ chế chống tấn công dò mật khẩu (Brute-force). Nếu nhập sai mã PIN hoặc mật khẩu quá nhiều lần, chip TPM sẽ tự động khóa lại trong một khoảng thời gian, khiến hacker không thể tiếp tục thử.

4. Các hình thức triển khai TPM trên máy tính

Không phải máy tính nào cũng có một con chipset rời nằm trên Mainboard. Hiện nay có 2 dạng chính:

• Discrete TPM (dTPM): Là một con chip vật lý riêng biệt được hàn lên bo mạch chủ. Đây là dạng bảo mật cao nhất, thường thấy ở các dòng máy trạm (Workstation) hoặc Laptop doanh nghiệp (Dell Latitude, ThinkPad).
• Firmware TPM (fTPM/PTT): Đây là dạng phổ biến nhất trên các máy tính cá nhân hiện nay. TPM được tích hợp bằng phần mềm (Firmware) chạy trực tiếp trên CPU.
  • Với Intel, nó gọi là Intel PTT (Platform Trust Technology).
  • Với AMD, nó gọi là AMD fTPM.

Lưu ý từ chuyên gia: Một số người dùng CPU AMD Ryzen trước đây gặp hiện tượng giật lag (stuttering) khi bật fTPM. Tuy nhiên, AMD đã khắc phục triệt để vấn đề này qua các bản cập nhật BIOS AGESA mới nhất. Hãy đảm bảo bạn cập nhật BIOS nếu dùng AMD.

5. Cách kiểm tra máy tính đã có TPM 2.0 chưa?

Trước khi cài đặt Windows 11, bạn cần xác minh xem máy tính của mình đã sẵn sàng chưa. Hãy làm theo 2 bước đơn giản sau:

• Bước 1: Nhấn tổ hợp phím Windows + R để mở hộp thoại Run.
• Bước 2: Nhập lệnh tpm.msc và nhấn Enter.

6. Hướng dẫn bật TPM 2.0 trong BIOS (Cho mọi dòng máy)

Nếu kiểm tra thấy chưa có TPM, rất có thể tính năng này đang bị tắt (Disabled) trong BIOS. Dưới đây là quy trình kích hoạt chuẩn:

6.1. Cách truy cập BIOS/UEFI

Khởi động lại máy tính và nhấn liên tục phím tắt ngay khi màn hình vừa sáng. Phím tắt tùy thuộc vào hãng sản xuất:

• Dell: F2 hoặc F12
• HP: F10 hoặc ESC
• Asus / Acer: F2 hoặc Del
• MSI / Gigabyte: Del
• Lenovo: F1 hoặc F2

6.2. Vị trí cài đặt TPM theo từng hãng Mainboard

Giao diện BIOS mỗi hãng sẽ khác nhau, nhưng bạn hãy tìm các từ khóa sau trong tab Security hoặc Advanced:

6.3. Hướng dẫn chi tiết

Trên máy tính windows

Sau khi xác định máy tính có hỗ trợ công nghệ bảo mật chip, bạn cần kích hoạt TPM 2.0 thông qua BIOS. Cách đơn giản nhất là khởi động vào giao diện cài đặt BIOS từ Windows (áp dụng cho hệ điều hành Windows 10 trở lên). Các bước thực hiện:

• Bước 1: Mở Settings, sau đó chọn mục Update & Security. Trong menu bên trái, chọn Recovery.
• Bước 2: Tại phần Advanced startup, nhấn vào nút Restart now để khởi động lại máy.

•  Bước 3: Sau khi máy khởi động lại, chọn:
  • Troubleshoot > Advanced options > UEFI Firmware Settings. Tiếp tục nhấn Restart để truy cập BIOS/UEFI

• Bước 4: Trong BIOS, điều hướng đến tab Security, sau đó tìm TPM Security
• Bước 5: Thay đổi trạng thái từ Disabled sang Enabled, sau đó nhấn Enter để xác nhận.

• Bước 6: Lưu cấu hình, sau đó khởi động lại máy.

Thông qua Boot máy tính

Ngoài cách truy cập qua Windows, bạn cũng có thể bật TPM 2.0 trực tiếp thông qua Boot bằng cách vào BIOS trong quá trình khởi động máy. Cách này phù hợp nếu bạn không thể truy cập UEFI từ Windows hoặc đang sử dụng hệ điều hành khác.

• Bước 1: Tắt hoàn toàn máy tính, sau đó bật lại. Khi màn hình vừa sáng, hãy nhấn phím tắt để vào BIOS. Phím này khác nhau tùy theo hãng máy:
  • Dell: F2 hoặc F12
  • HP: Esc hoặc F10
  • Acer / ASUS: F2 hoặc Delete
  • Lenovo: F1 hoặc F2
  • MSI: Delete
  • Toshiba / Samsung: F2
  • Microsoft Surface: Nhấn giữ nút tăng âm lượng khi khởi động

Nếu không chắc phím tắt cho thiết bị của mình, bạn có thể tìm thông tin chính xác trên trang web của nhà sản xuất.

• Bước 2: Sau khi vào BIOS/UEFI, điều hướng đến tab Security, rồi tìm TPM Security
• Bước 3: Thiết lập trạng thái Enabled.

• Bước 4: Nhấn ESC để quay lại menu chính, sau đó chọn Save and Exit để lưu thay đổi và khởi động lại máy.
• Bước 5: Trong một số dòng máy, bạn cần thực hiện thêm bước kích hoạt TPM bằng cách quay lại BIOS sau khi khởi động. Tiếp tục truy cập BIOS như bước đầu, vào lại mục Security > TPM Activation.

• Bước 6: Đặt trạng thái TPM thành Activate, rồi chọn Save and Exit để hoàn tất quá trình.

Sau khi máy khởi động lại vào hệ điều hành, bạn có thể kiểm tra lại bằng lệnh tpm.msc để xác nhận rằng TPM 2.0 đã được bật thành công.

8. Kết luận

Hiểu rõ Trusted Platform Module là gì và biết cách kích hoạt nó là bước đầu tiên để bảo vệ dữ liệu cá nhân trong kỷ nguyên số. Đặc biệt với các doanh nghiệp, việc chuẩn hóa TPM là bắt buộc để đảm bảo an toàn thông tin.

Hy vọng qua bài viết này, bạn đã tự tin kiểm tra và cài đặt TPM 2.0 cho thiết bị của mình. Nếu bạn đang tìm kiếm Dịch vụ thuê máy chủ an toàn, bảo mật cao tích hợp sẵn các công nghệ phần cứng tiên tiến nhất, hãy liên hệ ngay với VinaHost để được tư vấn miễn phí.