什么是TPM?跟我有什么关系?


“TPM”并不是 Mac 社区里经常谈论到的话题,所以如果你不知道它也不足为奇。然而,这一切在2021年夏天发生了变化。

在这篇文章中,我将简要介绍 TPM,并解释为什么 Mac 用户(尤其是 Parallels® Desktop 用户)需要了解和关心 TPM。

什么是 TPM?

TPM 全称 Trusted Platform Module, 中文名为可信平台模块,是要添加到 Windows PC 的芯片的规范。 TPM 的目标是提高这些 PC 的安全性。当 TPM 芯片在 PC 上可用并启用时,可以将各种安全功能添加到 Windows,包括:

• BitLocker —— 微软附带的全卷磁盘加密功能。

• Secure Boot ——一种安全标准,旨在确保设备仅使用原始设备制造商(OEM) 信任的软件启动。

• Windows Hello—— 一组 Windows 登录技术,包括指纹识别和面部验证。

自2009年TPM规范发布以来,已有20多家厂商发布了经过认证的TPM芯片。当然苹果不在这个名单上,因为苹果 拥有替代安全技术,包括 FileVault、Touch ID、Face ID 和 GateKeeper,均由 AppleT2SecurityChip(一种安全飞地硬件芯片)提供支持。


这跟我有什么关系?2021 6 月发生了什么变化?

2021 年 6 月,微软宣布发布了 Windows 11预览版,并将 TPM 作为在 PC 或虚拟机中运行 Windows 11 的要求。 (微软于 2021 年 10 月 5 日发布了 Windows 11。)

幸运的是,Parallels Desktop 在 2019 年发布的版本 15 中增加了对虚拟 TPM (vTPM) 的支持。与 Parallels Desktop 中的许多其他功能一样,vTPM 是 Windows 组件或功能在 Mac 上的实现。 vTPM 使用多种 Apple 安全技术来实现 TPM 的功能。就Windows而言,Parallels虚拟机有TPM芯片,因此可以安装Windows 11并在Parallels Desktop中使用。 vTPM 添加到 Parallels Desktop 15 是因为多个企业客户在其高度安全的企业环境中需要 TPM,并且某些企业应用程序需要 TPM 支持作为安全要求。 vTPM 功能在 Parallels Desktop 15 或 16 中默认未启用,因为此功能仅适用于某些企业客户,并且 vTPM 仅在 Parallels Desktop 的 Pro 和 Business Edition 中可用。

但由于 Windows 11,这一切都在改变。

从 17.1.0 版开始的所有 Parallels Desktop 版本(Standard、Pro、Business 和 App Store Edition)都包含 vTPM 功能,并且默认情况下将为所有必须拥有 vTPM 的虚拟机启用 vTPM:

• 基于 Intel 的 Mac 计算机,适用于所有新的和现有的 Windows 11 虚拟机。

• 基于 Apple M1 的 Mac 计算机,适用于所有新的和现有的 Windows 10 和 Windows 11 虚拟机。


启用 TPM 芯片的后果

将虚拟 TPM 芯片添加到 虚拟机 后,Parallels Desktop 在虚拟机捆绑包中创建一个加密文件,用作 TPM 存储。此存储必须受到保护,因此 Parallels Desktop 使用具有 128 位密钥长度的高级加密标准 (AES) 加密此文件,并将密码放入 Mac 系统钥匙串中,这反过来又是未加密的物理存储,并且只有 Parallels Desktop (或 Mac 管理员)可以从 Mac 钥匙串中读取 TPM 密码。

这样的实现可确保用户不必在每次启动虚拟机 时都输入密码,而且我们都有太多的密码要记住。用户可以像往常一样继续运行他们的虚拟机,直到想要将虚拟机转移到新硬件为止。

对于添加了 TPM 芯片的 虚拟机,仅将Parallels虚拟机(PVM) 包复制到新 Mac 是不够的。如果没有 Mac 钥匙串中包含用于解密 TPM 文件的密码的相应记录,虚拟机将不会启动。将此记录复制到新的 Mac 上并不容易,但它是可能的。

除了上述细微差别之外,虚拟机不会受到任何其他影响——Windows 以及所有 Windows 应用程序将继续照常工作。


以下是您可能会问的一些问题:

  • 因为我在 Parallels Desktop 中的 Windows 11 虚拟机 具有 vTPM,这是否意味着我可以在该虚拟机中启用其他 Windows 安全功能,例如 BitLocker 和指纹识别?

是的,您可以启用其他需要 TPM 的 Windows 技术。您可以在此博客文章中查看有关启用指纹识别的详细信息。

• 启用 vTPM 后现有虚拟机 的运行速度会变慢吗?

不,将 vTPM 添加到虚拟机对性能没有明显影响。

我可以为我的其他虚拟机、macOS虚拟机或 Linux虚拟机启用 vTPM 吗?

是的,您可以,但 macOS 或 Linux 虚拟机 不会使用 vTPM 功能,因此没有理由这样做。即使客户操作系统没有使用 vTPM,上面列出的后果仍然适用。