¿Por qué Windows 11 necesita TPM 2.0?

El interior de una carcasa de PC para juegos de escritorio.
FeelGoodLuck / Shutterstock.com

Windows 11 requiere una PC con TPM 2.0. Entonces, ¿su PC tiene TPM 2.0, TPM 1.2 o ninguno de los anteriores? ¿Su PC vino con TPM desactivado en su BIOS? ¿Necesita comprar un módulo de hardware TPM? ¿Y por qué Windows incluso necesita un TPM en primer lugar?

¿Qué es un TPM?

TPM son las siglas de «Trusted Platform Module». Es una tecnología que proporciona funciones relacionadas con la seguridad a nivel de hardware. Genera y almacena claves de cifrado y realiza funciones a prueba de manipulaciones. Proporciona protección adicional contra malware y otros tipos de ataques.

En una publicación de blog , Microsoft explica que todos los sistemas Windows 11 tendrán «una raíz de confianza de hardware». El TPM es un elemento a prueba de manipulaciones en el núcleo de la computadora que se puede usar para funciones de seguridad como cifrado de disco e inicios de sesión biométricos seguros con Windows Hello .

La “atestación” de TPM se puede utilizar para autenticar de forma remota hardware y software. El TPM tiene una clave de aprobación única (EK) grabada en el hardware. Las organizaciones pueden comprobar y verificar de forma remota que un dispositivo es lo que dice que es y que el hardware y el software no han sido manipulados. Por ejemplo, esto puede resultar especialmente útil para una empresa que gestiona una flota de portátiles de trabajo.

El TPM incluye un generador de números aleatorios de hardware del  que el sistema también puede depender. Los teléfonos inteligentes modernos tienen chips de seguridad que realizan funciones especializadas , entonces, ¿por qué no deberían hacerlo las computadoras?

¿Por qué lo necesita Windows 11?

Aquí hay un ejemplo: el cifrado de BitLocker puede almacenar claves de cifrado en el TPM para proteger sus archivos. Cuando su computadora arranca, la clave almacenada en el TPM se usa para desbloquear su unidad. Si un atacante arranca la unidad de su sistema y la inserta en otra computadora, el atacante no puede descifrarla y acceder a sus archivos sin las claves almacenadas en el TPM. El TPM es a prueba de manipulaciones, por lo que un atacante no puede simplemente conectarlo a otra computadora o extraer fácilmente la clave de descifrado.

Relacionado:  ¿Qué es el desgarro de la pantalla?

Incluso en Windows 10, BitLocker normalmente no funcionará sin un TPM . Si todas las PC con Windows 11 tienen un TPM, todas las PC con Windows 11 pueden admitir de forma nativa el cifrado de dispositivos. Eso es mucho mejor que la situación con algunas PC con Windows 10 que vienen con cifrado de disco, mientras que otras no incluyen cifrado .

Un TPM le dará a cada sistema Windows 11 una línea de base de seguridad de hardware para que Microsoft la construya. Windows 11 siempre puede asumir que tiene esta línea de base de seguridad de hardware. Microsoft no tendrá que crear hacks basados ​​en software sobre Windows 11 ni dejar funcionalidades importantes, como el cifrado de disco, deshabilitado en muchas PC.

¿Por qué TPM 1.2 no es suficientemente bueno?

Los mensajes de Microsoft estaban por todas partes en los días posteriores al anuncio de Windows 11. Inicialmente, la página de compatibilidad de Windows 11 de Microsoft decía que algunos sistemas con TPM 1.2 podrían actualizarse. Más tarde, Microsoft editó esa página y dijo que se requeriría TPM 2.0.

Una página web de Microsoft que data de 2018 señala una variedad de ventajas de seguridad que TPM 2.0 tiene sobre TPM 1.2, incluida la compatibilidad con algoritmos criptográficos más modernos. Dado que TPM 2.0 tiene estas ventajas y ha sido común durante varios años, Microsoft siente claramente que tiene sentido requerir TPM 2.0.

Microsoft ha requerido un TPM en algunas PC nuevas desde 2016

La diapositiva "Todas sus marcas favoritas" del anuncio de Windows 11.
Microsoft

Microsoft ha requerido TPM 2.0 en PC con Windows 10 durante varios años, algo así.

Desde el 28 de julio de 2016 , todas las nuevas PC con Windows que se fabrican requieren que TPM 2.0 esté habilitado de forma predeterminada. Si está comprando una computadora portátil, computadora de escritorio, 2 en 1 o cualquier otro dispositivo que venga con Windows 10 preinstalado, Microsoft requiere que el fabricante incluya TPM 2.0 y lo habilite.

Relacionado:  Microsoft Surface Event 2021: cómo mirar y qué esperar

Sin embargo, este es un requisito para que el fabricante de la computadora obtenga la licencia y envíe Windows en una PC. Si estuviera construyendo su propia computadora, podría haber comprado una placa base sin hardware TPM e instalado Windows 10 en ella. O el fabricante de la placa base puede haber enviado el hardware con el TPM desactivado.

Windows 10 habría funcionado felizmente sin un TPM, mientras que Windows 11 se negará a instalar en un sistema de este tipo.

¿Su PC tiene un TPM? ¿Está deshabilitado?

Si compró una PC que venía con Windows 10 en 2016 o posterior, es muy probable que ya tenga TPM 2.0 habilitado, a menos que ese modelo se fabricó originalmente antes de la fecha límite.

Si su PC es más antigua que eso, es posible que tenga o no el TPM que requiere Windows 11. Muchas PC se han actualizado de Windows 7 a Windows 10, y es probable que esas PC se queden atrás por este requisito.

Sin embargo, las personas que construyeron sus propias PC (una multitud que incluye a muchos jugadores de PC) podrían encontrarse en una situación extraña. Si construyó su propia PC (o la compró a una empresa que la fabricó para usted), es posible que su PC tenga o no TPM 2.0. Incluso si Windows dice que TPM 2.0 no está presente, podría estar deshabilitado de forma predeterminada y es posible que deba habilitarlo en el BIOS de su computadora.

Para averiguarlo, es posible que deba visitar el BIOS de su computadora (técnicamente, ahora es una pantalla de configuración de firmware UEFI en computadoras modernas, pero a menudo todavía se llama BIOS) y buscar una opción llamada «TPM» o algo similar que habilite esta función.

Algunas computadoras tienen un TPM basado en firmware. Intel llama a esta función iPPT (Tecnología de protección de plataforma Intel), mientras que AMD la llama fTPM (Módulo de plataforma confiable de firmware). Es posible que necesite encontrar una opción llamada algo como esto en la pantalla de configuración de su BIOS / UEFI. También podría llamarse de otra forma; consulte el manual de su placa base para obtener más información.

Relacionado:  Cómo configurar filtros de contenido en los altavoces asistentes de Google

Existe una buena posibilidad de que muchas personas con PC más nuevas puedan habilitar TPM 2.0 en el BIOS sin comprar un módulo de hardware TPM por separado, un componente que los revendedores ya están comprando . Sin embargo, algunas placas base para juegos no incluyen esta función y es posible que no esté disponible. Antes del anuncio de Microsoft, esto sería necesario para Windows 11, pero no se consideraba necesariamente una característica imprescindible para las personas que construyen sus propias PC.

Microsoft convirtió la situación en un lío confuso

El requisito de tener TPM 2.0 como base de seguridad de hardware que Microsoft puede diseñar tiene sentido. Recuerde que Microsoft seguirá admitiendo Windows 10 hasta el 14 de octubre de 2025,  por lo que puede seguir usando su computadora y sistema operativo actuales durante los próximos años.

El verdadero problema, una vez más, es la mala comunicación de Microsoft. Por ejemplo, si Microsoft hubiera advertido a la gente que algún día se requeriría un TPM 2.0, los fabricantes de placas base probablemente no hubieran escatimado en agregarlo a las placas de juego. Los entusiastas de las PC se habrían asegurado de que sus compilaciones tuvieran un TPM. Los fabricantes de hardware podrían haberlo habilitado de forma predeterminada en lugar de deshabilitarlo de forma predeterminada. Microsoft podría decir que envió esta señal a sus socios de hardware, pero muchos fabricantes de placas base claramente no captaron el mensaje.

El anuncio de Windows 11 también fue un desastre: Microsoft inicialmente dijo que TPM 1.2 sería parcialmente compatible y luego cambió de opinión. Microsoft ni siquiera se molestó en tratar de explicar por qué se requería TPM al principio. Después de que Microsoft trató de generar entusiasmo por la actualización, la herramienta oficial  PC Health Check falló misteriosamente sin decirle a la gente por qué su PC no era compatible .

Microsoft también podría haber explicado la situación y proporcionado información sobre cómo habilitar TPM 2.0 en el BIOS de su computadora, pero la compañía no hizo nada de eso.