Khi Microsoft ra mắt Windows 11 vài năm trước, cộng đồng người dùng PC đã “phát sốt” về TPM, hay Trusted Platform Module, và yêu cầu của Microsoft đối với thành phần này trong hệ điều hành mới. Rất có thể, nhiều người lần đầu tiên nghe về TPM chính là khi Windows 11 được giới thiệu. Giờ đây, sau vài năm, khái niệm TPM đã dần quen thuộc hơn trong từ điển công nghệ PC.
Mặc dù ý tưởng về TPM đã phổ biến, nhưng những lý do thực tế cho sự hữu ích của nó thì không phải ai cũng rõ. Với việc Windows 10 đang dần đi đến hồi kết và yêu cầu TPM trên Windows 11 không thay đổi, đây là lúc cần tìm hiểu lại tại sao TPM lại quan trọng và những ứng dụng thực tế mà chúng ta đã thấy từ nó trong những năm qua.
3 Lý do TPM khiến ổ cứng máy tính của bạn trở nên “bất khả xâm phạm”
Bitlocker: Nền tảng bảo mật vững chắc
Hãy bắt đầu với Bitlocker, bởi đây không chỉ là tính năng đầu tiên bạn thường nghe về khi nhắc đến TPM và Windows 11, mà còn vì nó minh họa rõ ràng lý do TPM lại hữu ích đến vậy. Bitlocker có khả năng mã hóa ổ cứng của bạn, và trên các thiết bị có TPM cùng chế độ Modern Standby, việc này thậm chí còn diễn ra tự động. Khi bạn tắt PC, ổ đĩa sẽ được mã hóa, và khi bạn bật máy, dữ liệu sẽ được truy cập bình thường trong suốt thời gian bạn sử dụng. Vậy điều gì sẽ xảy ra nếu ai đó có được ổ cứng của bạn?
Có thể bạn cho tặng một chiếc laptop mà không xóa dữ liệu đúng cách, hoặc, không may hơn, thiết bị của bạn bị đánh cắp. Hoặc đơn giản là bạn có một ổ đĩa cũ nằm lăn lóc và cuối cùng bị vứt bỏ. TPM chính là thứ giúp việc mã hóa diễn ra liền mạch khi bạn sử dụng PC, đồng thời khóa chặt dữ liệu của bạn sau một lớp mã hóa khi bạn không dùng máy. Điều này là nhờ TPM được tách biệt hoàn toàn khỏi các thành phần khác trong PC và nó lưu trữ các khóa mã hóa. Khi bạn nhập một thông tin bí mật, chẳng hạn như mật khẩu khi đăng nhập, thông tin đó sẽ được gửi đến TPM, và TPM chỉ gửi lại phản hồi thành công hoặc thất bại. Quan trọng hơn, TPM không bao giờ gửi chính khóa bí mật đó trở lại.
Đó chính là sự khác biệt cốt lõi khiến TPM an toàn hơn các phương pháp lưu trữ khóa mã hóa khác. Bạn có thể lưu trữ khóa theo những cách khác, như trong một tệp tin hoặc trên đám mây, và một số dữ liệu mã hóa được lưu trữ theo cách này. Ví dụ, trình quản lý mật khẩu của Google Chrome lưu trữ mật khẩu của bạn trong một tệp cục bộ trên PC, cùng với tệp cần thiết để giải mã các mật khẩu đó. Với TPM, việc giải mã phụ thuộc vào chính nền tảng máy tính. Nếu bạn tháo ổ cứng ra và cắm vào một PC khác, bạn sẽ không thể khởi động vào Windows trừ khi bạn đặt lại mã hóa Bitlocker.
Tuy nhiên, câu hỏi rõ ràng đặt ra là tại sao cần đến mức độ bảo mật này? Mặc dù sử dụng TPM an toàn hơn, nhưng thực tế là hầu hết người dùng cuối không cần đến mức độ bảo mật đó. Các doanh nghiệp thì có, nhưng đa số cá nhân thì không. Suy cho cùng, bạn có thể giải mã mọi mật khẩu được lưu trữ trong Chrome chỉ với quyền truy cập vào PC, năm phút và một chút kiến thức, nhưng đây vẫn là trình duyệt phổ biến nhất thế giới. Điều quan trọng về TPM không phải là Bitlocker, mà là khả năng lưu trữ các khóa mã hóa theo cách mà chúng không bao giờ phải tương tác với PC chính. Chúng không bao giờ phải được sao chép vào bộ nhớ, và chắc chắn không bao giờ được lưu trữ trong một tệp tin.
2 Tính năng đăng nhập sinh trắc học Windows Hello và PIN được bảo vệ chặt chẽ
Bảo mật nâng cao ngay cả trên máy tính để bàn
TPM hữu ích vì nó có thể lưu trữ khóa mã hóa hoàn toàn tách biệt khỏi phần còn lại của PC. Giờ đây, chúng ta chỉ cần tìm một số khóa hữu ích để lưu trữ ở đó. Một điều bạn có thể làm là có một khóa bí mật được gắn với dấu vân tay hoặc khuôn mặt của bạn để việc đăng nhập vào PC trở nên cực kỳ dễ dàng. Đó chính là Windows Hello, cho phép bạn làm điều đó, ngay cả trên máy tính để bàn (với các thiết bị ngoại vi phù hợp). Windows Hello cũng được sử dụng cho mã PIN trên thiết bị của bạn, điều này quan trọng hơn bạn nghĩ.
Ngay cả khi bạn không quan tâm đến sự tiện lợi của việc đăng nhập bằng sinh trắc học, việc bảo mật mã PIN của bạn bằng Windows Hello và TPM vẫn cải thiện tính bảo mật. Như đã đề cập, TPM chỉ nhận và gửi phản hồi. Nó không bao giờ gửi bất kỳ dữ liệu thực nào trở lại, chỉ là một thông báo thành công hoặc thất bại. Với đủ số lần thử sai trong một khoảng thời gian, TPM cũng có thể trả về lỗi, khóa các cuộc tấn công vét cạn (brute force attacks).
Các cuộc tấn công “từ điển” (dictionary attacks) có thể tràn ngập hệ thống của bạn với vô số lần thử, hy vọng tìm được mật khẩu đúng sau đủ số lần. Một TPM sẽ khóa các lần thử trong tương lai trong một khoảng thời gian. Bạn có thể thực hiện điều này theo những cách khác, tất nhiên, với một số cách đơn giản như một chương trình kiểm tra số lần thử trong một khoảng thời gian và sau đó vô hiệu hóa tùy chọn đăng nhập. Điều quan trọng về TPM là, một lần nữa, nó tách biệt khỏi hệ thống. Khóa của bạn không được sao chép vào bộ nhớ, và các nỗ lực khóa không thể bị phá vỡ bởi các biện pháp tạm thời trong hệ điều hành.
1 TPM cung cấp giao diện cho các khóa mật mã
Đặt nền tảng cho Passkeys và hơn thế nữa
Để xử lý tất cả các giao tiếp với TPM, Windows cần một khuôn khổ mã hóa, và nó có chính xác điều đó. Cryptographic API: Next Generation, hay CNG, là một API mà Microsoft sử dụng để quản lý giao tiếp giữa Windows và TPM. Nó hữu ích cho những thứ như Bitlocker và Windows Hello, nhưng gần đây hơn, nó cũng được tận dụng cho passkeys. Năm ngoái, Microsoft đã giới thiệu passkeys cho Windows 11, cho phép bạn xác thực ứng dụng bằng Windows Hello thay vì nhập mật khẩu.
Ngoài Windows Hello, Microsoft cho biết họ đã hợp tác với các dịch vụ như 1Password và Bitwarden, cho phép các ứng dụng này tận dụng TPM để có bảo mật tốt hơn. Bất kể điều gì có thể truy cập TPM, nó cung cấp một “ngôi nhà” an toàn cho các khóa mã hóa của bạn, tách biệt khỏi PC, và Microsoft có một API cho phép các ứng dụng tận dụng TPM. Các tính năng như passkeys không chỉ giúp đăng nhập vào ứng dụng và dịch vụ dễ dàng hơn mà còn an toàn hơn.
Giao diện cài đặt VMware Fusion hiển thị tùy chọn bật mã hóa TPM cho máy ảo
Các lớp bảo mật: Tầm quan trọng của TPM
Bất kể lĩnh vực an ninh mạng nào bạn nhìn vào, luôn có nhiều lớp bảo mật. Đến một mức độ nhất định, rủi ro bị tấn công cá nhân không đáng để bạn phải bận tâm đến việc bảo mật bổ sung. Đến một mức độ nào đó, các biện pháp phòng ngừa trở nên vô ích.
Tuy nhiên, một TPM trong PC của bạn là thứ không chỉ cải thiện bảo mật mà còn giúp PC của bạn dễ sử dụng hơn theo nhiều cách. Mặc dù đây là một sự chuyển đổi khó khăn khi Microsoft lần đầu giới thiệu Windows 11, nhưng rất nhiều điều đã thay đổi trong vài năm qua. Giờ đây, bạn nên có một TPM trong PC của mình, dù là thông qua phần cứng hay firmware. Và nếu không có, Windows 11 có lẽ không phải là hệ điều hành tốt nhất để sử dụng nữa.
Kết luận
Trusted Platform Module (TPM) đã vượt ra khỏi vai trò là một yêu cầu kỹ thuật đơn thuần của Windows 11 để trở thành một yếu tố cốt lõi trong bảo mật và trải nghiệm người dùng máy tính hiện đại. Từ việc bảo vệ dữ liệu với Bitlocker, cung cấp xác thực sinh trắc học an toàn qua Windows Hello, cho đến việc đặt nền tảng cho tương lai không mật khẩu với Passkeys, TPM chứng minh giá trị của mình trong việc tạo ra một môi trường điện toán an toàn và tiện lợi hơn. Việc TPM lưu trữ khóa mã hóa tách biệt khỏi hệ thống chính là yếu tố then chốt, giúp chống lại các cuộc tấn công và bảo vệ thông tin nhạy cảm của bạn một cách hiệu quả. Đảm bảo chiếc PC của bạn có TPM không chỉ là tuân thủ yêu cầu hệ thống mà còn là một khoản đầu tư thông minh vào sự an toàn và hiệu quả sử dụng máy tính của bạn trong kỷ nguyên kỹ thuật số.
