Was ist fTPM und was unterscheidet dieses Technologie von TPM? Näher betrachtet ist fTPM eine Software- und TPM eine Hardwarelösung. In den letzten Jahren ist das Thema Sicherheit im Zusammenhang mit PCs, Notebooks und Tablets immer mehr in den Vordergrund gerückt. Es sind verschiedene Sicherheitsmechanismen entstanden, um die Integrität von Computersystemen und die Daten der Benutzer zu schützen. Dazu gehört unter anderem das Trusted Platform Module (TPM) und sein softwarebasierter Gegenpart, das Firmware Trusted Platform Module (fTPM). In dieser Anleitung zum Thema „TPM & FTPM“ werden wir uns eingehend mit fTPM beschäftigen, die Unterschiede zum klassischen TPM erläutern, auf Unterschiede der Chip-Hersteller eingehen und die aktuellen Probleme mit fTPM erläutern.

Was ist ein TPM?

Das Trusted Platform Module (TPM) ist ein dedizierter Mikrochip, der speziell für sicherheitsrelevante Aufgaben in Computern entwickelt wurde. Er stellt eine Hardwarelösung dar, die vor Manipulationen und unbefugtem Zugriff auf sensible Daten schützt. Die Hauptaufgaben des TPM umfassen:

  1. Hyper-V: TPM ist die Voraussetzung um virtuelle Maschinen in Verbindung mit Hyper-V zu nutzen.
  2. Schlüsselgenerierung und -speicherung: TPM kann kryptografische Schlüssel erzeugen und diese sicher speichern.
  3. Authentifizierung: Der Chip unterstützt bei der Authentifizierung von Benutzern und Geräten, indem er sicherstellt, dass nur autorisierte Benutzer auf bestimmte Ressourcen zugreifen können.
  4. Bitlocker: TPM ist die Voraussetzung um die Bitlocker Verschlüsselung einzusetzen. Es gibt aber Möglichkeiten, Bitlocker auf auf Windows PCs einzusetzen, die über keinen TPC Chip verfügen.
  5. Integritätsschutz: TPM hilft dabei, sicherzustellen, dass die Systemsoftware seit dem letzten Start nicht verändert wurde.
  6. Sicheres Speichern: Daten können auf TPM-Chips so abgelegt werden, dass sie selbst bei Diebstahl des Computers nicht ohne weiteres entschlüsselt werden können.

Ein TPM ist also ein Hardware-Chip, der auf einem Motherboard verlötet ist oder als optionales Modul hinzugefügt werden kann. Die Konfiguration und Aktivierung von TPM 2.0 ist unter Windows relativ einfach möglich.

Was ist fTPM?

Das Firmware Trusted Platform Module (fTPM) ist im Grunde eine softwarebasierte Variante des TPM. Statt auf einen dedizierten Hardware-Chip zu setzen, wird fTPM direkt in die Firmware eines Prozessors integriert. Das bedeutet, dass das fTPM die gleichen Funktionen wie ein TPM erfüllen kann, jedoch auf einem virtuellen, im Prozessor implementierten Modul basiert.

Hauptunterschiede zwischen TPM und fTPM:

  • TPM: Physischer Chip auf dem Motherboard oder als externes Modul.
  • fTPM: In der Firmware integriert, läuft in der Regel auf dem Prozessor selbst.

Der größte Vorteil von fTPM ist, dass es keine zusätzliche Hardware benötigt. Da es in die Firmware des Systems integriert ist, kann es auf einer Vielzahl von Geräten eingesetzt werden, selbst wenn diese nicht über einen TPM-Chip verfügen. Allerdings gibt es auch Bedenken hinsichtlich der Sicherheit, da softwarebasierte Lösungen potenziell anfälliger für Angriffe sein können als hardwarebasierte Sicherheitsmodule.

Unterschiede zwischen Intel und AMD bezüglich fTPM

Sowohl Intel als auch AMD bieten ihre eigenen Implementierungen des fTPM an, die allerdings auf unterschiedliche Weise funktionieren und in verschiedene Sicherheitsarchitekturen eingebettet sind.

AMD fTPM

Bei AMD wird fTPM als Teil der Plattform-Firmware in die AMD Secure Processor (ASP) integriert. Der ASP ist eine dedizierte Sicherheitsarchitektur, die in den meisten modernen AMD-Prozessoren vorhanden ist und als Vertrauensanker fungiert. Der Secure Processor von AMD arbeitet unabhängig vom Hauptprozessor und bietet eine isolierte Umgebung für sicherheitsrelevante Aufgaben. In diesem abgesicherten Bereich läuft das fTPM, was dazu beiträgt, potenzielle Angriffe auf das System zu minimieren.

Intel PTT (Platform Trust Technology)

Intels Version von fTPM wird als Platform Trust Technology (PTT) bezeichnet. PTT ist in die Firmware der Intel-Prozessoren integriert und erfüllt dieselben Aufgaben wie ein TPM-Chip. Wie bei AMDs fTPM ist auch PTT ein firmwarebasiertes Modul, das kryptografische Aufgaben und Schlüsselmanagement übernimmt. Intel PTT ist Teil der Intel Management Engine (ME), einer in den Prozessor eingebetteten Technologie, die tief in das System integriert ist und ebenfalls Sicherheitsfunktionen bereitstellt.

Unterschiede TPM & FTPM

Vergleich von AMD fTPM und Intel PTT

Obwohl sowohl AMD fTPM als auch Intel PTT ähnliche Funktionen erfüllen, gibt es einige Unterschiede in ihrer Implementierung und den zugrundeliegenden Architekturen:

Sicherheitsarchitektur:

  • AMD: Das fTPM ist Teil des AMD Secure Processors, einer isolierten Sicherheitsumgebung, die direkt in den Prozessor integriert ist.
  • Intel: Intel PTT ist in die Intel Management Engine eingebettet, die tief in die Systemarchitektur integriert ist, aber nicht denselben Grad an Isolation bietet wie der AMD Secure Processor.

Unabhängigkeit vom Hauptprozessor:

  • AMD: Der AMD Secure Processor ist eine unabhängige Komponente, was potenziell eine höhere Sicherheit bieten kann.
  • Intel: Die Intel Management Engine ist stärker mit dem Hauptprozessor und den restlichen Systemkomponenten verbunden, was einige Experten als weniger sicher einstufen.

Firmware-Abhängigkeit:

  • Beide Systeme sind auf die Firmware des Systems angewiesen, was bedeutet, dass Schwachstellen in der Firmware potenziell zu Sicherheitsrisiken führen können. Da fTPM softwarebasiert ist, ist es in gewisser Weise anfälliger für Angriffe auf die Firmware als ein dedizierter Hardware-TPM-Chip.

Vor- und Nachteile von fTPM

Vorteile von fTPM:

  • Keine zusätzliche Hardware erforderlich, was besonders in mobilen Geräten wie Laptops und Tablets nützlich ist.
  • Kostengünstiger als die Implementierung eines separaten TPM-Chips.
  • Kompatibel mit modernen Prozessoren und kann durch Firmware-Updates verbessert werden.

Nachteile von fTPM:

  • Da es in der Firmware ausgeführt wird, könnte es potenziell anfälliger für bestimmte Arten von Angriffen sein, die auf Firmware-Schwachstellen abzielen.
  • Für den Endbenutzer schwerer zu validieren, da es keine sichtbare, dedizierte Hardware-Komponente gibt.

Windows Probleme mit fTPM

In der jüngeren Vergangenheit wurden mehrere Probleme im Zusammenhang mit fTPM gemeldet, die vor allem durch Latenzprobleme, Firmwarefehler und Sicherheitslücken hervorgerufen wurden. Hier sind einige der häufigsten und prominentesten Probleme, die Nutzer und Experten dokumentiert haben:

1. Latenzprobleme und Systemverzögerungen (Stuttering):

  • Beschreibung: Besonders bei Systemen mit AMD fTPM wurde über sogenannte „Stuttering„-Probleme berichtet. Benutzer erlebten zufällige Verzögerungen oder Ruckler (Stuttering) während des normalen Betriebs oder beim Gaming. Diese Verzögerungen wurden durch die Aktivität des fTPM verursacht, das kryptografische Operationen im Hintergrund durchführte, die das System ausbremsten.
  • Betroffene Systeme: Besonders Systeme mit AMD Ryzen Prozessoren.
  • Lösung: AMD hat Firmware-Updates veröffentlicht, um dieses Problem zu beheben. Nutzer konnten das Problem auch umgehen, indem sie auf ein dediziertes TPM-Modul umgestiegen sind.
fTPM Probleme unter Windows

2. Sicherheitslücken in der Firmware:

  • Beschreibung: Da fTPM softwarebasiert ist, ist es anfälliger für Schwachstellen in der Firmware. Es gab Fälle, in denen Sicherheitslücken entdeckt wurden, die von Angreifern ausgenutzt werden konnten, um das System zu kompromittieren.
  • Beispiel: 2021 wurde eine Schwachstelle in der Intel Management Engine (ME), in der auch die PTT-Komponente (Intel’s fTPM) integriert ist, entdeckt. Diese Lücke hätte es Angreifern ermöglichen können, Zugriff auf sensible Daten zu erhalten.
  • Lösung: Firmware-Updates und Patches wurden von den Herstellern veröffentlicht, um diese Schwachstellen zu schließen.

3. Kompatibilitätsprobleme mit bestimmten Betriebssystemen:

  • Beschreibung: In einigen Fällen gab es Probleme mit der Kompatibilität von fTPM und bestimmten Betriebssystemen oder deren Funktionen. So gab es beispielsweise Berichte, dass das fTPM von AMD bei der Nutzung von Windows 11 nicht ordnungsgemäß funktionierte und zu Startproblemen führte.
  • Lösung: Updates seitens Microsoft und AMD haben die meisten dieser Probleme behoben.

4. Eingeschränkte Leistung bei Virtualisierung:

  • Beschreibung: Bei einigen virtuellen Umgebungen, in denen fTPM verwendet wurde, kam es zu einer erhöhten CPU-Belastung, was die Systemleistung negativ beeinflusste. Besonders in Virtualisierungs-Setups mit vielen Instanzen kann fTPM Ressourcen beanspruchen, die normalerweise für andere Aufgaben genutzt werden sollten.
  • Lösung: Einige Nutzer haben das fTPM deaktiviert oder auf dedizierte TPM-Chips umgestellt, um dieses Problem zu umgehen.

5. Firmware-Update-Probleme:

  • Beschreibung: Einige Nutzer berichteten, dass Firmware-Updates, die zur Behebung von fTPM-Problemen veröffentlicht wurden, entweder fehlerhaft waren oder die Probleme nur unzureichend gelöst haben. In einigen Fällen verursachten diese Updates sogar zusätzliche Probleme, wie Systeminstabilitäten oder Inkompatibilitäten mit anderen Sicherheitssoftwarelösungen.
  • Lösung: Weitere nachfolgende Updates wurden benötigt, um diese Probleme vollständig zu beheben.

Zusammenfassung der Probleme:

In dieser Tabelle sind nochmals die bekanntesten Windows Probleme aufgeführt, die in Zusammenhang mit fTPM stehen.

ProblemBeschreibungBetroffene SystemeLösung
Latenzprobleme (Stuttering)Verzögerungen im System durch fTPM-Aktivität, besonders bei Spielen und unter Last.AMD Ryzen-basierte SystemeFirmware-Updates von AMD oder Wechsel auf TPM-Chip.
Sicherheitslücken in der FirmwareSchwachstellen in der Firmware, die Angriffe ermöglichen könnten.Intel PTT, AMD fTPMFirmware-Patches durch Hersteller.
Kompatibilitätsprobleme mit Windows 11Probleme mit der Erkennung und Nutzung von fTPM unter Windows 11, führten zu Boot-Problemen und Instabilität.Hauptsächlich AMD-SystemeUpdates von Microsoft und AMD.
Eingeschränkte Leistung bei VirtualisierungHohe CPU-Belastung durch fTPM in virtuellen Umgebungen.Systeme mit intensiver VirtualisierungDeaktivierung von fTPM oder Wechsel auf dediziertes TPM.
Fehlerhafte Firmware-UpdatesFirmware-Updates verursachen weitere Probleme oder Instabilitäten.Verschiedene SystemeWeitere Updates zur Korrektur notwendig.

Sollten sich Probleme mit fTPM oder TPM zeigen, so verfügt Windows hat bereits sehr gute Funktionen zur TPM Diagnose.

Versionen von fTPM

Hier nachfolgend haben wir eine Tabelle mit den bekannten fTPM-Versionen von AMD und Intel aufgelistet.

Tabelle: Bekannte fTPM-Versionen

HerstellerfTPM-VersionProzessor-GenerationVeröffentlichungsjahrHauptmerkmale / Verbesserungen
AMDfTPM 1.0AMD Ryzen 1000-Serie2017Erste fTPM-Implementierung auf AMD Ryzen-Prozessoren.
AMDfTPM 2.0AMD Ryzen 2000-Serie und höher2018Verbesserte Sicherheit, Kompatibilität mit TPM 2.0-Standard, häufig in modernen Systemen genutzt.
AMDfTPM 2.0 UpdateAMD Ryzen 3000- und 5000-Serie2021Optimierungen zur Behebung von Stuttering-Problemen, Sicherheitsverbesserungen.
AMDfTPM 2.0 FirmwareAMD Ryzen 6000-Serie2022Weiteres Update zur Optimierung der Performance, speziell für Windows 11 Anforderungen.
IntelPTT (fTPM) 1.0Intel Skylake (6. Generation)2015Einführung von Intel Platform Trust Technology (PTT) als fTPM-Implementierung.
IntelPTT (fTPM) 2.0Intel Kaby Lake (7. Generation)2016Unterstützung von TPM 2.0-Standards und verbesserte Sicherheitsfunktionen.
IntelPTT (fTPM) UpdateIntel Coffee Lake (8./9. Gen.)2017-2019Sicherheits- und Performance-Verbesserungen, Integration in die Intel Management Engine.
IntelPTT (fTPM) 2.0 UpdateIntel Tiger Lake (11. Generation)2020Verbesserte Performance und Sicherheit, insbesondere für moderne Betriebssysteme wie Windows 11.

Fazit

Das fTPM stellt eine flexible und kostengünstige Lösung dar, um moderne Computersysteme zu sichern. Sowohl AMD als auch Intel bieten ihre eigenen Implementierungen, wobei AMD fTPM als Teil des AMD Secure Processors und Intel PTT als Teil der Intel Management Engine ausgeführt wird. Obwohl beide ähnliche Funktionen erfüllen, gibt es Unterschiede in ihrer Sicherheitsarchitektur und ihrer Implementierung. In der Praxis bietet fTPM eine praktikable Alternative zu TPM, insbesondere für Geräte, bei denen kein dedizierter TPM-Chip vorhanden ist. Jedoch ist es wichtig, die spezifischen Anforderungen des jeweiligen Anwendungsbereichs zu berücksichtigen und potenzielle Risiken abzuwägen.