一応現役でエンジニアをやらせていただいております。ちゅーぼーです。

今日は暇なのでWindows11にアップデートする際になぜTPM2.0が必須になったのかを考えていきます。

自分もこの設定が必要で対応させられた一人です。

Windows11にアップデートするための必須要件

最近リリースされたWindows11ですが、Windows10からアップデートするためにはいくつかの条件があります(無視してアップデートもできるけど推奨されない)。

• CPU: 2コア, 1GHz以上

• メモリ: 4GB以上

• ストレージ: 64GB以上

• システムファームウェア: BIOSがUEFIであり、セキュアブートに対応していること

• TPM: TPM2.0を利用していること

• グラフィックカード: DirectX 12以降に対応していること

などなど。

日本語訳がとても微妙ですが、公式ドキュメントはこちら
Windows 11 のシステム要件 (microsoft.com)

その中でよく問題になるのが TPM2.0 の対応です。

TPMとは

Microsoftのドキュメントによると下記のように書いています。

後半難しいですが、PCを守るためのセキュリティに必要な機能を提供してくれるチップです。

TPMは、HDDやSSDに保持されているデータのハードウェアレベルでの保護等に利用されます。Nortonのようなセキュリティソフトとは役割が異なります。

聞きなじみがあるとしたら、BitLockerでディスクのデータを暗号化する機能でしょうか。オフラインの時にデータ改ざんをされないよう、データを暗号化し、信頼されたユーザがPCを操作しているときにのみ、読み書きを可能にしてくれます。

そんなTPMですが、Microsoftは今までよく使われていたTPM1.2ではなくバージョン2.0 を使うように要求しています。なぜでしょうか。

TPM1.2とTPM2.0の違い

Microsoftのドキュメントに差異が書かれていました。そのうち変更しないと致命的な問題となりうるのは下記の部分だと思います。

ハッシュアルゴリズムとしてSHA-1しか使えなくて、その方式が危険であるとみなされていると書いています。

ハッシュアルゴリズムというのは、暗号化とは異なり、もとに戻せないように不可逆変換する処理に使われる仕組みのことです。

確かに、2017年にGoogleがSHA-1で作られたハッシュの衝突を確認したと発表し話題になっていました。
Google Online Security Blog: Announcing the first SHA1 collision (googleblog.com)

近年計算能力の向上により、今まで安全とされていたセキュリティの仕組みが安全でなくなってきています。SHA-1もその一つです。

結論

つまり、TPM1.2では危険だとみなされるハッシュアルゴリズムしか使えないため、TPM2.0への移行が強く推奨されており、それがWindows11へのアップデート要件に盛り込まれた最大の理由だと思います。

そのほかにも改善ポイントは書かれていましたが、パフォーマンスの改善や使い勝手の改善の話のように見えたのでそこまで重要度は高くなさそうです。

最後に

ということで、TPM2.0にアップデートが強制される理由について考察してみました。

ここまで強気な姿勢で変えようとするには何かしら理由があるんだろうなと思っていたら、やはり理由がありました。Windows11への移行に関わらず、TPM2.0に変えておいたほうが安全かもしれませんね。

それではまた！