TPM安全概述：TPM设备的优势

远程证明也可用于自修复系统。例如，当谷歌Chromebook通电时，TPM会测量 BIOS.如果这个测量和PCR值不匹配，Chromebook会在继续启动之前回到上一个已知信任状态，这显着降低了设备遭受物理盗窃或软件攻击的风险。

TPM设备独特的签注密钥也意味着，它可以被用来验证设备，而不是用户。这个功能可以结合所有802.1x兼容的网络政策执行点（例如 防火墙、 交换机和 路由器）来提供基于硬件的身份验证。无线和虚拟私有网络也可以配置为执行基于硬件的身份验证。利用硬件水平的安全服务能够提供比纯软件机制更好的保护；根据Aberdeen公司2012年的报告显示，利用这种身份验证机制创建硬件信任根基的企业遭遇的安全事故要比其他企业低50%.基于TPM的这些安全优势，TPM没有被广泛应用以及得到广泛支持，这很让人诧异。

TPM并不是万能解决方案

再好的信息安全方法也有缺点，TPM同样如此。例如，虽然数字版权管理（DRM）并不是TPM的预定用途，但一些企业还是担心隐私问题，因为它可以用来提供强大的DRM和执行软件授权来锁定内容到特定机器和识别用户活动。对于企业来说，这里的主要缺点是，通过存储密钥在终端的TPM芯片中，基于TPM的身份验证会绑定用户到单台电脑。这使得多设备使用（例如在线办公桌面）变得不可能，所以，很多企业会选择使用第三方软件进行磁盘加密，特别是当法规没有要求使用TPM提供的额外安全时。

还需要注意的是，TPM的主要目的是为密钥提供安全存储，这意味着，数据只有在静态才会受到保护，在使用过程中则没有保护。一旦启封，数据就是纯文本格式；虽然TPM可以存储预运行时配置参数，但在设备完成开机后，它不能控制已经执行的恶意软件。在加密和解密过程中，密钥也容易受到攻击，这个问题已经通过冷启动攻击得以证明。TPM的另一个问题（对于任何PKI加密都是如此）是密钥管理。密钥管理通常很复杂，对于TPM更是如此；它需要整合TPM密钥管理与更广泛的企业加密管理计划，并最大限度地减少TPM给日常系统支持任务带来的复杂性，例如丢失或遗忘身份验证凭证，或者安装更改终端默认状态的软件补丁。

与所有其他安全控制一样，TPM的缺点可能给企业带来潜在安全问题，所以，只有与其他现有端点控制（例如多因素身份验证、网络访问控制和恶意软件检测）结合使用，它才是最有效的。

TPM的未来？

对于TPM设备的未来发展，我们将看到Wave Systems等供应商发布新产品，以及TPM部署作为微软Windows 8和Server 2012的核心组件，相关的安全部署可能会增加，特别是随着密钥管理变得更加简化。事实上，微软已经要求在运行Windows 8的设备（包括手机和平板电脑）以及运行Server 2012的 服务器包含TPM芯片，这将推动TPM发展成为无处不在的安全保护机制。随着越来越多的企业想要提供内置安全性，同时确保不会给用户造成不便，TPM还将继续发展壮大，最终成为更具影响力的技术。