Fidarsi del Trusted Platform Module
Il chip TPM può essere un chip separato impiantato sulla motherboard, integrato in un controller di rete o piazzato all'interno del Southbridge; ovunque sia, può essere connesso al Low Pin Count bus.
Il TPM fu inizialmente progettato da IBM, e controllato da un'alleanza d'aziende detta "Trusted Computing Group". Potete immaginarlo come una smartcard saldata sulla motherboard. L'hardware è identico ad un SIM, ma con un firmware differente. Il primo chip Embedded Security System di IBM era su una scheda separata, ma il TPM è inseparabile dalla scheda madre (connesso al Southbridge o al controller I/O, tramite il Low Pin Count bus a 33 MHz). Il chip TPM, in ogni caso, non è presente in tutti i sistemi: si trova in ogni PC marchiato VPro e Centrino Pro. Quando Apple passò ai processori Intel, inserì il TPM sulle motherboard Mac (per controllare che il sistema operativo Mac OS X stesse funzionando su hardware Apple), ma poi decise di togliere il chip per abbassare i costi di produzione.
Il TPM ha solo poche funzioni, tra cui un generatore di numeri casuali e un generatore di chiavi, che gli permette di creare firme digitali e coppie di chiavi per la codifica. Queste chiavi di codifica sono immagazzinate in una locazione protetta all'interno del TPM, cosicché siano difficili da attaccare. Le chiavi private non escono mai dal TPM, ma è il chip stesso che confronta le chiavi, le verifica o le marchia come chiavi pubbliche. Esistono anche chiavi "di root", che servono per la crittografia dei supporti d'archiviazione, e per accedere alle informazioni sulle altre chiavi. Il TPM stesso è legato ad una chiave privata, creata dal produttore, che non può essere letta da sistemi esterni. Ci sono funzioni d'inizializzazione e gestione, per attivare/disattivare le funzioni del TPM, resettare e cancellare le chiavi, e appropriarsi di un nuovo - o resettato - TPM (così è possibile passare il computer ad un nuovo proprietario). Il chip TPM supporta anche il protocollo Direct Anonymous Attestation, al quale ricorre se un sistema esterno ha bisogno di sapere se il PC dispone o meno del chip di sicurezza. In questo caso, il chip fornisce solo una risposta affermativa, e nulla di più.
Il chip TPM, di fabbrica, è disabilitato. Per abilitarlo si agisce su un jumper (ponticello), sul BIOS, o su entrambi, in base al sistema. La semplice attivazione non abilita il TPM ad attivare degli interrupt, ma solo a rispondere a richieste software. Per usare il TPM dovrete "prenderne" il controllo tramite un software di gestione fornito con il PC: Intel usa il Wave's Embassy Security Center. Per usare il chip TPM per generare delle chiavi bisogna impostarlo come fornitore di servizi di crittografia (Cryptographics Service Provider, CSP).
Il Trusted Platform Module è disabilitato di default, e deve essere configurato con un software per utilizzarlo.
Dopo che avete attivato il chip e ne avete preso il controllo, potrete usare le opzioni avanzate per abilitare il Cryptographic Service Provider ogni volta che generate un certificato.