ماژول امنیتی TPM چیست؟

کلیدهای اصلی (Root Keys)

قلب امنیت TPM در این کلیدها نهفته است. سه کلید مهم در ساختار TPM وجود دارد:

• EK (Endorsement Key): کلید منحصربه‌فرد کارخانه که هویت سخت‌افزار را تأیید می‌کند.
• SRK (Storage Root Key): کلید پایه برای رمزگذاری سایر کلیدها یا داده‌های ذخیره‌شده در TPM.
• AIK (Attestation Identity Key): کلیدی که برای تأیید صحت پلتفرم در برابر سیستم‌های خارجی استفاده می‌شود.

این کلیدها نه در سیستم‌عامل، نه در هارددیسک و نه حتی در BIOS ذخیره نمی‌شوند — بلکه فقط درون TPM قابل دسترسی‌اند.

فرآیند بوت امن، آزمون اعتماد در هر بار روشن شدن

وقتی سرور روشن می‌شود، TPM همان لحظه وارد عمل می‌شود.

در گام اول، BIOS یا UEFI هر مؤلفه حیاتی سیستم (Bootloader، درایورها، کرنل سیستم‌عامل) را اندازه‌گیری کرده و هش حاصل را در PCRهای TPM ذخیره می‌کند.

سپس TPM این هش‌ها را با مقادیر معتبر ذخیره‌شده قبلی مقایسه می‌کند. اگر هرگونه تفاوت یا تغییر مشکوکی تشخیص داده شود، مثلاً تغییر در Bootloader یا Firmware، سیستم از بوت شدن جلوگیری می‌کند یا هشدار امنیتی صادر می‌شود.

به این فرآیند، Measured Boot یا «بوت اندازه‌گیری‌شده» گفته می‌شود؛ نقطه‌ای که TPM به معنای واقعی کلمه تعیین می‌کند: «آیا این سرور همان سیستمی است که دیروز به آن اعتماد داشتیم؟»

اطمینان از بوت امن

اولین و شاید مهم‌ترین کاربرد TPM در سرورها، تضمین یک بوت سالم و معتبر است.

در فرآیند بوت امن، TPM با اندازه‌گیری تمام مؤلفه‌های حیاتی (BIOS، Firmware، درایورها و Bootloader) اطمینان می‌دهد که سیستم دقیقاً در همان وضعیت معتبر قبلی راه‌اندازی می‌شود.
اگر تغییری در هرکدام از این بخش‌ها رخ دهد، TPM مقدار هش متفاوتی ثبت می‌کند و بلافاصله سیستم را از ادامه بوت بازمی‌دارد یا هشدار امنیتی می‌فرستد.

به همین دلیل است که شرکت‌هایی مانند HP و Dell در سرورهای نسل جدید (G9 به بعد) بوت امن مبتنی بر TPM را به‌صورت پیش‌فرض فعال کرده‌اند.

مدیریت کلیدهای رمزنگاری و حفاظت از داده‌ها

آیا رمزهای BitLocker یا گواهی‌های SSL در سرور شما به‌صورت ایمن نگهداری می‌شوند؟

TPM به‌عنوان یک «حافظه سخت‌افزاری ضدنفوذ» عمل می‌کند که کلیدهای رمزنگاری، گواهی‌ها و داده‌های حساس را درون خود ذخیره می‌کند.

برخلاف ذخیره‌سازی در دیسک یا فایل‌سیستم، کلیدهای نگهداری‌شده در TPM حتی با دسترسی فیزیکی به سرور نیز قابل استخراج نیستند.
به همین دلیل است که در ویندوز سرور، قابلیت BitLocker تنها زمانی فعال می‌شود که TPM وجود داشته باشد — چون سیستم‌عامل به ماژولی نیاز دارد که به آن واقعاً اعتماد کند.

تأیید هویت سخت‌افزار

در یک شبکه بزرگ سازمانی، از کجا مطمئن می‌شویم هر سرور همان دستگاهی است که ادعا می‌کند؟

TPM با استفاده از کلید EK (Endorsement Key) و فرآیند Attestation، هویت سخت‌افزاری هر سرور را اثبات می‌کند.

به‌عبارتی، حتی اگر کسی تلاش کند Firmware را کپی کرده یا سخت‌افزار مشابهی بسازد، بدون کلید منحصربه‌فرد TPM امکان جعل هویت وجود ندارد.
این ویژگی برای دیتاسنترهایی که از ده‌ها سرور HP، Dell یا Lenovo استفاده می‌کنند، یک تضمین حیاتی برای کنترل اصالت تجهیزات است.

امنیت در محیط‌های مجازی و ابری

شاید فکر کنید TPM فقط برای سخت‌افزار فیزیکی است؛ اما دنیای امروز در حال حرکت به سمت مجازی‌سازی و Cloud Infrastructure است.

در پلتفرم‌هایی مانند VMware vSphere و Microsoft Hyper-V، نسخه‌ای مجازی از TPM به نام vTPM ارائه می‌شود که همان عملکرد امنیتی را برای ماشین‌های مجازی (VM) فراهم می‌کند.

vTPM به هر ماشین مجازی اجازه می‌دهد بوت امن و رمزنگاری اختصاصی خود را داشته باشد — بدون اینکه به TPM فیزیکی مادربرد وابسته باشد.
به این ترتیب، حتی در محیط‌های چند‌مستاجره (Multi-Tenant Cloud)، امنیت سطح سخت‌افزار حفظ می‌شود.

پشتیبانی از سیستم‌های مدیریت از راه دور (مثل HP iLO و Dell iDRAC)

در سرورهای HP نسل G10 به بعد، TPM با کنترلر مدیریتی iLO یکپارچه شده است تا امنیت ارتباطات مدیریتی افزایش یابد.

به‌عنوان مثال، در صورت فعال بودن TPM، iLO تنها در صورتی اجازه اجرای دستورات حساس (مثل Firmware Update یا BIOS Access) را می‌دهد که سیستم‌عامل بوت‌شده توسط TPM تأیید شده باشد.

این یعنی حتی اگر دسترسی مدیریتی از راه دور دچار نشت شود، TPM جلوی اجرای کدهای مخرب را در سطح سخت‌افزار می‌گیرد.

محافظت از سرور در برابر حملات سطح BIOS و Firmware

یکی از خطرناک‌ترین نوع نفوذها، حملات سطح BIOS یا Rootkitهای Firmware هستند؛ حملاتی که پیش از بارگذاری سیستم‌عامل رخ می‌دهند و حتی با نصب مجدد ویندوز هم حذف نمی‌شوند.

TPM با ثبت هش BIOS و Firmware در PCRها، جلوی این نوع تغییرات غیرمجاز را می‌گیرد و به مدیر سیستم هشدار می‌دهد.

به بیان دیگر، TPM نه‌تنها از داده‌ها محافظت می‌کند، بلکه از «رفتار غیرمنتظره سخت‌افزار» نیز جلوگیری می‌کند، چیزی که هیچ نرم‌افزار امنیتی قادر به انجامش نیست.

1. بررسی وجود و وضعیت TPM

برای اطمینان از نصب و شناسایی TPM در سرور HP خود، مراحل زیر را دنبال کنید:

روش ۱: از طریق iLO

• وارد محیط HP iLO شوید.
• به مسیر Security → Trusted Platform Module (TPM) بروید.
• وضعیت تراشه را بررسی کنید:
  • Present: ماژول شناسایی شده
  • Enabled/Disabled: فعال یا غیرفعال بودن
  • Owned/Unowned: وضعیت مالکیت سیستم

روش ۲: از طریق BIOS

• سیستم را ریستارت کرده و با کلید F9 وارد تنظیمات BIOS شوید.
• در منوی System Configuration → BIOS/Platform Configuration (RBSU) → Server Security → Trusted Platform Module Options وضعیت فعلی TPM را مشاهده کنید.

2. فعال‌سازی TPM در BIOS سرور HP

اگر وضعیت TPM روی Disabled است، برای فعال‌سازی مراحل زیر را انجام دهید:

• وارد محیط BIOS شوید (F9 در هنگام بوت).
• به مسیر System Configuration → BIOS/Platform Configuration (RBSU) → Server Security → Trusted Platform Module Options بروید.
• گزینه TPM Functionality را از Disabled به Enabled تغییر دهید.
• تغییرات را ذخیره کرده و سیستم را ریبوت کنید.
• پس از بوت مجدد، وارد BIOS شوید و وضعیت را بررسی کنید.

 نکته مهم: فعال‌سازی TPM ممکن است در اولین بوت پیغام “TPM Initialization Required” نمایش دهد. باید تأیید کنید تا سیستم TPM را مقداردهی اولیه کند.

3. مالکیت TPM (Taking Ownership)

در سیستم‌عامل (ویندوز سرور یا لینوکس)، باید مالک TPM را تعیین کنید تا قابلیت‌هایی مانند BitLocker فعال شوند.

در ویندوز سرور:

• به مسیر Control Panel → BitLocker Drive Encryption → TPM Administration بروید.
• روی گزینه Initialize TPM کلیک کنید.
• مراحل را تا پایان انجام دهید تا کلید مالکیت (Owner Password) ایجاد شود.
• این کلید را در محیط امن ذخیره کنید.

در لینوکس (با tpm2-tools):

sudo tpm2_getrandom 8
sudo tpm2_takeownership -o ownerpass -e endorsepass -l lockoutpass

4. فعال‌سازی TPM در iLO

• ورود به iLO → تب Security
• انتخاب TPM Configuration
• فعال‌سازی و تأیید تغییر
• ریبوت سیستم برای نهایی شدن تغییرات

5. بررسی وضعیت TPM در سیستم‌عامل

برای اطمینان از اینکه TPM پس از بوت فعال شده است:

در ویندوز:

Get-WmiObject -Namespace "Root\CIMv2\Security\MicrosoftTpm" -Class Win32_Tpm

در لینوکس:

dmesg | grep -i tpm
tpm2_getcap -c properties-fixed

اگر خروجی شامل مقدار TPM Present: True و TPM Enabled: True باشد، ماژول با موفقیت فعال شده است.

6. نکات امنیتی نهایی برای مدیران IT

• قبل از فعال‌سازی TPM در سرورهای Production، از داده‌های حیاتی بکاپ بگیرید.
• رمز عبور مالک (Owner Password) را در محیطی آفلاین و ایمن ذخیره کنید.
• در صورت تعویض مادربرد یا ماژول TPM، باید مراحل Clear Ownership را انجام دهید.
• پیشنهاد می‌شود Firmware TPM و BIOS به آخرین نسخه آپدیت شوند تا با TPM 2.0 سازگار باشند.

1. خطای TPM Not Detected

علت: این پیام معمولاً زمانی ظاهر می‌شود که سیستم‌عامل یا iLO نتواند تراشه TPM را از طریق گذرگاه SPI یا LPC شناسایی کند.

راه‌حل:

• وارد BIOS شوید (F9 هنگام بوت).
• مسیر زیر را بررسی کنید:System Configuration → BIOS/Platform Configuration (RBSU) → Server Security → Trusted Platform Module Options
• اگر گزینه TPM Present: No نمایش داده شد، ماژول احتمالاً نصب نشده یا به درستی در سوکت قرار نگرفته است.
• سیستم را خاموش کرده، درپوش را باز کنید و ماژول TPM را مجدداً نصب کنید.
• سپس دوباره بوت کرده و وضعیت را بررسی کنید.

💡 نکته: در سرورهای نسل G10، پس از نصب فیزیکی TPM، ممکن است لازم باشد یک بار سیستم کامل خاموش شود (AC Power Off) تا ماژول در بوت بعدی شناسایی شود.

2. خطای TPM Device Error

علت: این خطا معمولاً به دلیل تداخل Firmware یا فعال‌سازی ناقص در BIOS رخ می‌دهد.

راه‌حل:

• وارد iLO شوید و مسیر Information → System Information → Firmware & OS نسخه BIOS و Firmware TPM را بررسی کنید.
• از سایت رسمی HP، آخرین نسخه BIOS مربوط به مدل سرور خود را دانلود و آپدیت کنید.
• در BIOS مسیر زیر را طی کنید:System Configuration → BIOS/Platform Configuration (RBSU) → Server Security → TPM Clear
• گزینه Clear TPM را انتخاب و سیستم را ریبوت کنید.
• پس از بوت مجدد، TPM را دوباره فعال کنید.

⚠️ هشدار: عملیات Clear TPM تمام کلیدهای ذخیره‌شده در ماژول را حذف می‌کند. قبل از انجام این کار حتماً بکاپ کلیدها را تهیه کنید.

3. خطای BitLocker Cannot Find TPM

علت: در ویندوز سرور، زمانی که TPM فعال نشده یا مالکیت (Ownership) گرفته نشده باشد، BitLocker پیغام “Compatible TPM cannot be found” نمایش می‌دهد.

راه‌حل:

• از مسیر زیر در ویندوز بررسی کنید: tpm.msc → Status → The TPM is ready for use
• اگر وضعیت “The TPM is turned off” بود، روی Initialize TPM کلیک کنید.
• در BIOS بررسی کنید که TPM Functionality = Enabled باشد.
• اگر همچنان خطا وجود دارد، با PowerShell این دستورات را اجرا کنید:

  Clear-Tpm
  Initialize-Tpm

• سپس دوباره BitLocker را پیکربندی کنید.

4. خطای TPM Ownership Conflict

علت: زمانی رخ می‌دهد که سرور قبلاً مالک TPM را داشته، اما BIOS جدید یا سیستم‌عامل متفاوت تلاش می‌کند دوباره مالکیت بگیرد.

راه‌حل:

• از طریق BIOS یا iLO گزینه Clear Ownership را انتخاب کنید.
• پس از ریبوت، TPM را مجدداً Initialize کنید تا مالکیت جدید تنظیم شود.

5. خطای TPM در iLO (Security State Error)

علت: در بعضی نسخه‌های Firmware iLO، همگام‌سازی اطلاعات TPM و سیستم‌عامل دچار خطا می‌شود.

راه‌حل:

• Firmware iLO را به آخرین نسخه ارتقا دهید.
• در صورت باقی ماندن خطا، از طریق iLO دستور زیر را اجرا کنید:TPM Reinitialization → Enable
• سپس سیستم را یک‌بار کامل از برق بکشید (AC Power Cycle).

6. TPM Working But Logs Show Warning

گاهی TPM کاملاً فعال است ولی در System Event Log (SEL) هشدارهایی مثل زیر دیده می‌شود:

TPM PCR measurement failed
TPM authentication attempt failed

این خطا معمولاً به‌دلیل تغییر Firmware یا درایور جدید است.

راه‌حل ساده: Clear Logs → Reboot → Re-Measure Boot

❓ TPM دقیقاً چیست و چه کاری انجام می‌دهد؟

TPM (Trusted Platform Module) یک تراشه امنیتی سخت‌افزاری است که وظیفه آن تولید، ذخیره و مدیریت کلیدهای رمزنگاری و تأیید سلامت بوت سیستم است. این ماژول به سیستم‌عامل اطمینان می‌دهد که سخت‌افزار و Firmware تغییر نکرده‌اند.

❓ آیا TPM فقط برای ویندوز کاربرد دارد؟

خیر. TPM در سیستم‌عامل‌های مختلف از جمله Windows Server، Linux، VMware ESXi و Hyper-V پشتیبانی می‌شود. در محیط‌های سازمانی، از TPM برای امنیت بوت، رمزنگاری دیسک و مدیریت گواهی‌ها استفاده می‌شود.

❓ تفاوت TPM 1.2 و TPM 2.0 در چیست؟

نسخه 2.0 از الگوریتم‌های رمزنگاری مدرن‌تر مانند SHA-256، AES و ECC پشتیبانی می‌کند و با سیستم‌های جدیدتر (از جمله ویندوز 10/11 و سرورهای نسل G10 به بعد) سازگار است. TPM 1.2 فقط از RSA و SHA-1 پشتیبانی می‌کرد و دیگر توصیه نمی‌شود.

❓ چطور بفهمم سرور HP من TPM دارد؟

در سرورهای HP می‌توانید از دو روش بررسی کنید:

• از طریق iLO → Security → Trusted Platform Module
• از طریق BIOS → System Configuration → Server Security → TPM Options

اگر گزینه «TPM Present: Yes» نمایش داده شود، ماژول نصب است.

❓ فعال‌سازی TPM در سرورهای HP چگونه انجام می‌شود؟

از طریق BIOS مسیر زیر را دنبال کنید:

System Configuration → BIOS/Platform Configuration (RBSU) → Server Security → Trusted Platform Module Options

سپس گزینه TPM Functionality = Enabled را انتخاب کرده، تنظیمات را ذخیره و سیستم را ریبوت کنید.

❓ آیا TPM را می‌توان به‌صورت جداگانه خرید و نصب کرد؟

بله. در بسیاری از مدل‌های سرور HP، TPM یک ماژول قابل نصب است. شما می‌توانید ماژول TPM رسمی HPE با پارت‌نامبرهای P01366-B21 یا 488069-B21 را از فروشگاه‌های معتبری مثل ماهان شبکه ایرانیان تهیه کنید.

❓ اگر TPM را پاک (Clear) کنم چه اتفاقی می‌افتد؟

با اجرای دستور Clear TPM تمام کلیدهای رمزنگاری و اطلاعات ذخیره‌شده در تراشه حذف می‌شود. این کار فقط باید زمانی انجام شود که می‌خواهید سیستم را دوباره پیکربندی کنید یا مادربرد را تعویض نمایید.

❓ آیا TPM برای استفاده از BitLocker الزامی است؟

بله، در ویندوز و ویندوز سرور، TPM پیش‌نیاز فعال‌سازی BitLocker Drive Encryption است. اگر TPM وجود نداشته باشد، سیستم‌عامل از شما می‌خواهد برای هر بار بوت، کلید بازیابی را وارد کنید.

❓ TPM با vTPM چه تفاوتی دارد؟

TPM ماژول فیزیکی روی مادربرد است، اما vTPM نسخه مجازی‌شده آن برای ماشین‌های مجازی در محیط‌هایی مثل VMware یا Hyper-V است. vTPM به هر ماشین مجازی اجازه می‌دهد کلیدهای رمزنگاری و بوت امن مخصوص به خودش را داشته باشد.

❓ آیا TPM 2.0 روی سرورهای قدیمی‌تر HP (مثل G8) قابل استفاده است؟

خیر. سرورهای نسل G8 و پایین‌تر معمولاً فقط با TPM 1.2 سازگار هستند. برای استفاده از TPM 2.0 باید حداقل از نسل G9 به بالا استفاده کنید و BIOS سیستم را به آخرین نسخه ارتقا دهید.

❓ آیا TPM ممکن است باعث خطا یا بوت‌نشدن سیستم شود؟

در مواردی که تنظیمات BIOS ناهماهنگ یا Firmware قدیمی باشد، خطاهایی مانند “TPM device not detected” ممکن است ظاهر شود. راه‌حل: به‌روزرسانی BIOS، فعال‌سازی مجدد TPM و انجام Clear Ownership معمولاً مشکل را برطرف می‌کند.

❓ آیا TPM اطلاعات شخصی یا رمزها را ذخیره می‌کند؟

خیر. TPM فقط هش‌ها و کلیدهای رمزنگاری را ذخیره می‌کند، نه داده‌های شخصی یا محتوا. بنابراین از نظر حفظ حریم خصوصی کاملاً ایمن است.