1. HPE가 사용하는 TPM 모듈은 HW 모듈임.
HPE Trusted Platform Module 2.0 Gen10 Plus
https://www.hpe.com/psnow/doc/c04939549.pdf?jumpid=in_pdp-psnow-qs
Note. TPM module 장착 시, 기본적으로 TPM이 활성화 됨
Note. 과거 Gen10 출시 초기, 잠시 BIOS에서 TPM 기능을 포함했으나, 안정성의 이슈 등으로 제거됨.
Note. TPM 모듈은 탈부착 가능한 모듈이 아님. 한 번 물리적으로 장착하면 제거할 수 없음.
(임의 제거 시도 시, 물리적 파손 발생 – 이는 도난 방지 등을 위한 모듈임에 설계에 따른 기능)
2. TPM이 장착되어 있으나, 사용자의 목적에 따라, TPM을 사용하지 않고자 한다면, BIOS에서 TPM 관련 설정/기능을 통해 무시하도록 설정할 수 있음.
관련참조자료:
UEFI System Utilities User Guide for HPE ProLiant Gen10, ProLiant Gen10 Plus Servers, and HPE Synergy
https://support.hpe.com/hpesc/public/docDisplay?docId=sd00001068en_us&page=GUID-D7147C7F-2016-0901-0A72-000000000D01.html
Configuring Trusted Platform Module options
By default, the Trusted Platform Module is enabled as TPM 2.0 when the server is powered on after installing it.
TPM 2.0 Visibility—Sets whether TPM is hidden form the operating system. Options are:
Hidden - Hides TPM from the operating system. Use this setting to remove TPM options from the system without having to remove the actual hardware.
TPM UEFI Option ROM Measurement - Enables or disables (skips) measuring UEFI PCI operation ROMs. Options are:
Disabled
3. TPM은 암호화된 키 값을 저장하는 것으로, 해당 키 값이 없으면, OS 및 Data에 대한 접근을 막기 위한 솔루션.
HW 측면에서는 TPM(물리적 하드웨어) 모듈 장착과 해당 기능을 활성화 하는 것 외, 별도의 추가 동작은 없음.
실제적인/기본적인 동작(운용)은 OS 상위 레벨에서 수행하게 됨 (OS가 지원해야 사용이 가능함, 예로, Windows의 BitLocker가 있음)
OS에서 암호화를 수행하면, 암호키는 TPM에 저장되고, 이 후 부팅부터 자동으로 동작함. 관련 복구키는 사용자가 별도로 보관/관리해야 함. (분실 시, 복원할 수 없음에 따라, 1개 이상의 복제를 권장)
4. 일부 환경에서, 예를 들어 운용 OS의 가상화 OS(vm)에서 TPM을 비활성화 필요한 경우, BIOS에서 해당 기능을 설정 변경하여 사용이 필요.
Note. TPM을 비활성화(Hidden) 변경 시도 시, 관련 항목이 비활성화(Grey out)되어, 관련 설정이 불가한 경우, 보안 기능이 활성화 되어 있어서 그런 것으로, 관련 설정을 잠시 비활성화(Disable) 후, TPM 설정을 변경할 수 있다.
1) Disable Platform Certificate Support
2) Hide TPM Visibitity
관련참조자료:
Advisory: HPE ProLiant or Synergy Gen10/Gen10 Plus Server Platforms - Unable to Hide the Trusted Platform Module (TPM) 2.0 Using the BIOS/Platform Configuration (RBSU) When Platform Certificate Support Is Enabled
https://internal.support.hpe.com/hpesc/public/docDisplay?docId=a00117654en_us
UEFI System Utilities User Guide for HPE ProLiant Gen10, ProLiant Gen10 Plus Servers, and HPE Synergy
Enabling or disabling platform certificate support
https://support.hpe.com/hpesc/public/docDisplay?docId=sd00001068en_us&page=GUID-FF2DD5C2-B0E5-4C4B-B659-403F0A009A7E.html
Platform Certificate Support > Disabled
5. TPM module을 구매 및 장착한 경우, 장애 등으로, System Board 교체 시, TPM이 장착되어 있음을 HPE에 알려야 함 (실제 사용여부와 관계 없음)
HPE는 System Board와 TPM 모듈 2개를 일괄 교체하게 됨. (미사용 중에, 고객이 알리지 않는 경우, TPM 모듈 교체가 누락될 수 있음에 따름)
