Word partner
Word gematcht
IBgidsNL
Vind een aanbieder
Bedrijven 643 cybersecurity aanbieders ZZP'ers Freelance security professionals Sprekers Experts voor jouw event
Governance, Risk & ComplianceTraining & AwarenessSecurity AssessmentsIdentity & Access ManagementCloud SecurityEndpoint SecurityNetwork SecurityMonitoring & Incident ResponseManaged Security ServicesData SecuritySoftware SecurityTalent & Staffing
MKBOverheidOnderwijsZorgITTransportTelecomIndustrieRetailFinancieelEnergieDefensie
Werk & events
Vacatures Cybersecurity banen in Nederland Evenementen Conferenties, meetups en training
Kennisbank
Nieuws Laatste cybersecurity-nieuws Blog Artikelen en inzichten Bedrijfsupdates Updates van partners Externe bronnen Geselecteerde bronnen Woordenboek Cybersecurity begrippen Auteurs Onze kennisexperts
Aanmelden
Bedrijf aanmelden Kom op IBgidsNL als aanbieder ZZP'er aanmelden Meld je profiel aan als freelancer Spreker aanmelden Voor events en lezingen Auteur aanmelden Schrijf voor IBgidsNL
Word gematcht

TPM

Technologie

1. Third Party Memorandum/Mededeling. Verklaring van een onafhankelijk onderzoeksbureau waarin staat hoe goed de ICT-dienstverlening en ICT-kennis van een organisatie zijn. 2. Trusted Platform Module. Internationale standaardeisen voor een veilige cryptoprocessor. De TPM is ontworpen om hardware te gebruiken in het beveiligen van sleutels en cijfercodes. Dit security model zorgt ervoor dat de sleutels niet gestolen kunnen worden.

Een Trusted Platform Module (TPM) is een gespecialiseerde beveiligingschip die is ingebouwd in computers, laptops en servers om cryptografische sleutels, wachtwoorden en certificaten veilig op te slaan en te verwerken. De chip biedt hardware-gebaseerde beveiliging die fundamenteel sterker is dan software-only oplossingen, omdat de cryptografische operaties in een geisoleerde, tamper-resistant omgeving plaatsvinden. TPM is een internationale standaard volgens ISO/IEC 11889 en wordt beheerd door de Trusted Computing Group. Inmiddels bevinden zich wereldwijd meer dan twee miljard TPM-chips in apparaten, waardoor de technologie een stille maar cruciale bewaker is van digitale veiligheid.

De huidige standaard, TPM 2.0, is een vereiste voor Windows 11 en ondersteunt functies zoals BitLocker-schijfversleuteling, Windows Hello voor biometrische authenticatie en Secure Boot. Microsoft, Intel en AMD hebben TPM 2.0 tot een kernonderdeel gemaakt van hun platformbeveiligingsstrategie. Voor organisaties betekent dit dat hardware die na 2016 is aangeschaft doorgaans al een TPM 2.0-chip bevat. Oudere hardware met TPM 1.2 biedt beperktere functionaliteit en wordt niet ondersteund door de nieuwste besturingssystemen.

Hoe werkt een TPM?

Een TPM is een dedicated cryptoprocessor die los opereert van de centrale processor (CPU) van het systeem. De chip genereert, bewaart en beheert cryptografische sleutels in een beveiligde omgeving die niet toegankelijk is voor software, zelfs niet voor het besturingssysteem of malware die volledige beheerdersrechten heeft. De fysieke beveiligingsmechanismen van de chip maken het vrijwel onmogelijk om de opgeslagen sleutels te extraheren via hardware-aanvallen.

Bij het opstarten van een systeem meet de TPM de integriteit van het bootproces. Dit heet measured boot: de TPM registreert een hash van elke bootcomponent, van de BIOS/UEFI firmware via de bootloader tot het besturingssysteem. Deze metingen worden opgeslagen in Platform Configuration Registers (PCRs). Als er ongeautoriseerde wijzigingen zijn aangebracht in het bootproces, zoals een rootkit die zich in de firmware heeft genesteld, detecteert de TPM de afwijking. Dit vormt de basis voor Secure Boot en attestation-mechanismen.

TPM ondersteunt meerdere cryptografische functies: het genereren van asymmetrische sleutelparen (RSA, ECC), het uitvoeren van hash-operaties (SHA-256), het verzegelen en ontzegelen van data (sealing/unsealing) en het genereren van cryptografisch veilige willekeurige getallen. Bij data sealing wordt informatie versleuteld en gekoppeld aan een specifieke platformconfiguratie. De data kan alleen worden ontsleuteld als het systeem in exact dezelfde vertrouwde staat opstart. Dit voorkomt dat een gestolen harde schijf kan worden gelezen in een ander systeem.

Wanneer heb je een TPM nodig?

Een TPM is essentieel wanneer je schijfversleuteling wilt implementeren. BitLocker op Windows en vergelijkbare oplossingen gebruiken de TPM om de encryptiesleutel veilig op te slaan. Zonder TPM moet de gebruiker bij elke opstart handmatig een wachtwoord of USB-sleutel invoeren om de schijf te ontsleutelen. Met TPM verloopt dit proces automatisch en transparant, mits het systeem in de vertrouwde configuratie opstart.

Organisaties die werken met gevoelige data, persoonsgegevens of gereguleerde informatie profiteren sterk van TPM-beveiliging. AVG en NIS2 vereisen passende technische maatregelen voor de bescherming van data. Schijfversleuteling met TPM-backed key management is een effectieve invulling van deze eis. Bij verlies of diefstal van een laptop zijn de gegevens ontoegankelijk zonder de TPM van het oorspronkelijke systeem.

TPM speelt ook een groeiende rol in Zero Trust-architecturen. Device attestation, het cryptografisch bewijzen dat een apparaat zich in een vertrouwde staat bevindt, maakt gebruik van TPM-metingen. Hiermee kan een organisatie verifieren dat alleen apparaten met een integer bootproces en actuele beveiligingsconfiguratie toegang krijgen tot bedrijfsresources. Dit is bijzonder relevant voor BYOD-scenario's en hybride werkplekken. Vergelijk oplossingen via Versleuteling van apparaten.

Voordelen en beperkingen van TPM

Het primaire voordeel van TPM is de hardware-gebaseerde beveiliging van cryptografisch materiaal. Software-gebaseerde key stores kunnen worden gecompromitteerd door malware die beheerdersrechten verkrijgt. Een TPM is immuun voor deze aanvalsvector omdat de sleutels nooit de chip verlaten. Dit maakt TPM tot een fundamenteel sterkere basis voor encryptie, authenticatie en integriteitsverificatie dan puur software-gebaseerde alternatieven.

Aanvullende voordelen zijn de ondersteuning voor Secure Boot, waarmee de integriteit van het opstartproces wordt gegarandeerd, en de mogelijkheid voor remote attestation, waarmee een externe partij kan verifieren dat een systeem in een vertrouwde staat verkeert. TPM is standaard aanwezig in moderne hardware en vereist na configuratie geen actie van de eindgebruiker, wat de drempel voor adoptie laag houdt.

Er zijn ook beperkingen. Een TPM beschermt tegen offline aanvallen en firmware-manipulatie, maar biedt geen bescherming tegen aanvallen op het draaiende besturingssysteem. Als een aanvaller ransomware uitvoert terwijl het systeem is ontgrendeld, verhindert de TPM dit niet. De chip is een onderdeel van een bredere beveiligingsstrategie, geen standalone oplossing. Daarnaast zijn er in het verleden kwetsbaarheden ontdekt in specifieke TPM-implementaties, wat het belang van firmware-updates onderstreept.

De opkomst van quantum computing vormt een toekomstige uitdaging voor TPM-beveiliging. Huidige cryptografische algoritmen die door TPM worden gebruikt, zoals RSA en ECC, zijn theoretisch kwetsbaar voor quantumaanvallen. De Trusted Computing Group werkt actief aan post-quantum cryptografische standaarden voor toekomstige TPM-generaties. Voor de komende jaren biedt TPM 2.0 echter robuuste bescherming tegen alle bekende aanvalstechnieken.

In enterprise-omgevingen wordt TPM ook ingezet voor certificaat-based authenticatie en virtual smart cards. In plaats van fysieke smartcards uit te geven aan medewerkers, slaat de TPM het certificaat en de private key veilig op. Dit vereenvoudigt het beheer en verlaagt de kosten, terwijl het dezelfde beveiligingsgaranties biedt. Windows Hello for Business maakt intensief gebruik van deze TPM-functionaliteit om wachtwoordloze authenticatie te implementeren met een combinatie van biometrie en hardware-backed credentials.

Veelgestelde vragen over TPM

Heeft mijn computer een TPM-chip?

De meeste computers die na 2016 zijn gemaakt, hebben een TPM 2.0-chip ingebouwd. Op Windows controleer je dit via tpm.msc of via Apparaatbeheer onder Beveiligingsapparaten. Op Linux gebruik je het commando tpm2_getcap. Sommige systemen hebben de TPM standaard uitgeschakeld in het BIOS.

Wat is het verschil tussen TPM 1.2 en TPM 2.0?

TPM 2.0 ondersteunt sterkere cryptografische algoritmen (SHA-256, ECC naast RSA), biedt meer flexibiliteit in autorisatiebeleid en is een vereiste voor Windows 11. TPM 1.2 is beperkt tot SHA-1 en RSA, wat niet meer als veilig wordt beschouwd voor alle toepassingen.

Kan een TPM worden gehackt?

Hoewel TPM is ontworpen als tamper-resistant, zijn er in het verleden side-channel aanvallen gedemonstreerd die onder specifieke omstandigheden sleutels konden extraheren. Deze aanvallen vereisen fysieke toegang tot het apparaat en gespecialiseerde apparatuur. Firmware-updates verhelpen bekende kwetsbaarheden.

Is TPM verplicht voor compliance?

TPM is niet expliciet verplicht in regelgevingskaders, maar schijfversleuteling wel. Omdat TPM de sleutelopslag voor schijfversleuteling aanzienlijk veiliger maakt, is het feitelijk een voorwaarde om aan de geest van AVG en NIS2 te voldoen wanneer je laptops en werkstations beveiligt.

Wat gebeurt er als een TPM-chip kapotgaat?

Als de TPM-chip defect raakt, zijn data die met TPM-backed encryptie zijn versleuteld niet meer toegankelijk via het apparaat. Daarom is het essentieel om recovery keys veilig op te slaan, bijvoorbeeld in Azure AD of een beveiligde sleutelkluis. Zonder recovery key is dataverlies permanent.

Vergelijk aanbieders van apparaatbeveiliging op Versleuteling van apparaten op IBgidsNL.