Virtual Trusted Platform Module – Übersicht

vTPMs führen kryptografische Koprozessorfunktionen in der Software durch. Wenn vTPM zu einer virtuellen Maschine hinzugefügt wird, kann damit das Gastbetriebssystem Schlüssel, die privat sind, aktivieren. Diese Schlüssel werden nicht für das Gastbetriebssystem selbst verfügbar gemacht. Aus diesem Grund sind die Angriffspunkte von virtuellen Maschinen reduziert. In der Regel wirkt sich eine Gefährdung des Gastbetriebssystems auch auf dessen Geheimnisse aus. Die Aktivierung eines vTPM verringert dieses Risiko jedoch deutlich. Diese Schlüssel können nur durch das Gastbetriebssystem für die Verschlüsselung oder Signierung verwendet werden. Mit einem angehängten vTPM können Dritte die Identität der Firmware und des Gastbetriebssystems ortsfern bestätigen (überprüfen).

Sie können ein vTPM zu einer neuen oder vorhandenen virtuellen Maschine hinzufügen. Ein vTPM benötigt VM-Verschlüsselung, um wichtige TPM-Daten zu schützen. Bei der Konfiguration eines vTPM werden die Dateien der virtuellen Maschine (nicht aber die Festplatten) automatisch mithilfe von VM-Verschlüsselung verschlüsselt. Sie haben die Möglichkeit, Verschlüsselung für die virtuelle Maschine und die zugehörigen Festplatten explizit hinzuzufügen.

Sie können auch eine mit einem vTPM aktivierte virtuelle Maschine sichern. Die Sicherung muss alle VM-Daten enthalten, einschließlich der *.nvram-Datei. Wenn die *.nvram-Datei nicht in der Sicherung enthalten ist, können Sie eine virtuelle Maschine nicht mit einem vTPM wiederherstellen. Da die VM-Home-Dateien einer vTPM-fähigen virtuellen Maschine verschlüsselt sind, stellen Sie darüber hinaus sicher, dass die Verschlüsselungsschlüssel zum Zeitpunkt der Wiederherstellung verfügbar sind.

Ein vTPM benötigt keinen physischen TPM 2.0-Chip (Trusted Platform Module) auf dem ESXi-Host. Wenn Sie jedoch einen Hostnachweis durchführen möchten, benötigen Sie eine externe Entität, z. B. einen physischen TPM 2.0-Chip. Weitere Informationen finden Sie in der Dokumentation vSphere-Sicherheit.

Anforderungen an ein vTPM

Zur Verwendung eines vTPM muss die vSphere-Umgebung folgende Voraussetzungen erfüllen:

• Anforderungen an virtuelle Maschinen:
  • EFI-Firmware
  • Hardwareversion 14
• Anforderungen an Komponenten:
  • vCenter Server 6.7.
  • VM-Verschlüsselung (zum Verschlüsseln der Home-Dateien der virtuellen Maschine).
  • Für vCenter Server konfigurierter Key Management Server (KMS) (VM-Verschlüsselung richtet sich nach KMS). Weitere Informationen finden Sie in der Dokumentation vSphere-Sicherheit.
• Unterstützung folgender Gastbetriebssysteme:
  • Windows Server 2016 (64 Bit)
  • Windows 10 (64 Bit)

Unterschiede zwischen einem Hardware-TPM und einem virtuellem TPM

Sie verwenden ein Hardware-TPM (Trusted Platform Module) als kryptografischen Koprozessor, um sichere Speicherung von Anmeldeinformationen und Schlüsseln bereitzustellen. Ein vTPM führt dieselben Funktionen wie ein TPM durch, stellt aber kryptografische Koprozessorfunktionen in der Software bereit. Ein vTPM verwendet die .nvram-Datei, die mithilfe von VM-Verschlüsselung verschlüsselt wird, als sicheren Speicher.

Ein Hardware-TPM enthält einen vorab geladenen Schlüssel mit der Bezeichnung „Endorsement Key“ (EK). Der EK besitzt einen privaten und öffentlichen Schlüssel. Der EK stellt dem TPM eine eindeutige Identität bereit. Für ein vTPM wird dieser Schlüssel entweder von der VMware Certificate Authority (VMCA) oder einer Drittanbieterzertifizierungsstelle (CA, Certificate Authority) bereitgestellt. Sobald das vTPM einen Schlüssel verwendet, wird der Schlüssel in der Regel nicht geändert, da ansonsten vertrauliche im vTPM gespeicherte Informationen ungültig werden. Das vTPM wendet sich zu keiner Zeit an die Zertifizierungsstelle.