Ein vTPM (Virtual Trusted Platform Module) ist eine softwarebasierte Darstellung eines physischen Trusted Platform Module 2.0-Chips. Ein vTPM verhält sich wie jedes andere virtuelle Gerät.

Einführung in vTPMs

vTPMs bieten hardwarebasierte sicherheitsbezogene Funktionen wie zufallsbasierte Zahlengenerierung, Nachweise, Schlüsselgenerierung und vieles mehr. Wenn vTPM zu einer virtuellen Maschine hinzugefügt wird, kann damit das Gastbetriebssystem Schlüssel, die privat sind, aktivieren. Diese Schlüssel werden nicht für das Gastbetriebssystem selbst verfügbar gemacht. Aus diesem Grund sind die Angriffspunkte von virtuellen Maschinen reduziert. In der Regel wirkt sich eine Gefährdung des Gastbetriebssystems auch auf dessen Geheimnisse aus. Die Aktivierung eines vTPM verringert dieses Risiko jedoch deutlich. Diese Schlüssel können nur durch das Gastbetriebssystem für die Verschlüsselung oder Signierung verwendet werden. Mit einem angehängten vTPM können Dritte die Identität der Firmware und des Gastbetriebssystems ortsfern bestätigen (überprüfen).

Sie können ein vTPM zu einer neuen oder einer vorhandenen virtuellen Maschine hinzufügen. Ein vTPM benötigt VM-Verschlüsselung, um wichtige TPM-Daten zu schützen. Wenn Sie ein vTPM konfigurieren, werden die Dateien der virtuellen Maschine verschlüsselt, die Festplatten hingegen nicht. Sie haben die Möglichkeit, Verschlüsselung für die virtuelle Maschine und die zugehörigen Festplatten explizit hinzuzufügen.

Wenn Sie eine mit einem vTPM aktivierte virtuelle Maschine sichern, muss die Sicherung alle Daten der virtuellen Maschine umfassen, einschließlich der Datei *.nvram. Wenn die Datei *.nvram nicht in der Sicherung enthalten ist, können Sie eine virtuelle Maschine nicht mit einem vTPM wiederherstellen. Da die VM-Home-Dateien einer vTPM-fähigen virtuellen Maschine verschlüsselt sind, stellen Sie darüber hinaus sicher, dass die Verschlüsselungsschlüssel zum Zeitpunkt der Wiederherstellung verfügbar sind.

Ein vTPM benötigt keinen physischen TPM 2.0-Chip (Trusted Platform Module) auf dem ESXi-Host. Wenn Sie jedoch einen Hostnachweis durchführen möchten, benötigen Sie eine externe Entität, z. B. einen physischen TPM 2.0-Chip. Weitere Informationen finden Sie in der Dokumentation vSphere-Sicherheit.

Hinweis: Einer mit einem vTPM aktivierten virtuellen Maschine ist standardmäßig keine Speicherrichtlinie zugeordnet. Nur die VM-Dateien (VM-Home) sind verschlüsselt. Sie haben die Möglichkeit, Verschlüsselung für die virtuelle Maschine und die zugehörigen Festplatten explizit hinzuzufügen. Die VM-Dateien wären dann jedoch bereits verschlüsselt.

Anforderungen an ein vTPM

Zur Verwendung eines vTPM muss die vSphere-Umgebung folgende Voraussetzungen erfüllen:

  • Anforderungen an virtuelle Maschinen:
    • EFI-Firmware
    • Hardwareversion 14 und höher
  • Anforderungen an Komponenten:
    • vCenter Server 6.7 und höher für virtuelle Windows-Maschinen verwenden vCenter Server 7.0 Update 2 und höher für virtuelle Linux-Maschinen.
    • VM-Verschlüsselung (zum Verschlüsseln der Home-Dateien der virtuellen Maschine).
    • Für vCenter Server konfigurierter Schlüsselanbieter. Weitere Informationen finden Sie in der Dokumentation vSphere-Sicherheit.
  • Unterstützung folgender Gastbetriebssysteme:
    • Linux
    • Windows Server 2008 und höher
    • Windows 7 und höher

Unterschiede zwischen einem Hardware-TPM und einem virtuellen TPM

Sie verwenden ein Hardware-TPM (Trusted Platform Module), um sichere Speicherung von Anmeldeinformationen und Schlüsseln bereitzustellen. Ein vTPM führt dieselben Funktionen wie ein TPM durch, stellt aber kryptografische Koprozessorfunktionen in der Software bereit. Ein vTPM verwendet die .nvram-Datei, die mithilfe von VM-Verschlüsselung verschlüsselt wird, als sicheren Speicher.

Ein Hardware-TPM enthält einen vorab geladenen Schlüssel mit der Bezeichnung „Endorsement Key“ (EK). Der EK besitzt einen privaten und öffentlichen Schlüssel. Der EK stellt dem TPM eine eindeutige Identität bereit. Für ein vTPM wird dieser Schlüssel entweder von der VMware Certificate Authority (VMCA) oder einer Drittanbieterzertifizierungsstelle (CA, Certificate Authority) bereitgestellt. Sobald das vTPM einen Schlüssel verwendet, wird der Schlüssel in der Regel nicht geändert, da ansonsten vertrauliche im vTPM gespeicherte Informationen ungültig werden. Das vTPM wendet sich zu keiner Zeit an die Drittanbieter-Zertifizierungsstelle.