آشنایی با فناوری های TPM 2.0 ، Secure Boot ، UEFI

تعریف کلی Firmware

Firmware در واقع نوعی نرم‌افزار است که در سخت‌افزار دستگاه‌ها (مثل مادربرد، مودم، پرینتر، کارت گرافیک و…) ذخیره می‌شود.
به عبارت دیگر Firmware همان نرم‌افزاری است که به سخت‌افزار «می‌گوید چطور کار کند».

📦 این نرم‌افزار معمولاً در تراشه‌های حافظه‌ی ROM / Flash روی مادربرد قرار دارد و هنگام روشن شدن دستگاه، اولین کد اجرایی سیستم است.

🔹 Firmware در کامپیوتر یعنی چی؟

در کامپیوترها، Firmware همان چیزی است که به آن BIOS یا UEFI می‌گوییم.
این بخش مسئول:

1. راه‌اندازی اولیه سخت‌افزارها (CPU، RAM، هارد، کارت گرافیک و…)

2. انجام تست‌های اولیه (POST – Power On Self Test)

3. سپس تحویل کنترل سیستم به سیستم‌عامل (مثل ویندوز یا لینوکس) است.

UEFI چیست و چه تفاوتی با BIOS دارد؟

تعریف

UEFI (Unified Extensible Firmware Interface) نسل جدید سیستم‌عامل Firmware است که جایگزین BIOS سنتی شده است.
این رابط بین سخت‌افزار و سیستم‌عامل بوده و قابلیت‌هایی فراتر از BIOS دارد.

ویژگی‌های UEFI نسبت به BIOS

قابلیت‌های مهم UEFI

• پشتیبانی از بوت امن (Secure Boot)

• بوت از درایوهای بزرگ GPT

• پشتیبانی از شبکه (PXE Boot)

• محیط گرافیکی پیشرفته

• قابلیت به‌روزرسانی از طریق اینترنت یا فایل USB

تفاوت مفهومی “BIOS” و “UEFI” از نظر سخت‌افزار

🧠 یعنی:
UEFI در واقع BIOS جدید است، روی همان تراشه فیزیکی قبلی فقط نرم‌افزار متفاوتی دارد.

🔸 پس تراشه BIOS یا UEFI کجاست؟

تراشه‌ای است کوچک (معمولاً ۸ پایه دارد) که Firmware سیستم داخل آن ذخیره شده.
نام‌های دیگرش در مادربرد:

• BIOS Chip

• SPI Flash

• EEPROM

• ROM Chip

📍 مکان تقریبی روی مادربرد:

• معمولاً نزدیک سوکت باتری CMOS یا چیپ‌ست اصلی مادربرد (Southbridge / PCH) است.

• روی آن معمولاً برچسب‌هایی مثل زیر دیده می‌شود:

  Winbond
MXIC
GD25Q64
25Q128
BIOS


• ابعاد معمولاً حدود ۵×۸ میلی‌متر است.

🔸 نشانه‌های ظاهری تراشه BIOS / UEFI

🔍 ویژگی‌های فیزیکی:

• رنگ مشکی مات

• ۸ پایه (۴ در هر طرف)

• روی آن کدی مثل زیر حک شده:

  Winbond 25Q64FV
MX25L8005
GD25B128


• معمولاً در نزدیکی آن نوشته کوچکی روی برد چاپ شده:

  BIOS
SPI_FLASH
ROM

  نحوه تشخیص از روی شکل تراشه

  به‌صورت ظاهری از روی تراشه قابل تشخیص نیست در انتهای این مقاله روش های تشخیص این دو را بررسی میکنیم.

Secure Boot چیست؟

تعریف

Secure Boot یکی از ویژگی‌های امنیتی UEFI است که مانع از اجرای نرم‌افزارها و بوت‌لودرهای غیرمجاز در فرآیند راه‌اندازی سیستم می‌شود.

نحوه کار

Secure Boot از یک زنجیره اعتماد (Chain of Trust) مبتنی بر امضاهای دیجیتال استفاده می‌کند. فقط نرم‌افزارهایی که با کلیدهای معتبر سازنده (OEM Keys) امضا شده‌اند اجازه اجرا در مرحله‌ی بوت دارند.

مزایا

• جلوگیری از Rootkit و Bootkit‌ها

• اطمینان از بوت شدن سیستم از منبع معتبر

• افزایش امنیت در محیط‌های سازمانی

معایب یا چالش‌ها

• ممکن است مانع از نصب برخی نسخه‌های قدیمی لینوکس یا سیستم‌عامل‌های غیرامضاشده شود.

• در سیستم‌های خاص باید Secure Boot موقتاً غیرفعال شود تا بوت از رسانه‌های جانبی (USB، DVD) ممکن شود

چیپ TPM 2.0 چیست؟

تعریف

TPM (مخفف Trusted Platform Module) تراشه‌ای فیزیکی است که به مادربرد متصل شده و برای ذخیره و پردازش داده‌های امنیتی استفاده می‌شود. نسخه‌ی TPM 2.0 آخرین استاندارد تعریف‌شده توسط TCG (Trusted Computing Group) است.

وظایف اصلی TPM

1. ذخیره امن کلیدهای رمزنگاری (Encryption Keys)

2. تأیید صحت بوت سیستم (Boot Integrity)

3. محافظت از اطلاعات احراز هویت (Credentials)

4. تولید و مدیریت کلیدهای RSA و ECC

5. پشتیبانی از BitLocker در ویندوز برای رمزگذاری درایوها

نحوه‌ی عملکرد

هنگامی که سیستم روشن می‌شود، TPM با اندازه‌گیری و بررسی امضای دیجیتال اجزای بوت (Boot Loader، UEFI، درایورهای اولیه و …) صحت آنها را تأیید می‌کند. اگر تغییری غیرمجاز در این اجزا شناسایی شود، سیستم هشدار می‌دهد یا فرآیند بوت متوقف می‌شود.

دو نوع TPM وجود دارد:

مشخصات فیزیکی چیپ TPM

در مادربردهای جدید (به‌ویژه AMD Ryzen و Intel 8th Gen به بعد):

• TPM دیگر تراشه جدا ندارد.

• داخل چیپ‌ست (PCH) یا CPU تعبیه شده است.

• در این حالت هیچ قطعه فیزیکی خاصی روی مادربرد نمی‌بینی.

🧭 فعال‌سازی آن از طریق BIOS/UEFI انجام می‌شود:

• برای AMD:
  مسیر → Advanced → AMD fTPM Configuration → Enable

• برای Intel:
  مسیر → Security → PTT (Platform Trust Technology) → Enable

ارتباط اصلی TPM و UEFI

۱. اندازه‌گیری و ثبت مراحل بوت (Measured Boot)

هنگام روشن شدن سیستم، UEFI مراحل بوت را اندازه‌گیری (measure) می‌کند؛ یعنی امضای دیجیتال یا هش (Hash) اجزای مختلف بوت مانند Bootloader، درایورها و فایل‌های EFI را محاسبه می‌کند.
سپس این هش‌ها را در TPM ذخیره (extend) می‌کند.

اگر در بوت بعدی تغییری غیرمجاز در هر یک از اجزای بوت رخ دهد (مثلاً یک بدافزار سطح پایین نصب شده باشد)، هش‌ها تغییر می‌کنند و TPM متوجه این دستکاری می‌شود.

بررسی پشتیبانی و فعال بودن TPM 2.0

✅ روش ۱ – با استفاده از ابزار داخلی ویندوز

1. دکمه‌های Windows + R را هم‌زمان بزن تا پنجره Run باز شود.

2. بنویس:

   tpm.msc


3. Enter بزن.

4. پنجره‌ای با نام Trusted Platform Module (TPM) Management باز می‌شود.

📋 حالا به این بخش‌ها دقت کن:

• در قسمت Status (وضعیت) باید نوشته باشد:
  “The TPM is ready for use” → یعنی فعال است ✅

• در قسمت Specification Version باید عدد ۲.۰ را ببینی → یعنی TPM 2.0 است ✅

🔻 اگر پیام زیر را دیدی:

“Compatible TPM cannot be found”
یعنی یا TPM در سیستم وجود ندارد، یا در BIOS/UEFI غیرفعال است (که معمولاً قابل فعال‌سازی است).

✅ روش ۲ – از طریق تنظیمات ویندوز ۱۱

1. به مسیر زیر برو:

   Settings → Privacy & Security → Windows Security → Device Security


2. اگر گزینه‌ی Security processor (پردازنده امنیتی) را دیدی، روی آن کلیک کن.

3. در قسمت Specification version باید عدد ۲.۰ نوشته شده باشد.

✅ روش ۳ – بررسی با PowerShell (پیشرفته‌تر)

1. در منوی استارت بنویس PowerShell و با راست‌کلیک گزینه‌ی Run as Administrator را بزن.

2. دستور زیر را بنویس:

   get-tpm


3. خروجی شامل موارد زیر است:

   • TpmPresent : True → یعنی تراشه TPM وجود دارد

   • TpmReady : True → یعنی فعال است

   • SpecVersion : 2.0 → یعنی نسخه‌ی آن TPM 2.0 است

⚙️ بخش دوم: بررسی UEFI یا BIOS بودن سیستم

✅ روش ۱ – از طریق System Information

1. دکمه‌های Windows + R را بزن.

2. بنویس:

   msinfo32

3. Enter را بزن تا پنجره System Information باز شود.

4. در قسمت BIOS Mode یکی از دو حالت زیر را خواهی دید:

✅ روش ۲ – از Disk Management (برای بررسی GPT یا MBR)

1. دکمه‌های Windows + X را بزن و گزینه‌ی Disk Management را انتخاب کن.

2. روی دیسک اصلی (مثلاً Disk 0) راست‌کلیک کن و Properties را بزن.

3. به تب Volumes برو.

4. اگر در قسمت Partition style نوشته شده باشد:

   • GUID Partition Table (GPT) → یعنی سیستم از UEFI استفاده می‌کند ✅

   • Master Boot Record (MBR) → یعنی سیستم در حالت BIOS کار می‌کند ❌

🔧 بخش سوم: فعال کردن TPM یا UEFI در BIOS (در صورت غیرفعال بودن)

اگر در مراحل قبل TPM را پیدا نکردی یا UEFI فعال نبود:

1. سیستم را ری‌استارت کن.

2. هنگام بالا آمدن سیستم، کلید مربوط به ورود به BIOS/UEFI را بزن (معمولاً یکی از این‌هاست:
   Del، F2، F10، F12 یا Esc بسته به برند مادربرد).

3. در تنظیمات دنبال بخش‌های زیر بگرد:

   • برای TPM:

     • در سیستم‌های Intel → بخش PTT یا Platform Trust Technology

     • در سیستم‌های AMD → بخش fTPM

     • مقدار را روی Enabled بگذار.

   • برای UEFI:

     • در قسمت Boot Mode یا CSM

     • گزینه را از Legacy به UEFI تغییر بده.

4. تنظیمات را ذخیره کن (Save & Exit).

💡 نکات مهم

• تقریباً همه‌ی مادربردهای جدید از ۲۰۱۵ به بعد TPM 2.0 و UEFI را پشتیبانی می‌کنند.

• لپ‌تاپ‌های جدید معمولاً TPM را به‌صورت پیش‌فرض فعال دارند.

• برای نصب ویندوز ۱۱ هر دو ویژگی باید فعال باشند:

  • ✅ UEFI Boot Mode

  • ✅ TPM 2.0 Enabled

جمع‌بندی

فناوری‌های TPM 2.0، Secure Boot و UEFI به عنوان سه لایه‌ی کلیدی امنیت در سخت‌افزار و نرم‌افزار شناخته می‌شوند.
آنها نه‌تنها امنیت سیستم را در برابر تهدیدات سطح پایین افزایش می‌دهند، بلکه امکان مدیریت امن کلیدها، احراز هویت سخت‌افزاری و راه‌اندازی مطمئن سیستم‌عامل را فراهم می‌سازند.