Windows 11’de TPM Neden Zorunlu?

Windows 11 yıllar boyunca herkes için bir internet efsanesiydi. Her sene ortaya çıkan söylentiler Microsoft tarafından yalanlanıyor ve bilhassa resmi açıklamalarla Windows 10 sürümünün son Windows olduğu söyleniyordu.

Mayıs ayının sonları, Haziran aylarının başlarında Windows 10’a gelmesi beklenen 21H2 güncellemesi yerine, ansızın verilen bir karar sonucu direkt Windows 11’in çıkacağı söylendi. Hepimiz nefesimizi tutup 24 Haziran 2021 tarihinde yapılacak lansmanı beklemeye başladık. Hatta lansmana son 1 hafta kala Çin kaynaklı bir web sitesinden sızan imajları da birebir gece canlı yayında sanal makine üzerinden test etmeye başlamıştık. Windows 11’i denediğimiz yayının kaydını aşağıdan izleyebilirsiniz.

Öte yandan sonraki gün ortaya çıkan haberlerde gördük ki maalesef TPM modülü olmayan bilgisayarlara Windows 11’i yüklemek mümkün değildi. En az sistem ihtiyaçlarında TPM 2.0 mecburî hale getirilmişti. Bu otomatikmen 8. jenerasyondan evvelki bütün Intel işlemcilerin ve TPM’im yasaklı olduğu ülkelerde Windows 11’in desteklenmemesi manasına geliyordu. Microsoft tarafından sistemlerin Windows 11 uyumluluğunu denetim etmek hedefiyle yayınlanan PC Health Check aracıyla da bu durum doğrulanmış oldu.

Pekala Microsoft’a bu kararı verdiren şey neydi? Eski bilgisayarların artık tedavülden kalkması mı, yoksa Intel’in yeni işlemcilerini satma gayreti mı? Komplo teorisyenleri için üzgünüz fakat Microsoft’un bunu yapmasının nedeni ikisi de değil. Insider sürümü ile bir arada süreksiz olarak bu zorunluluğun kalkması ve sonuncu sürümde tekrar olup olmayacağı da ayrıyeten bir merak konusu.

TPM yani Trusted Platform Module (Güvenilir Platform Modülü) aslında fizikî olarak anakartlarda bulunan bir güvenlik donanımıdır. Bilgisayarınızı şifrelediğiniz vakit (bu, kullanıcı oturumuna parola koymaktan farklıdır), güvenlik anahtarlarınız TPM ismi verilen bir modül tarafından tutulur. Böylelikle sisteminize bulaşan rastgele bir ziyanlı yazılım şifreleme anahtarınızı alamaz. Alsa bile çoğunlukla TPM modülüne bağlı olarak anahtarlar tek taraflı bir algoritma yardımıyla garanti altına alınmıştır. yani diskinizi ele geçiren kişinin datalara erişmesi kelam konusu değildir.

Her bir TPM modülü eşsiz imzalara sahip öteki bir donanımdır çünkü üretim esnasında imzalar özel olarak verilmekte. Ayrıyeten TPM’lerin bir aygıtta etkin olarak kullanılabilmesi ve etkinleştirilebilmesi için fizikî olarak sahibinin olması gerekiyor. Bu güvenlik modülleri evvelden anakartların üzerinde geliyorken şimdilerde direkt işlemcinin içerisinde yer alıyor. Ayrıyeten sonradan da bu modülleri satın almak mümkün. Hakikaten son günlerde fırsatçıların tesiriyle bu modüllerin katbekat kıymetli satılmaya başlandığını görüyoruz.

Son yıllarda piyasaya sürülen bilgisayarların neredeyse tamamı BIOS uyumlu (CSM destekli) UEFI firmware’ler ile geliyor. Teoride bu nedenle son 10-11 sene içerisinde çıkan her bilgisayar rahatlıkla Windows 11’i çalıştırabilir. Lakin saçmalık şurada ki temel bileşenler desteklese bile TPM 2.0 olmadığı için Windows 11’in bu aygıtlara kurulamaması üzere bir durum kelam konusu.

Asus marka bir TPM modülü.

Aslında TPM, Microsoft tarafından kullanımı uzun vakittir desteklenen ve önerilen bir modül. Çoklukla kurumsal ortamlarda bilgi güvenliği maksadıyla ziyadesiyle kullanılan bu donanımsal özellik son kullanıcı tabanı için şu ana kadar zarurî tutulmamıştı.

Microsoft temelde TPM 2.0 ile Windows 11’in daha inançlı olmasını istiyor. TPM, birinci vakitlerde dTPM olarak isimlendirilen harici bir mikrodenetleyici iken vakitle küçülüp işlemcilerin içine girdi. Bu sayede Microsoft’un bu güvenlik özelliğini mecburî kılması kolaylaştı. İşlemci içinde yer alan TPM özelliğine fTPM, yani Firmware TPM dediğimizi de belirtelim.

Microsoft’un Kurumsal ve İşletim Sistemi Güvenliği Yöneticisi David Weston, TPM çipinin asıl hedefinin “kullanıcıların kimlik bilgileri, hassas bilgileri ve şifreleme anahtarlarını donanımsal bir pürüz vasıtasıyla korumak ve saldırganlarla ziyanlı yazılımların bu datalara erişmesini engellemek” olarak tanımlıyor. Yani aslında TPM, bâtın ve değerli bilgileri yazılımsal ataklardan korumak için kullanabileceğimiz bir donanım kalkanı.

“Windows Hello” ile parolasız kimlik doğrulaması, Windows Defender aracılığıyla “Application Control”, BitLocker yardımıyla “tam disk şifreleme” üzere özelliklerin tamamı aslında TPM’den güç alıyor. Bu nedenle yeni Windows 11’de bu güvenlik özelliklerinin daha düzgün çalışması ve hypervisor’un daha sağlam bir formda kullanılabilmesi için TPM zarurî hale getiriliyor diyebiliriz.

Tekrar de tam manasıyla aşılamaz bir güvenlik özelliği olmadığını söylemiş olalım. Fizikî ataklara karşı saldırgana bağlı olarak savunmasız kalsa da uzaktan yapılması olası olan siber akınların gerçekleşmesi çok daha güç hale gelecek deniliyor.

Şu anda etkin olarak 1,3 milyar kadar Windows 10 yüklü bilgisayar olduğunu hesaba katarsak ve 100 milyon kadar da Windows’un eski sürümlerinin heyeti olduğu aygıtlara bakarsak Microsoft’un devasa bir ekosistem kurduğunu rahatlıkla görebiliriz. Windows sistemler bilgisayar kesiminde ezici çoğunluğa sahip olduğu için her geçen gün tehditlere daha fazla maruz kalıyor. Bir iddiaya nazaran fidye yazılımları ve botnetler sayesinde 2031 yılına kadar global olarak 265 milyar dolarlık dudak uçuklatan büyüklükte bir siber kabahat pazarı oluşacağı argüman ediliyor.

Microsoft her ne kadar kullanıcıları ve kurumları bu usul akınlara karşı nasıl korunabileceklerine dair ziyadesiyle eğitmeye çalışsa ve hatta işletim sistemiyle bir arada yerleşik olarak Windows Defender’i sunsa da birçok kişi hala siber güvenliğin ehemmiyetini kavrayabilmiş değil. Tekrar Microsoft tarafından Mart 2021 tarihinde yayınlanan “Security Signals” raporuna nazaran işletmelerin yüzde 83’ü siber akınlara maruz kalıyor ama yalnızca yüzde 29’u korunmak için tedbir alıyor.

Microsoft Global İş İştiraki Tahlilleri Yönetici Yardımcısı Nicole Dezen, TPM ihtiyacının Windows 11’in donanım tabanlı yalıtım, hypervisor için ek güvenlik ve inançlı mod özellikleriyle bir arada geleceğini söylüyor. Ayrıyeten telif hakkıyla korunan yazılımlar, müzikler ve öbür fikri mülkiyet yapıtlarını TPM yardımıyla korunabileceği düşünülüyor. TPM’in ayrıyeten oyunlarda anti-hile emelli da kullanılabileceği düşünülüyor. Yani TPM dayanağı zorlaması Microsoft’un Windows kullanıcılarını salt güvenlik tasasıyla güzelleştirmenin daha ötesinde tesirlere sahip olabilir.

Microsoft ayrıyeten daha düzgün anti-hile tahlilleri oluşturmak maksatlı kullanılabilen kimi TPM bazlı teknolojilerin patentine de sahip. Online oyun oynayan herkesin yakındığı sorun hileler olduğu için, TPM’in bu teknolojilerle birlikte kullanılması hem hilelerin hem de sisteme makûs gayeli yazılımların bulaşmasını ileride engelleyebilir. Elbette bu şimdilik görebileceğimiz bir şey değil ancak yakın gelecekte oyunlar sizi TPM bazlı banlayabilir.

Windows 11’in şu ana kadar sızan Insider sürümü haricindeki sürümleri TPM 2.0’ın bulunmasını zarurî kılmıştı. Şayet işlemciniz Microsoft tarafından açıklanan “AMD yahut Intel takviye listesi” içinde yazıyorsa Windows 11’i alacak olan kullanıcılar ortasındasınız diyebiliriz. Yalnızca yapmanız gereken UEFI ayarlarınızdan Intel için PTT, AMD sistemler içinse fTPM ayarını etkinleştirmek.

Bu takviye listesi birinci açıklandığında birinci kuşak Ryzen ve yeniden birinci jenerasyon Threadripper işlemciler dahil değildi. Intel tarafında da 6. ve 7. Kuşak hiçbir işlemci Microsoft tarafından desteklenmiyordu.  Daha sonra alınan kararla 7. Kuşak Intel ve 1. Kuşak Ryzen işlemcilere yönelik takviye getirildi. Yeniden de 2016’dan evvelki hiçbir işlemcinin desteklenmemesi hayli acımasız. Dayanak listesinin daima genişlemesiyle birlikte daha eski işlemcilere de takviye geleceğini düşünüyoruz.

Hatta tahminen TPM destekleyenler için ve desteklemeyenler için iki farklı heyetimle da karşılaşabiliriz. Bu opsiyonu Microsoft’un sunması gerekiyor. Listede yer almayan işlemcilere sahip olan kimselerin TPM’i donanımsal olarak anakarta takılabilecek biçimde satın alması mümkün ama bu Microsoft tarafından “açık ve resmi” bir halde desteklenmiyor. Birtakım özellikler beklenen üzere düzgün çalışmayabileceğinden TPM modülünün eski bir bilgisayara sonradan eklenmesi önerilmemekte.

Bu karardan kendi çıkarımımız, Microsoft elindeki öbür patentli TPM teknolojilerini de kullanmak ve pazara sunmak istiyor. Anti-hile tahlilleri, berbat gayeli yazılım muhafazaları ve öteki teknolojiler Microsoft’un zayıf kaldığı siber güvenlik kesiminde elini güçlendirebilir. Kullanıcılar da daha güzel ve inançlı bir Windows tecrübesi elde edebilirler. Şimdilik yeni alınan kararla TPM mecburiliği kalkmış olsa da ileride tekrardan gelebilir.

Ek olarak değinmeden geçmeyelim: Windows 11 duyuruldu, her şey yeterli hoş lakin fırsatçılar da boş durmuyor. Lansmandan çabucak sonra her yerde birdenbire TPM modülleri yok olmuşçasına toplanıp kara borsaya çekildi. İkinci el satış platformlarının birçoğunda olağan TPM fiyatlarının 2-3 katına satılan modüller olduğunu görmek mümkün.

Evvelce bir TPM modülü yaklaşık 200 lira civarında alınabiliyorken şu anda fırsatçılar yüzünden 90 ila 100 dolar yani 700-800 lira bandında bulunabiliyor. Halihazırda aslında global manada çip krizi de varken Microsoft güya böylesi büyük bir karar almakta ziyadesiyle ivedi etmiş üzere gözüküyor. Tekrar de siz bir TPM modülü almakta çabuk etmeyin. Windows 11’in çıkışına daha var.

Kaynak: Technopat