TPM – proč je důležitý a jak jej zapnout v BIOSu/UEFI - LINUX PRO DOMÁCNOST

„TPM (Trusted Platform Module) je klíčová součást moderního zabezpečení počítače. Vysvětlím vám, co to je, proč jej potřebujete a jak jej jednoduše zapnout v BIOSu/UEFI u nejčastějších značek.“

TPM (Trusted Platform Module) je bezpečnostní čip nebo technologie integrovaná v počítači, která umožňuje ukládání kryptografických klíčů a bezpečné ověřování. Hraje zásadní roli při šifrování disků (např. BitLocker ve Windows), ochraně hesel, certifikátů i při zabezpečení systému proti neoprávněným úpravám.

Od Windows 11 je požadována podpora TPM 2.0, což přimělo mnoho uživatelů hledat, zda jejich počítač tuto funkci podporuje. Dobrou zprávou je, že většina moderních počítačů má TPM k dispozici – jen je někdy potřeba jej zapnout v BIOSu/UEFI.

1. Ve Windows stiskněte Win + R → zadejte tpm.msc → potvrďte.

2. Pokud se zobrazí informace o TPM 2.0, je již aktivní.

3. Pokud TPM není aktivní, je nutné zapnout jej v BIOSu/UEFI.

Každý výrobce používá trochu jiné názvy položek. Proto jsem pro vás připravil tabulku s přehledem:

„Ukázka nastavení TPM podle značky.“

Obvykle stačí v BIOSu najít položky Security, Trusted Computing nebo TPM Device a povolit je.

Shrnutí

• TPM je nezbytný pro moderní zabezpečení operačních systémů.
• Pokud vlastníte počítač s procesorem Intel, hledejte v BIOSu položku PTT.
• Pokud máte AMD procesor, aktivujte fTPM.
• Po zapnutí TPM v BIOSu doporučujeme restartovat počítač a zkontrolovat jeho stav ve Windows.

Zdroje

• Microsoft Docs: Trusted Platform Module Technology Overview   
• Lenovo – How to enable or disable TPM on BIOS Podrobný návod, jak v BIOSu u Lenovo zapnout či vypnout TPM.   
• Lenovo – Checking and Enabling TPM 2.0 Video / návod pro ThinkPad, o tom, jak ověřit a zapnout TPM 2.0 v BIOSu.   
• Lifewire – How to Enable TPM 2.0 for Windows 11 Obecný návod pro různé značky: kde hledat položku TPM, jak ji aktivovat v BIOSu/UEFI, tipy když ji nevidíte.  

TPM a Linux – je skutečně potřeba?

Na rozdíl od Windows 11, které vyžaduje TPM 2.0 pro instalaci a spuštění, Linux TPM modul k provozu nepotřebuje.

Microsoft zavedl povinný požadavek na TPM 2.0 kvůli posílení bezpečnosti běžných uživatelů — TPM poskytuje ochranu proti malwaru, ransomware útokům a zajišťuje důvěryhodný start systému (Secure Boot).

Linux oproti tomu umožňuje, aby si uživatelé sami zvolili, jaké bezpečnostní mechanismy použijí. Díky tomu zůstává funkční i na starších počítačích bez TPM.

Pokud máte starší počítač, který nesplňuje požadavky Windows 11 (například nemá TPM 2.0), nemusíte kupovat nový hardware. Stačí nainstalovat moderní Linuxovou distribuci, která svým vzhledem i ovládáním připomíná Windows, například:

1. Zorin OS Core – ideální pro začátečníky, vzhledově velmi blízký Windows.

2. Linux Mint Cinnamon – stabilní, přehledné prostředí, populární mezi uživateli přecházejícími z Windows.

3. Kubuntu – distribuce s prostředím KDE Plasma, které nabízí podobné uspořádání a funkce jako Windows.

1. Lenovo – Jak povolit nebo zakázat TPM na BIOS → Česká stránka podpory Lenovo, návod jak v BIOSu/UEFI povolit TPM. Lenovo Podpora.

2. Microsoft – Povolení čipu TPM 2.0 na počítači → Český článek na support.microsoft.com, který vysvětluje, jak povolit TPM 2.0 na počítači pro Windows. Podpora Microsoftu.

3. Dell – Klíčové rozdíly a funkce TPM 1.2 vs 2.0 → Dell má dobře napsaný český přehled rozdílů mezi TPM 1.2 a TPM 2.0 (šifrování, algoritmy, použití). Dell.

4. AbcLinuxu – „TPM 2.0 a Linux“ → Krátká zprávička / komentář, který se věnuje podpoře TPM 2.0 v Linuxu; může posloužit jako odkaz pro, že téma není v Linuxu zcela cizí. abclinuxu.cz.

5. Trusted Platform Module – Wikipedie (česky) → obecný článek, který popisuje, co TPM je, jak funguje, jeho využití a proč se o něm mluví, včetně zmínek o Windows 11 a TPM. Wikipedie.

6. Is‐Muni.cz – Diplomová práce: Systematic collection of TPM 2.0 chips attributes on Linux → Akademický zdroj, který může být vhodný, pokud chceš přidat rozšířené technické či výzkumné informace. Informační systém MU.

Pozor: Tento postup je pokročilý a může při chybné konfiguraci způsobit nefunkční start systému. Doporučuji vyzkoušet nejprve ve virtuálním stroji nebo udělat kompletní zálohu dat.

Otevřete terminál a zadejte:

ls /dev/tpm*

Pokud vidíte /dev/tpm0, TPM je k dispozici. Další kontrola:

sudo dmesg | grep -i tpm

Zorin Core 17.3 vychází z Ubuntu 22.04, takže balíčky jsou v repozitáři:

sudo apt update

sudo apt install clevis clevis-luks clevis-initramfs tpm2-tools tpm2-abrmd

Zjistěte si jméno zařízení s LUKS:

lsblk -f

Například /dev/nvme0n1p3 → typ crypto_LUKS.

Na příkladu /dev/nvme0n1p3:

sudo clevis luks bind -d /dev/nvme0n1p3 tpm2 '{}'

Nejdříve restartujte initramfs, aby se změny promítly do startu:

sudo update-initramfs -u

Pak restartujte počítač:

sudo reboot

Pokud vše proběhne správně, systém se po startu odemkne bez ručního zadání hesla – klíč si vezme z TPM.

Pokud chcete zachovat i možnost ručního odemknutí, ujistěte se, že stále existuje původní LUKS slot s heslem:

sudo cryptsetup luksDump /dev/nvme0n1p3

Pokud by bylo potřeba, můžete heslo znovu přidat:

sudo cryptsetup luksAddKey /dev/nvme0n1p3

Výhody tohoto řešení

• Počítač se odemkne automaticky díky TPM.
• Klíč není uložený na disku, ale bezpečně v TPM čipu.
• Při změně hardwaru nebo vyjmutí disku se data bez TPM neodemknou.

Zdroje k dalšímu studiu

• ArchWiki: Trusted Platform Module.
• ExaLab: LUKS šifrování disku v Linuxu.
• LinuxDays prezentace: FDE bez zadávání hesla.