Un Trusted Platform Module (TPM) è un chip specializzato su un dispositivo endpoint che archivia le chiavi di crittografia RSA specifiche del sistema host per l'autenticazione hardware.
Ogni chip TPM contiene una coppia di chiavi RSA denominata Endorsement Key (EK). La coppia è mantenuta all'interno del chip e non è possibile accedervi dal software. La Storage Root Key (SRK) viene creata quando un utente o un amministratore assume la proprietà del sistema. Questa coppia di chiavi viene generata dal TPM in base alla chiave di verifica dell'autenticità e a una password specificata dal proprietario.
Una seconda chiave, denominata Attestation Identity Key (AIK), protegge il dispositivo da modifiche non autorizzate del firmware e del software eseguendo l'hashing di sezioni critiche del firmware e del software prima che vengano eseguite. Quando il sistema tenta di connettersi alla rete, gli hash vengono inviati a un server che verifica che corrispondano ai valori previsti. Se uno qualsiasi dei componenti sottoposti a hashing è stato modificato dall'ultimo avvio, la partita fallirà e il sistema non potrà accedere alla rete.
I chip TPM possono essere utilizzati con qualsiasi sistema operativo principale e funzionano al meglio in combinazione con altre tecnologie di sicurezza come firewall, software antivirus, smart card e verifica biometrica.
Il termine TPM viene talvolta utilizzato in riferimento al set di specifiche applicabili ai chip TPM.
Vedi anche: crittografia del disco rigido, gestione delle chiavi di crittografia