TPM 2.0 是什麼？為什麼 Windows 11 突然要它？

🔎 摘要

當你面臨 Windows 11 升級時，發現系統要求 TPM 2.0，開始疑惑這是什麼、為何重要。首先理解 TPM 是一個硬體安全模組，保障系統機密資料與完整性。接著比較 TPM 1.2 與 TPM 2.0 的差異，了解為何微軟強制要求後者。再根據你的電腦硬體年份判斷是否內建 TPM，並教你如何在 BIOS 開啟它。若無內建，提供加裝實體模組或軟體繞過的替代方案。最後延伸說明 Linux 與 macOS 對 TPM 的支援狀況，幫助你全面評估升級與安全策略。

TPM 2.0 是什麼？為什麼你的電腦突然不夠格？

你打開 Windows 11 升級檢查工具，結果跳出：「此裝置無法升級：缺少 TPM 2.0」。一臉問號：「什麼鬼？我的電腦又沒壞，怎麼就不合格了？」

別急，讓我們來拆解這個神秘的縮寫：TPM，到底是什麼？它真的那麼重要嗎？而你的電腦，是該換了，還是其實只要按幾下 BIOS 就能重獲新生？

TPM 是什麼？它不是軟體，是一顆晶片！

TPM，全名 Trusted Platform Module，中文叫「可信賴平台模組」，聽起來像是政府機關，但它其實是一顆小晶片——可以獨立運作、不靠作業系統，負責處理密碼金鑰、硬碟加密、身份認證等安全任務。

如果說你的電腦是城堡，TPM 就是地窖裡的保險箱。你把最值錢的東西（像 BitLocker 金鑰、開機完整性驗證碼）鎖進這個保險箱，病毒就算控制了整座城堡，也開不了地窖門。

TPM 1.2 vs TPM 2.0：升級的不是數字，是世代

雖然 TPM 早在 2006 年就有了，但那時的版本（TPM 1.2）支援性有限，只吃得下 RSA 演算法，也不太懂怎麼跟雲端、虛擬化環境合作。

TPM 2.0 就不一樣了：

項目	TPM 1.2	TPM 2.0
支援演算法	只支援 RSA	支援 RSA、ECC、SHA-256 等多種演算法
彈性	固定流程	開發者可自訂金鑰與應用流程
虛擬化支援	幾乎沒有	支援虛擬 TPM，雲端裝置也能用
使用場景	主要在企業與政府	大眾市場逐漸普及

簡單講：TPM 1.2 是功能單一的老工程師；TPM 2.0 是上得了雲、下得了桌機、還懂機器學習的全能新人類。

為什麼突然大家都在問 TPM？

因為 微軟在 Windows 11 裡強制要求啟用 TPM 2.0。

這不只是為了增加你的升級門檻。Windows 11 引入許多與安全相關的新機制，如 Secure Boot、Credential Guard、Pluton 架構、BitLocker 加密等，而這些機制的「信任根」幾乎都依賴 TPM 2.0。

所以微軟才會堅持：沒有 TPM 2.0，別想升級。

我這台老電腦，有救嗎？

這正是大家最關心的問題。以下幾個要點幫你快速判斷你的電腦是否能「無痛升級」：

✅ 支援 TPM 2.0 的常見情況：

2017 年以後的 CPU 與主機板，幾乎都已內建 TPM 功能（或稱 fTPM、PTT），只是預設關閉。
如果你是使用：
- Intel 第8代 Core（Coffee Lake）或更新：通常支援 PTT（Platform Trust Technology）。
- AMD Ryzen 第一代或更新：支援 fTPM（firmware TPM）。

👉 只要進入 BIOS，把 TPM 選項打開，大多數情況下就能通過 Windows 11 的檢查。

❌ 不支援 TPM 2.0 的常見情況：

2015 年以前的主機板/筆電
沒有 TPM 插槽，也沒有提供韌體 TPM 的選項
Intel 第6代（Skylake）與之前的處理器，大部分不支援 TPM 2.0

🔧 解決方法：

進 BIOS 開啟 TPM（PTT / fTPM）
- Intel：找 PTT 或 Security Device Support
- AMD：找 AMD fTPM、Firmware TPM、TPM Device Selection 等選項
- 有些主機板還分 TPM 版本，要選 "2.0" 或 "Firmware TPM"
加裝實體 TPM 模組
- 若你的主機板有 TPM Header（通常是 14 或 20 pin），你可以購買主機板原廠出的 TPM 模組
- 缺點：不同廠牌不通用，記得查清楚型號！
- 廠商範例
  - ASUS：支援 ASUS TPM-L R2.0 模組
  - Gigabyte：TPM GC-TPM2.0 SPI 模組
  - MSI：MSI TPM 2.0 Module
  - ASRock：支援自家 TPM-SPI 模組
暫時略過 TPM 安裝 Win11（不建議）
- 微軟社群已有人研究繞過 TPM 檢查來安裝 Windows 11，但未來不保證更新能順利進行，風險自負。

怎麼確認我電腦有沒有 TPM 2.0？

在 Windows 上你可以這樣檢查：

方法一：用「tpm.msc」查看
1. 按 Win + R 開啟執行視窗，輸入 tpm.msc
2. 開啟視窗後，看中間是否顯示「TPM 已準備就緒」與版本號
方法二：用裝置安全性設定檢查
1. 打開「設定 → 更新與安全性 → Windows 安全性 → 裝置安全性」
2. 若看到「安全性處理器」，且版本為 2.0，代表支援。

沒有 TPM 2.0 就不安全嗎？

不是的！你一樣可以使用防毒軟體、密碼管理器、網路安全習慣來保護自己。但沒有 TPM，你就無法使用像 BitLocker 自動解密、Credential Guard、Secure Boot 等系統級安全保護。

在 企業環境或高敏感資料場景 中，這是很大的差異。

那其他系統呢？Linux 和 macOS 怎麼看 TPM？

雖然是 Windows 11 把 TPM 2.0 搞得人盡皆知，但其實 TPM 在 Linux 世界也早已有用武之地。像是：

Linux 支援 TPM 2.0 驅動與工具，常見套件如 tpm2-tools、tpm2-tss，可用於安全儲存金鑰、做完整性驗證，甚至結合 systemd 與 LUKS 全磁碟加密開機流程。
對於伺服器、IoT 裝置或需要零信任架構的環境，Linux 上的 TPM 功能更是越來越常見。

至於 macOS 呢？Apple 走的是自己的路線。自從 T2 晶片（2018 年起的 Mac）開始，Apple 就在硬體中整合了類似 TPM 的功能，像是 Secure Enclave、硬體層級加密、開機驗證等。雖然它不叫 TPM，但「安全晶片」這件事，蘋果早就在做，而且是完全整合進系統，使用者無需理會細節。

簡單說：

Linux：你可以用 TPM，只是要自己裝工具，手動設定。
macOS：Apple 幫你整合好了，自己家的 TPM 功能不開放也不需設定。

結語：老電腦，不一定要被時代淘汰

TPM 2.0 聽起來像新潮科技，其實早在不少電腦裡默默存在，只是預設被關閉。只要你是 2017 年以後的電腦，大多數情況下，只要進 BIOS 按幾下，就能順利啟用，不必急著換機。

當然，如果你用的是更舊的設備，沒 TPM 插槽、沒韌體 TPM，或主機板根本沒更新過 BIOS——那麼，是的，你可能得接受：這台電腦的壽命差不多到了尾聲。

但無論你打算升級 TPM、加裝模組，還是乾脆換新機，這場 TPM 風波至少提醒了我們一件事：安全性，正在成為電腦設備的基本門檻，不再是選配。

📌 小知識

TPM 不只是「小晶片」，它是你電腦裡的密碼超級英雄，支援 RSA、ECC、SHA-256 等多種武器，讓你的資料刀槍不入！
韌體 TPM（fTPM）就像隱藏版技能，軟體實現但實力堅強，讓老電腦也能體驗頂級保護，性價比超高。
獨立 TPM（dTPM）就是裝備了「鐵甲的守門員」，專屬通訊路徑加密資料，想偷金鑰？門都沒有！

📚 單字卡

英文詞彙	發音（國際音標）	中文解釋	詳細簡單解釋用途
discrete TPM	/dɪˈskriːt/ ˈtiː-piː-ɛm/	獨立 TPM	硬體獨立晶片，專門負責儲存安全金鑰和執行安全運算。
firmware TPM (fTPM)	/ˈfɜːrmwɛr/ ˈtiː-piː-ɛm/	韌體 TPM	以軟體韌體方式實現的 TPM，通常整合在 CPU 或主機板中。
side-channel attack	/ˈsaɪd ˌtʃænəl əˈtæk/	旁路攻擊	攻擊者利用系統運作時洩漏的訊息（如電磁波、耗電量）破解系統。
endorsement key	/ɪnˈdɔːrsmənt kiː/	背書金鑰	TPM 內建的唯一金鑰，用來證明 TPM 本身的身份與安全性。
platform configuration register (PCR)	/ˈplætˌfɔːrm kənˌfɪɡjəˈreɪʃən ˈrɛdʒɪstər/	平台組態暫存器	用來儲存系統啟動時的安全狀態數據，確保系統未被竄改。
BIOS	/ˈbaɪ.oʊs/	基礎輸入輸出系統	電腦開機時負責硬體初始化和系統啟動的韌體程式。

📝 學習單

解釋 fTPM 和 dTPM 的安全差異，並說明為何有時候 fTPM 會被認為更實用。
TPM 如何透過 PCR 協助 BitLocker 防止 Rootkit？
當主機板沒有 TPM header 時，列出至少兩種升級 Windows 11 的解決方式，並分析它們的風險與優點。

🔑 關鍵字

TPM 2.0, fTPM, dTPM, Windows 11, BIOS 安全, 信任鏈