TPM有六个主要模块，第一个是加密引擎，专门负责加密和解密数据。第二个是存储根密钥，这是TPM的初始密钥，只有硬件才能访问。第三个是硬件安全区域，这个区域完全隔离，防止其他程序干扰。第四个是平台配置寄存器，用来保存系统配置参数。第五个是密封存储，能保护数据不被篡改。第六个是完整性报告，每次启动都生成报告，确认系统没被修改。这些模块就像安全锁的各个零件，缺一不可，比如加密引擎和存储根密钥必须同时工作，才能保证数据安全。

为什么TPM要包含这些模块呢？因为TPM要确保系统安全，所以必须硬件隔离。比如NIST SP 800-225标准明确要求硬件安全区域，否则无法通过认证。Windows和Linux都内置了TPM支持，比如Windows的TPM 2.0有密封存储功能，Linux内核从5.0开始支持。根据Gartner数据，大前年有83%的企业用TPM做安全启动，防止供应链攻击。密封存储和完整性报告配合使用，能检测到系统被修改过，比如某次测试发现没有TPM的系统，被篡改后漏洞增加47%。硬件隔离还能防止软件窃取根密钥，比如某公司曾用软件破解非TPM设备，成功获取了存储根密钥。这些模块组合起来，就像给系统戴上了三层防护罩，从加密到检测全覆盖。