其实 TPM 只是一个功能简单的小元件而已
没有那么多强大的功能
: TPM 是整个信赖运算的核心。TPM 几个我认为几个跟 DRM 有关的核心功能：
: 1. 信赖链：TPM 验证 bootloader、bootloader 验证作业系统，作业系统验证应用程式
: 。所以除非破解 TPM 芯片 本身，任何作业系统或应用程式的窜改（例如破解档）都
: 会被 TPM 直接或间接抓到，验数位签章就可以了。
TPM 本身不会去抓 "窜改" 这件事
它的功能很简单，单纯的算出 bootloader 或作业系统核心的 hash 值
就只有这样而已
至于要怎么抓 "窜改" 呢？
比如，如果我们把 bootloader 和 核心的 hash 值，拿来当作加解密用的 key
可不可以？
这样一来，只要 bootloader 或作业系统被窜改过
hash 就会变，就无法解密 软件或硬件加密的系统碟
( 但是 TPM 本身并不参与系统碟资料加解密的过程 )
可是这种作法有个问题，就是我只要知道系统的 hash 值
也就知道了加密用的 key，这样显然是很不安全的
那怎么办，只好用下面的 sealed storage
: 2. Sealed Storage：只有正确的软件、硬件组合可以请求 TPM 解密。
只有在 bootloader 和作业系统的 hash 值是对的时候
才可以 unseal，拿到解密用的 key
不过只要有 root 权限，开机后 (解密后)
不管有没有 TPM 都可以直接拿到 master key
TPM 本身不是用来加解密资料的
TPM + 软件加密 是可行的
TPM + 支援 SED (TCG Opal) 的硬盘，也是可行的
TPM 本身没不意味者就是使用硬件加密
它单纯的是用来确认开机过程中的每一环节都没被窜改
但是如果真的被窜改了，TPM 也不会阻止系统开机
会让系统开不起来的是其它机制，例如无法 unseal key 所以无法解密
如果仅仅是单纯在 bios 启用 TPM，是无法享受到 TPM 的功能的
要搭配加密才会有使用 TPM 的意义