Questa è una domanda abbastanza coinvolgente.
Prima di tutto: se in realtà è ROM, è a prova di manomissione. La ROM è, elettricamente, memoria di sola lettura. Non può essere cambiato.
Ora, è perfettamente possibile che il chip TPM esegua il firmware che è, di fatto, in memoria scrivibile.
C'è un sacco di modi che possono essere protetti: ad esempio, rendendo accessibile la memoria del firmware solo tramite comando proveniente dal firmware stesso - in questo caso, il firmware ha il compito di verificare se un aggiornamento del firmware deve essere accettato, per esempio. controllando la firma elettronica di chi sta tentando di aggiornare il firmware.
Il firmware caricabile potrebbe anche, tramite il bootloader residente in ROM, essere controllato per es. per le firme digitali che corrispondono alla chiave del produttore in un pezzo di ROM.
Altri metodi implicano l'ottenimento di linee di segnale speciali dalla CPU che sono alte solo quando la CPU è in SMM (modalità di gestione del sistema, qualcosa che di solito solo l'UEFI può immettere).
What kind of ROM do TPMs normally use? One-time programmed,
or mask programmed so that it is impossible to change the contents after fabrication?
Non posso nemmeno dirti se è in realtà una ROM, come puoi vedere sopra. È un dettaglio di implementazione e sono sicuro che puoi conoscere i diversi approcci che i produttori hanno scelto dal loro foglio dati.