3Sep
BitLocker -levyn salaus normaalisti edellyttää TPM: tä Windowsissa. Microsoftin EFS-salaus ei voi koskaan käyttää TPM: ää.Uusi Windows 10: n ja 8.1: n "Device Encryption" -toiminto vaatii myös nykyaikaisen TPM: n, joten se on käytössä vain uusissa laitteissa. Mutta mikä on TPM?
TPM tarkoittaa "Trusted Platform Module".Se on tietokoneesi emolevyn siru, joka auttaa sallimaan kaikenkattavan kiintolevyn salauksen ilman, että vaaditaan äärimmäisen pitkiä salasanoja.
Mikä se on, tarkalleen?
TPM on siru, joka on osa tietokoneen emolevyä - jos ostit tietokoneen hyllyltä, se on juotettu emolevyyn. Jos olet rakentanut oman tietokoneesi, voit ostaa sen lisäosina, jos emolevy tukee sitä.TPM tuottaa salausavainta pitämällä osan avaimesta itselleen. Joten, jos käytät BitLocker-salausta tai laitteen salausta TPM-tietokoneella, osa avaimesta tallennetaan itse TPM: ään eikä vain levylle. Tämä tarkoittaa, että hyökkääjä ei voi poistaa asemaa vain tietokoneelta ja yrittää käyttää tiedostoja muualla.
Tämä siru tarjoaa laitteistopohjaisen todentamisen ja väärentämisen havaitsemisen, joten hyökkääjä ei voi yrittää poistaa sirua ja sijoittaa sen toiselle emolevylle tai muuttaa itse emolevyä yrittämään ohittaa salauksen - ainakin teoriassa.
Salaus, salaus, salaus
Useimmille ihmisille tärkein käyttötapa tässä on salaus. Nykyaikaiset Windows-versiot käyttävät TPM: tä läpinäkyvästi. Kirjaudu sisään Microsoft-tilillä nykyaikaisella tietokoneella, jonka mukana toimitetaan "laitteen salaus", ja se käyttää salausta. Ota BitLocker-levyn salaus käyttöön ja Windows käyttää TPM-salausta salausavain tallentamiseen.
Normaalisti pääset käsiksi salattuun asemaan kirjoittamalla Windowsin salasanasi, mutta se on suojattu pitemmällä salausavaimella. Tämä salausavain on osittain tallennettu TPM: ään, joten tarvitset todella Windowsin salasanasi ja samaan tietokoneeseen, johon asema on päällä.Tästä syystä BitLockerin "palautusavaimella" on melko vähän pidempi - tarvitset lisätietoja tietojen palauttamiseen, jos siirrät asemaa toiseen tietokoneeseen.
Tämä on yksi syy siihen, miksi vanhempi Windows EFS-salaustekniikka ei ole yhtä hyvä.Se ei voi tallentaa salausavaimia TPM: ssä.Se tarkoittaa, että sen on tallennettava salausavainsa kiintolevylle, ja se on paljon vähemmän turvallinen. BitLocker voi toimia asemilla, joissa ei ole TPM: iä, mutta Microsoft poisti tavan piilottaa tämän vaihtoehdon korostaakseen TPM: n tärkeyttä turvallisuuden kannalta.
Miksi TrueCrypt Shunned TPMs
TPM ei tietenkään ole ainoa käytettävissä oleva vaihtoehto levyn salaukseen. TrueCryptin usein kysytyt kysymykset - joita käytetään korostamaan, miksi TrueCrypt ei käyttänyt eikä käyttäisi TPM: ää.Se rikkoi TPM-pohjaisia ratkaisuja väärennetyn turvallisuuden tunteen saamiseksi. Tietenkin TrueCryptin verkkosivusto mainitsee, että TrueCrypt on itsessään haavoittuva ja suosittelee käyttämään BitLockeria, joka käyttää TPM: ää.Joten se on hieman hämmentävää sotkua TrueCryptin maassa.
Tämä argumentti on kuitenkin edelleen saatavilla VeraCryptin verkkosivuilla. VeraCrypt on TrueCryptin aktiivinen haarukka. VeraCryptin usein kysytyissä kysymyksissä vaaditaan, että BitLocker ja muut TPM: tä käyttävät apuohjelmat käyttävät sitä estääkseen sellaiset hyökkäykset, jotka edellyttävät hyökkääjän järjestelmänvalvojan pääsyn tai fyysisen pääsyn tietokoneeseen."Ainoa asia, jonka TPM on lähes taattu tarjoamaan, on väärä turvallisuuden tunne", kertoo FAQ.Se sanoo, että TPM on parhaimmillaan "redundant".
Tähän on hieman totta. Ei turvallisuutta täysin ehdottomasti. TPM on todennäköisesti enemmän mukavuutta. Salausavainten tallentaminen laitteistoon sallii tietokoneen salauksen purkamisen automaattisesti tai purkaa sen yksinkertaisella salasanalla. Se on turvallisempaa kuin pelkkä avaimen tallentaminen levylle, koska hyökkääjä ei voi poistaa levyä eikä laittaa sitä toiseen tietokoneeseen. Se on sidottu tähän tiettyyn laitteistoon.
Lopulta TPM ei ole jotain, mitä sinun täytyy ajatella paljon. Tietokoneessa on joko TPM tai ei - ja nykyaikaiset tietokoneet yleensä.Salausvälineet, kuten Microsoftin BitLocker ja "laitteen salaus", käyttävät automaattisesti TPM-salausta tiedostojen salaamiseen läpinäkyvästi. Se on parempi kuin salakirjoituksen käyttämistä lainkaan, ja se on parempi kuin tallentaa salausavaimet levylle, kuten Microsoftin EFS( Encrypting File System) tekee.
TPM vs. ei-TPM-pohjaisten ratkaisujen tai BitLocker vs. TrueCrypt ja vastaavat ratkaisut - hyvin, tämä on monimutkainen aihe, jota emme oikeastaan kykene käsittelemään täällä.
Kuvauskenttä: Paolo Attivissimo Flickr