3Sep
BitLocker šifriranje diska obično zahtijeva TPM na sustavu Windows. Microsoftova EFS enkripcija nikada ne može koristiti TPM.Nova značajka "enkripcije uređaja" na Windowsima 10 i 8.1 također zahtijeva moderni TPM, zbog čega je omogućen samo na novom hardveru. Ali što je TPM?
TPM označava "Trusted Platform Module".To je čip na matičnoj ploči vašeg računala koji pomaže u enkripciji cijelog diska otpornih na tamper, bez potrebe za ekstremno dugim šiframa.
Što je to, točno?
TPM je čip koji je dio matične ploče vašeg računala - ako ste kupili računalo na nosaču, zalijepljeno je na matičnu ploču. Ako ste izgradili svoje računalo, možete ga kupiti kao dodatni modul ako je matična ploča podržava. TPM generira ključeve za šifriranje, čuvajući dio ključa za sebe. Dakle, ako koristite BitLocker šifriranje ili šifriranje uređaja na računalu s TPM-om, dio ključa pohranjuje se u samom TPM-u, a ne samo na disku. To znači da napadač ne može samo ukloniti pogon s računala i pokušati pristupiti datotekama drugdje.
Ovaj čip osigurava provjeru autentičnosti na temelju hardvera i prepoznavanje neovlaštenih prijetnji, tako da napadač ne može pokušati ukloniti čip i staviti ga na drugu matičnu ploču, ili neovlašteno matičnu ploču pokušati zaobići šifriranje - barem u teoriji.Šifriranje, šifriranje, šifriranje
Za većinu ljudi najčešći slučaj upotrebe ovdje će biti enkripcija. Moderne verzije sustava Windows koriste TPM transparentno. Jednostavno se prijavite s Microsoftovim računom na suvremenom računalu koje se isporučuje s "enkripcijom uređaja" i omogućit će šifriranje. Omogućite BitLocker šifriranje diska i sustav Windows će koristiti TPM za pohranu ključa za enkripciju.
Obično dobivate pristup šifriranom pogonu upisivanjem lozinke za prijavu na sustav Windows, no zaštićeno je duljim ključem za enkripciju od toga. Taj ključ za šifriranje djelomično je pohranjen u TPM-u, tako da zaista trebate lozinku za prijavu na sustav Windows i isto računalo s kojeg dolazi disk da biste dobili pristup. Zbog toga je "ključ za oporavak" za BitLocker dosta duži - trebate više taj ključ za oporavak za pristup podacima ako premjestite disk na drugo računalo.
Ovo je jedan od razloga zašto stariju tehnologiju enkripcije sustava Windows EFS nije tako dobra. Nema načina pohranjivanja ključeva za šifriranje u TPM-u. To znači da mora pohraniti svoje ključeve za šifriranje na tvrdi disk i čini ga manje sigurnom. BitLocker može funkcionirati na pogonima bez TPM-ova, ali Microsoft je otišao na put da sakrije ovu opciju kako bi naglasio kako je TPM važan za sigurnost.
Zašto TrueCrypt izbjegava TPM-ove
Naravno, TPM nije jedina moguća opcija za šifriranje diska.Često postavljana pitanja o TrueCryptu - sada preuzeta - navela su se za stres zbog čega TrueCrypt nije koristio i nikada ne bi koristio TPM.Zalupio je rješenja temeljena na TPM-u kao lažni osjećaj sigurnosti. Naravno, TrueCrypt web stranica sada navodi da je TrueCrypt sama po sebi ranjiva i preporučuje da upotrijebite BitLocker - koji koristi TPM-ove - umjesto toga. Znači, to je pomalo zbunjujuća zbrka u TrueCrypt zemlji.
Ovaj argument je ipak dostupan na VeraCryptovoj web stranici. VeraCrypt je aktivna vilica TrueCrypt. FAQ tvrtke VeraCrypt inzistira da BitLocker i ostali alati koji se oslanjaju na TPM koriste za sprječavanje napada koji zahtijevaju da napadač ima administratorski pristup ili ima fizički pristup računalu."Jedino što je TPM gotovo zajamčeno daje lažan osjećaj sigurnosti", kaže FAQ.On kaže da je TPM u najboljem slučaju "suvišan".
Ovdje ima malo istine. Nijedna sigurnost nije potpuno apsolutna. TPM je vjerojatno više od jednostavnosti. Pohranjivanje ključeva za šifriranje u hardveru omogućuje računalu automatsko dešifriranje pogona ili ga dešifrira jednostavnom lozinkom. Sigurnije je nego jednostavno pohranjivanje tog ključa na disk, jer napadač ne može jednostavno ukloniti disk i umetati ga u drugo računalo. Povezan je s tim specifičnim hardverom.
Na kraju, TPM nije nešto o čemu morate mnogo misliti. Vaše računalo ili ima TPM ili ne - i moderna računala općenito će. Alati za šifriranje kao što je Microsoft BitLocker i "šifriranje uređaja" automatski koriste TPM za transparentno šifriranje datoteka. To je bolje od toga što uopće ne upotrebljavamo šifriranje, a to je bolje nego jednostavno pohranjivanje ključeva za šifriranje na disku, kao što to čini Microsoftov EFS( šifrirani datotečni sustav).
Što se tiče TPM-a ili ne-TPM-based rješenja, ili BitLocker vs TrueCrypt i slično rješenje - dobro, to je složena tema mi zapravo nisu kvalificirani za rješavanje ovdje.
Image Credit: Paolo Attivissimo na Flickr