3Sep
A BitLocker lemezek titkosítása rendszerint TPM-t igényel a Windows rendszeren. A Microsoft EFS titkosítása soha nem használhat TPM-et. Az új "eszköz titkosítás" funkció a Windows 10 és 8.1 rendszeren is egy modern TPM-t igényel, ezért csak az új hardvereken engedélyezett. De mi a TPM?
TPM jelentése "Trusted Platform Module".Ez egy chip a számítógép alaplapján, amely lehetővé teszi a szabotázs-ellenálló teljes lemezes titkosítást, anélkül, hogy rendkívül hosszú jelszavakra lenne szükség.
Mi az, pontosan?
A TPM egy chip, ami része a számítógép alaplapjának - ha vásárolt egy PC-t, akkor forrasztva az alaplapra. Ha saját számítógépet készítettél, akkor egy kiegészítő modulként vásárolhatsz, ha az alaplap támogatja. A TPM titkosítási kulcsokat generál, miközben a kulcsot magának tartja. Tehát, ha BitLocker titkosítást vagy eszköz titkosítást használ a számítógépen a TPM segítségével, a kulcs egy része a TPM-ben tárolódik, nem csak a lemezen. Ez azt jelenti, hogy egy támadó nem csak eltávolíthatja a meghajtót a számítógépről, és megpróbálhatja elérni a fájlokat máshol.
Ez a chip biztosítja a hardveres hitelesítést és a szabotázs észlelését, így a támadó nem kísérelheti meg eltávolítani a chipet, és nem helyezheti el egy másik alaplapra, illetve nem zavarhatja meg az alaplapot, hogy megpróbálja megkerülni a titkosítást - legalábbis elméletileg.
Titkosítás, titkosítás, titkosítás
A legtöbb ember számára itt a legmegfelelőbb eset a titkosítás. A Windows modern verziói átlátható módon használják a TPM-et. Csak jelentkezzen be egy Microsoft-fiókkal egy modern számítógépen, amely az "eszköz titkosítása" engedélyezett, és titkosítást fog használni. Engedélyezze a BitLocker lemez titkosítását, és a Windows TPM segítségével tárolja a titkosítási kulcsot.
Általában csak akkor nyeri meg a titkosított meghajtót, ha beírja a Windows bejelentkezési jelszavát, de hosszabb titkosítási kulcs védi. Ez a titkosítási kulcs részben tárolódik a TPM-ben, így valóban szüksége van a Windows bejelentkezési jelszóra, és arra a számítógépre, ahonnan a meghajtó hozzáférést kap.Éppen ezért a BitLocker "helyreállítási kulcs" egy kicsit hosszabb - szükséged van a hosszabb helyreállítási kulcsra az adatok eléréséhez, ha áthelyezi a meghajtót egy másik számítógépre.
Ez az egyik oka annak, hogy a régebbi Windows EFS titkosítási technológia nem olyan jó.Nem lehet titkosítási kulcsokat tárolni egy TPM-ben. Ez azt jelenti, hogy a titkosítási kulcsokat a merevlemezen tárolja, és sokkal kevésbé biztonságossá teszi. A BitLocker TPM nélküli meghajtókkal működhet, de a Microsoft elhagyta a módját, hogy elrejtse ezt az opciót, hogy hangsúlyozza, mennyire fontos a TPM a biztonságért.
Miért van TrueCrypt megszakadt TPM-k
Természetesen a TPM nem az egyetlen működőképes eszköz a lemezek titkosításához. A TrueCrypt gyakran letöltött kérdései arra hívják fel a figyelmet, hogy miért nem használta a TrueCrypt, és soha nem használna TPM-t. A TPM-alapú megoldásokat a biztonság hamis érzetét keltette. A TrueCrypt honlapja természetesen azt állítja, hogy maga a TrueCrypt sebezhető, és azt javasolja, hogy a BitLocker-ot használja, amely TPM-t használ.Így ez egy kicsit zavaros rendetlenség a TrueCrypt földön.
Ez az érv még mindig elérhető a VeraCrypt honlapján. A VeraCrypt a TrueCrypt aktív villa. A VeraCrypt GYIK-je ragaszkodik ahhoz, hogy a BitLocker és a TPM-t használó egyéb segédprogramok használják, hogy megakadályozzák azokat a támadásokkal szemben, amelyek a támadók számára rendszergazdai hozzáférést vagy fizikai hozzáférést biztosítanak a számítógéphez."Az egyetlen dolog, amit a TPM majdnem garantál, hamis biztonságérzet" - mondja a GYIK.Azt mondja, hogy a TPM a legjobb esetben "redundáns".
Van egy kis igazság. Nincs biztonság teljesen abszolút. A TPM vitathatatlanul inkább kényelmi funkció.A hardveren található titkosítási kulcsok tárolása lehetővé teszi a számítógép számára, hogy automatikusan dekódolja a meghajtót, vagy egyszerű jelszóval visszafejtse. Biztonságosabb, mint egyszerűen tárolni a kulcsot a merevlemezen, mivel a támadó nem tudja egyszerűen eltávolítani a lemezt és beilleszteni egy másik számítógépbe. Ez az adott hardverhez kötődik.
Végül, a TPM nem olyan, amire sok mindent el kell gondolnia. A számítógép vagy rendelkezik TPM-del, vagy nem - és a modern számítógépek általában. A titkosítási eszközök, például a Microsoft BitLocker és az "eszköz titkosítása" automatikusan TPM-t használnak a fájlok átlátható titkosításához. Ez jobb, mintha egyáltalán nem használna titkosítást, és jobb, mint egyszerűen tárolni a titkosítási kulcsokat a lemezen, ahogyan a Microsoft EFS( Encrypting File System) is.
Ami a TPM és a nem TPM alapú megoldásokat illeti, vagy a BitLocker vagy a TrueCrypt és hasonló megoldások - nos, ez egy bonyolult téma, amire nem igazán tudunk foglalkozni.
képarány: Paolo Attivissimo a Flickr
-n