3Sep

Wat is een TPM en waarom heeft Windows Need One nodig voor schijfversleuteling?

tpm

BitLocker-schijfversleuteling vereist normaal een TPM op Windows. De EFS-codering van Microsoft kan nooit een TPM gebruiken. De nieuwe "apparaatencryptie" -functie op Windows 10 en 8.1 vereist ook een moderne TPM, daarom is deze alleen op nieuwe hardware ingeschakeld. Maar wat is een TPM?

TPM staat voor "Trusted Platform Module".Het is een chip op het moederbord van uw computer die helpt om fraudebestendige volledige schijfversleuteling mogelijk te maken zonder extreem lange wachtzinnen te vereisen.

Wat is het, precies?

De TPM is een chip die deel uitmaakt van het moederbord van uw computer - als u een standaard-pc hebt gekocht, is deze op het moederbord gesoldeerd. Als u uw eigen computer hebt gebouwd, kunt u er een kopen als een add-onmodule als uw moederbord dit ondersteunt. De TPM genereert coderingssleutels en bewaart een deel van de sleutel voor zichzelf. Dus als u BitLocker-codering of apparaatencryptie gebruikt op een computer met de TPM, wordt een deel van de sleutel opgeslagen in de TPM zelf, in plaats van alleen op de schijf. Dit betekent dat een aanvaller de schijf niet zomaar van de computer kan verwijderen en elders zijn bestanden probeert te openen.

Deze chip biedt op hardware gebaseerde authenticatie en sabotagedetectie, dus een aanvaller kan niet proberen de chip te verwijderen en op een ander moederbord te plaatsen, of knoeien met het moederbord zelf om de codering te omzeilen - althans in theorie.

Codering, codering, codering

De meest relevante use case voor de meeste mensen is encryptie. Moderne versies van Windows gebruiken de TPM op transparante wijze. Log gewoon in met een Microsoft-account op een moderne pc waarop 'Apparaatcodering' is ingeschakeld en maak gebruik van codering. Schakel BitLocker-schijfversleuteling in en Windows gebruikt een TPM om de coderingssleutel op te slaan.

Normaal gesproken krijgt u gewoon toegang tot een gecodeerd station door uw Windows-inlogwachtwoord in te voeren, maar het is beveiligd met een langere coderingssleutel dan dat. Die coderingssleutel is gedeeltelijk opgeslagen in de TPM, dus je hebt eigenlijk je Windows-inlogwachtwoord nodig en dezelfde computer waar de schijf vandaan komt om toegang te krijgen. Daarom is de "herstelsleutel" voor BitLocker behoorlijk wat langer - u hebt die langere herstelsleutel nodig om toegang te krijgen tot uw gegevens als u de schijf naar een andere computer verplaatst.

Dit is een reden waarom de oudere Windows EFS-coderingstechnologie niet zo goed is. Het heeft geen mogelijkheid om coderingssleutels op te slaan in een TPM.Dat betekent dat het zijn coderingssleutels op de harde schijf moet opslaan en het veel minder veilig maakt. BitLocker kan werken op schijven zonder TPM's, maar Microsoft heeft zijn best gedaan om deze optie te verbergen om te benadrukken hoe belangrijk een TPM is voor beveiliging.

BitLocker-kan-niet-gebruik-a-vertrouwde-platform-module

Waarom TrueCrypt Shunned TPM's

Natuurlijk is een TPM niet de enige werkbare optie voor schijfversleuteling. De FAQ van TrueCrypt, die nu is verwijderd, werd gebruikt om te benadrukken waarom TrueCrypt geen TPM heeft gebruikt en nooit zou gebruiken. Het sloeg op TPM gebaseerde oplossingen als een vals gevoel van veiligheid. Natuurlijk stelt TrueCrypt's website nu dat TrueCrypt zelf kwetsbaar is en beveelt het aan om BitLocker - die TPM's gebruikt - te gebruiken. Het is dus een beetje een verwarrende puinhoop in het TrueCrypt-land.

Dit argument is echter nog steeds beschikbaar op de website van VeraCrypt. VeraCrypt is een actieve vork van TrueCrypt. De FAQ van VeraCrypt dringt erop aan dat BitLocker en andere hulpprogramma's die vertrouwen op TPM deze gebruiken om te voorkomen dat aanvallen waarbij een aanvaller beheerderstoegang nodig heeft of fysieke toegang hebben tot een computer, worden voorkomen."Het enige dat TPM bijna gegarandeerd biedt, is een vals gevoel van veiligheid", zegt de FAQ.Er staat dat een TBM op zijn best "overbodig" is.

Er zit een beetje waarheid in. Geen enkele beveiliging is absoluut absoluut. Een TPM is aantoonbaar meer een gemaksfunctie. Door de encryptiesleutels in hardware op te slaan, kan een computer de schijf automatisch decoderen of decoderen met een eenvoudig wachtwoord. Het is veiliger dan alleen het opslaan van die sleutel op de schijf, omdat een aanvaller de schijf niet eenvoudig kan verwijderen en op een andere computer kan invoegen. Het is gekoppeld aan die specifieke hardware.

Uiteindelijk is een TPM niet iets waar je veel over na moet denken. Uw computer heeft ofwel een TPM of niet - en moderne computers zullen dit over het algemeen doen. Versleutelingshulpmiddelen zoals BitLocker van Microsoft en "apparaatversleuteling" gebruiken automatisch een TPM om uw bestanden op transparante wijze te versleutelen. Dat is beter dan helemaal geen encryptie gebruiken, en het is beter dan simpelweg het opslaan van de coderingssleutels op de schijf, zoals Microsoft's EFS( Encrypting File System) dat doet.

Wat betreft TPM versus niet op TPM gebaseerde oplossingen, of BitLocker versus TrueCrypt en soortgelijke oplossingen - nou, dat is een gecompliceerd onderwerp dat we hier niet echt kwalificeren.

Image Credit: Paolo Attivissimo op Flickr