3Sep
A encriptação de disco do BitLocker normalmente requer um TPM no Windows. A criptografia EFS da Microsoft nunca pode usar um TPM.O novo recurso de "criptografia do dispositivo" no Windows 10 e 8.1 também requer um TPM moderno, e é por isso que ele só está ativado no novo hardware. Mas o que é um TPM?
TPM significa "Trusted Platform Module".É um chip na placa-mãe do seu computador que ajuda a habilitar a criptografia de disco completo inviolável sem exigir frases de acesso extremamente longas.
O que é, exatamente?
O TPM é um chip que faz parte da placa-mãe do seu computador - se você comprou um PC sem suporte, ele é soldado na placa-mãe. Se você construiu seu próprio computador, você pode comprar um como um módulo adicional se sua placa-mãe o suportar. O TPM gera chaves de criptografia, mantendo parte da chave para si mesma. Então, se você estiver usando criptografia BitLocker ou criptografia de dispositivo em um computador com o TPM, parte da chave é armazenada no próprio TPM, em vez de apenas no disco. Isso significa que um invasor não pode simplesmente remover a unidade do computador e tentar acessar seus arquivos em outro lugar.
Este chip fornece autenticação baseada em hardware e detecção de violação, de modo que um invasor não pode tentar remover o chip e colocá-lo em outra placa-mãe, ou tamper com a própria placa-mãe para tentar ignorar a criptografia - pelo menos em teoria.
Criptografia, criptografia, criptografia
Para a maioria das pessoas, o caso de uso mais relevante aqui será a criptografia. Versões modernas do Windows usam o TPM de forma transparente. Basta fazer login com uma conta da Microsoft em um PC moderno que acompanha a "criptografia do dispositivo" ativada e usará criptografia. Habilite criptografia de disco BitLocker e o Windows usará um TPM para armazenar a chave de criptografia.
Normalmente, você simplesmente ganha acesso a uma unidade criptografada digitando sua senha de login do Windows, mas está protegido com uma chave de criptografia mais longa do que isso. Essa chave de criptografia é parcialmente armazenada no TPM, então você realmente precisa de sua senha de login no Windows e do mesmo computador para o qual a unidade é para obter acesso.É por isso que a "chave de recuperação" para o BitLocker é um pouco mais - você precisa dessa chave de recuperação mais longa para acessar seus dados se você mover a unidade para outro computador.
Esta é uma das razões pelas quais a tecnologia de criptografia do Windows EFS mais antiga não é tão boa. Não tem como armazenar chaves de criptografia em um TPM.Isso significa que ele tem que armazenar suas chaves de criptografia no disco rígido e torna muito menos seguro. O BitLocker pode funcionar em unidades sem TPMs, mas a Microsoft esqueceu esta opção para enfatizar a importância de um TPM para segurança.
Por que TrueCrypt Shunned TPMs
Claro, um TPM não é a única opção viável para criptografia de disco. Perguntas frequentes sobre TrueCrypt - agora retiradas - usado para enfatizar o porquê o TrueCrypt não usou e nunca usaria um TPM.Ele bateu as soluções baseadas em TPM como fornecendo uma falsa sensação de segurança. Claro, o site do TrueCrypt agora afirma que o TrueCrypt em si é vulnerável e recomenda que você use o BitLocker - que usa TPMs - em vez disso. Então, é uma confusão muito confusa na terra do TrueCrypt.
Este argumento ainda está disponível no site da VeraCrypt, no entanto. VeraCrypt é um garfo ativo do TrueCrypt. As perguntas frequentes do VeraCrypt insistem no BitLocker e outros utilitários que dependem do TPM para evitar ataques que exigem que um invasor tenha acesso de administrador ou tenha acesso físico a um computador."A única coisa que a TPM está quase garantida para fornecer é uma falsa sensação de segurança", diz o FAQ.Diz que um TPM é, na melhor das hipóteses, "redundante".
Há um pouco de verdade para isso. Nenhuma segurança é completamente absoluta. Um TPM é indiscutivelmente mais uma característica de conveniência. Armazenar as chaves de criptografia no hardware permite que um computador desencripte automaticamente a unidade ou desencriptá-la com uma senha simples.É mais seguro do que simplesmente armazenar essa chave no disco, pois um invasor não pode simplesmente remover o disco e inseri-lo em outro computador. Está vinculado a esse hardware específico.
Em última análise, um TPM não é algo que você tem que pensar muito. Seu computador possui um TPM ou não - e os computadores modernos geralmente o farão. As ferramentas de criptografia, como o BitLocker da Microsoft e a "criptografia de dispositivo", usam automaticamente um TPM para criptografar transparentemente seus arquivos. Isso é melhor do que não usar qualquer criptografia, e é melhor do que simplesmente armazenar as chaves de criptografia no disco, como o EFS da Microsoft( Encrypting File System).
No que diz respeito às soluções TPM versus não-TPM, ou BitLocker vs. TrueCrypt e soluções similares - bem, esse é um tópico complicado que não estamos realmente qualificados para abordar aqui. Crédito de Imagem
: Paolo Attivissimo no Flickr