3Sep
običajno zahteva TPM v operacijskem sistemu Windows. Microsoftov šifriranje EFS ne more nikoli uporabljati TPM.Nova funkcija za šifriranje naprav v operacijskih sistemih Windows 10 in 8.1 zahteva tudi sodoben TPM, zato je to omogočeno le na novi strojni opremi. Toda kaj je TPM?
TPM pomeni "Trusted Platform Module".To je čip na matični plošči vašega računalnika, ki omogoča omogočanje nedotaknjenega šifriranja na celotnem disku, ne da bi zahtevali zelo dolge geslo.
Kaj je to, točno?
TPM je čip, ki je del matične plošče vašega računalnika - če ste kupili zunanji PC, ga spajate na matično ploščo.Če ste izdelali svoj računalnik, ga lahko kupite kot dodatni modul, če jo podpira vaša matična plošča. TPM ustvarja šifrirne ključe, s čimer ohranja del ključa samega sebe. Torej, če uporabljate šifriranje BitLocker ali šifriranje naprave na računalniku s TPM, je del ključa shranjen v samem TPM-ju in ne samo na disku. To pomeni, da napadalec ne more odstraniti pogona iz računalnika in poskušati dostopati do svojih datotek drugje.
Ta čip zagotavlja avtentikacijo na osnovi strojne opreme in odkrivanje nedovoljenih tahometk, zato napadalec ne more poskušati odstraniti čipa in ga postaviti na drugo matično ploščo ali posegati v sami matični plošči, da bi poskušal obiti šifriranje - vsaj v teoriji.Šifriranje, šifriranje, šifriranje
Za večino ljudi bo najpogostejši primer uporabe tukaj šifriranje. Sodobne različice sistema Windows uporabljajo TPM pregledno. Prijavite se samo z računom Microsoft na sodobnem računalniku, ki je dobavljen z "šifriranje naprave" in bo uporabljal šifriranje. Omogočite šifriranje diska BitLocker in Windows bo uporabil TPM za shranjevanje šifrirnega ključa.
Običajno samo dostopate do šifriranega pogona, tako da vnesete geslo za prijavo v sistem Windows, vendar je zaščiteno z daljšim šifrirnim ključem. Ta šifrirni ključ je delno shranjen v TPM, zato dejansko potrebujete geslo za prijavo v sistem Windows in isti računalnik, od katerega je pogon dostopen. Zato je ključ za obnovitev BitLockerja precej dlje - potrebujete ga za daljši obnovitveni ključ za dostop do podatkov, če premaknete pogon v drug računalnik.
To je eden od razlogov, zakaj starejša tehnologija šifriranja Windows EFS ni tako dobra. V načinu TPM ni mogoče shranjevati šifrirnih ključev. To pomeni, da mora hraniti svoje šifrirne ključe na trdem disku in ga narediti veliko manj varno. BitLocker lahko deluje na pogone brez TPM-jev, vendar je Microsoft odšel s poti, da skrije to možnost, da bi poudaril, kako pomemben je TPM za varnost.
Zakaj TrueCrypt Shunned TPMs
Seveda TPM ni edina uporabna možnost za šifriranje diska. Pogosto zastavljena vprašanja TrueCrypt - zdaj so bila odpravljena - poudarila, zakaj TrueCrypt ni uporabila in nikoli ne bi uporabljala TPM.Razkril je rešitve, ki temeljijo na TPM-u, saj zagotavljajo lažen občutek varnosti. Spletna stran TrueCrypta seveda navaja, da je TrueCrypt sam ranljiv in priporoča uporabo BitLockerja - ki uporablja TPM-je. Torej je malo zmedenega nereda v deželi TrueCrypt.
Ta argument je še vedno na voljo na spletni strani VeraCrypta. VeraCrypt je aktivna vilica TrueCrypta. Pogosta vprašanja o VeraCryptu vztrajajo, da BitLocker in druge pripomočke, ki se zanesejo na TPM, uporabljajo to za preprečevanje napadov, ki od napadalca zahtevajo administratorski dostop ali fizični dostop do računalnika."Edina stvar, za katero je TPM skoraj zagotovljena, je lažen občutek varnosti," pravi FAQ.Piše, da je TPM v najboljšem primeru "odvečen".
To je nekaj resnice. Varnost ni popolnoma absolutna. TPM je verjetno bolj priročna funkcija. Shranjevanje ključev za šifriranje v strojni opremi omogoča računalniku, da samodejno dešifrira pogon ali ga razširi s preprostim geslom. To je bolj varno kot preprosto shranjevanje tega ključa na disk, saj napadalec ne more preprosto odstraniti diska in ga vstaviti v drug računalnik. Vezana je na to specifično strojno opremo.
Navsezadnje TPM ni nekaj, o čem moraš veliko razmišljati. Vaš računalnik ima bodisi TPM ali ne - in moderni računalniki bodo na splošno. Orodja za šifriranje, kot je Microsoftova BitLocker in "šifriranje naprav", samodejno uporabljajo TPM za pregledno šifriranje datotek. To je bolje, kot sploh ne uporabljate šifriranja, in bolje kot preprosto shranjevanje šifrirnih ključev na disk, kot to počne Microsoftov EFS( šifrirni datotečni sistem).
Kar zadeva rešitve, ki temeljijo na tehnologiji TPM in ne na osnovi TPM, ali BitLocker vs. TrueCrypt in podobne rešitve - dobro, to je zapletena tema, za katero tukaj ni resnično primerna.
Image Credit: Paolo Attivissimo na Flickrju