Domača » kako » Kaj je TPM in zakaj Windows potrebuje eno za šifriranje diska?

    Kaj je TPM in zakaj Windows potrebuje eno za šifriranje diska?

    Šifriranje diska BitLocker običajno zahteva TPM v sistemu Windows. Microsoftovo šifriranje EFS nikoli ne more uporabljati TPM. Nova funkcija šifriranja naprav v operacijskih sistemih Windows 10 in 8.1 zahteva tudi sodoben TPM, zato je omogočena le na novi strojni opremi. Toda kaj je TPM?

    TPM pomeni »Trusted Platform Module«. To je čip na matični plošči vašega računalnika, ki pomaga pri šifriranju celotnega diska, ki je odporen na nedovoljeno spreminjanje, ne da bi zahtevali izjemno dolge gesle..

    Kaj je to??

    TPM je čip, ki je del matične plošče vašega računalnika - če ste kupili računalniški računalnik, je spajkan na matično ploščo. Če ste zgradili svoj računalnik, ga lahko kupite kot dodatek, če ga vaša matična plošča podpira. TPM generira šifrirne ključe, pri čemer del ključa ostane sam. Torej, če uporabljate šifriranje BitLocker ali šifriranje naprave v računalniku z modulom TPM, se del ključa shrani v sam TPM in ne samo na disk. To pomeni, da napadalec ne more samo odstraniti pogona iz računalnika in poskušati dostopati do datotek drugje.

    Ta čip zagotavlja preverjanje pristnosti na osnovi strojne opreme in zaznavanje zlorabe, zato napadalec ne more poskušati odstraniti čipa in ga postaviti na drugo matično ploščo, ali pa spreminjati same matične plošče, da bi poskusil obiti šifriranje - vsaj v teoriji.

    Šifriranje, šifriranje, šifriranje

    Za večino ljudi je najpomembnejši primer uporabe šifriranje. Sodobne različice sistema Windows pregledno uporabljajo TPM. Samo prijavite se z Microsoftovim računom na sodobnem računalniku, ki je opremljen z omogočenim šifriranjem naprav in bo uporabljal šifriranje. Omogoči šifriranje diska BitLocker in Windows bo uporabil modul TPM za shranjevanje ključa za šifriranje.

    Običajno dobite dostop do šifriranega pogona, tako da vnesete geslo za prijavo v sistem Windows, vendar je zaščiten z daljšim ključem za šifriranje, kot je to. Ta šifrirni ključ je delno shranjen v modulu TPM, zato potrebujete za prijavo geslo za prijavo v sistem Windows in isti računalnik, s katerega je pogon. Zato je »ključ obnovitve« za BitLocker precej daljši - potrebujete daljši obnovitveni ključ za dostop do podatkov, če premaknete pogon na drug računalnik.

    To je eden od razlogov, zakaj starejša tehnologija šifriranja Windows EFS ni tako dobra. Ni mogoče shraniti ključev za šifriranje v TPM. To pomeni, da mora shranjevati svoje šifrirne ključe na trdem disku in je veliko manj varna. BitLocker lahko deluje na diskih brez TPM-jev, vendar se je Microsoft izognil temu, da bi skril to možnost, da bi poudaril, kako pomemben je TPM za varnost.

    Zakaj je TrueCrypt odstranil TPM

    TPM seveda ni edina uporabna možnost za šifriranje diskov. FAQ za TrueCrypt, ki je zdaj odstranjen, je poudaril, zakaj TrueCrypt ni uporabil in nikoli ne bi uporabil TPM. Rešitve, ki temeljijo na TPM, so zatrle, saj zagotavljajo lažen občutek varnosti. Spletna stran TrueCrypt seveda zdaj pravi, da je TrueCrypt sam ranljiv in priporoča, da uporabite BitLocker - ki uporablja TPM -. Torej je malo zmede v TrueCrypt zemljišču.

    Ta argument je še vedno na voljo na spletni strani VeraCrypta. VeraCrypt je aktivna vilica TrueCrypt. VeraCrypt FAQ zahteva, da ga BitLocker in drugi pripomočki, ki se zanašajo na TPM, uporabljajo za preprečevanje napadov, ki zahtevajo, da ima napadalec skrbniški dostop ali imajo fizični dostop do računalnika. »Edina stvar, ki jo zagotavlja TPM, je lažen občutek varnosti,« pravi FAQ. Piše, da je TPM v najboljšem primeru "odveč".

    To je malo resnice. Nobena varnost ni popolnoma absolutna. TPM je verjetno bolj uporabna funkcija. Shranjevanje šifrirnih ključev v strojno opremo omogoča računalniku, da samodejno dešifrira pogon ali ga dešifrira s preprostim geslom. To je bolj varno kot preprosto shranjevanje tega ključa na disku, saj napadalec ne more preprosto odstraniti diska in ga vstaviti v drug računalnik. To je vezano na določeno strojno opremo.


    Navsezadnje TPM ni nekaj, o čemer morate veliko razmišljati. Vaš računalnik ima TPM ali pa ne - in sodobni računalniki bodo na splošno. Orodja za šifriranje, kot je Microsoftov BitLocker in šifriranje naprav, samodejno uporabljajo TPM za pregledno šifriranje datotek. To je bolje, kot če ne uporabljate nobenega šifriranja, in je bolje kot preprosto shranjevanje šifrirnih ključev na disku, kot to počne Microsoftov EFS (šifrirni datotečni sistem)..

    Kar zadeva rešitve TPM v primerjavi z rešitvami, ki ne temeljijo na TPM, ali BitLocker v primerjavi s TrueCrypt in podobnimi rešitvami, je to zapletena tema, ki je ni mogoče ustrezno obravnavati tukaj.

    Zasluge za sliko: Paolo Attivissimo na Flickr