Početna » kako da » Što je TPM i zašto Windows treba jednu za šifriranje diska?

    Što je TPM i zašto Windows treba jednu za šifriranje diska?

    BitLocker šifriranje diska obično zahtijeva TPM u sustavu Windows. Microsoftova EFS enkripcija nikada ne može koristiti TPM. Nova značajka šifriranja uređaja na Windows 10 i 8.1 također zahtijeva moderan TPM, zbog čega je omogućen samo na novom hardveru. Ali što je TPM?

    TPM znači "Trusted Platform Module". To je čip na matičnoj ploči vašeg računala koji pomaže kod šifriranja cijelog diska otpornog na neovlašteno rukovanje bez potrebe za ekstremno dugim zaporkama.

    Što je to??

    TPM je čip koji je dio matične ploče vašeg računala - ako ste kupili off-the-shelf PC, zalemljen je na matičnu ploču. Ako ste izgradili vlastito računalo, možete ga kupiti kao dodatni modul ako ga vaša matična ploča podržava. TPM generira ključeve za šifriranje, zadržavajući dio ključa samom sebi. Dakle, ako koristite BitLocker šifriranje ili šifriranje uređaja na računalu s TPM-om, dio ključa pohranjen je u samom TPM-u, a ne samo na disku. To znači da napadač ne može jednostavno ukloniti pogon s računala i pokušati pristupiti svojim datotekama negdje drugdje.

    Ovaj čip osigurava provjeru autentičnosti i detekciju neovlaštenog pristupa, tako da napadač ne može pokušati ukloniti čip i smjestiti ga na drugu matičnu ploču, ili neovlašteno mijenjati samu matičnu ploču kako bi pokušao zaobići enkripciju - barem u teoriji.

    Šifriranje, šifriranje, šifriranje

    Za većinu ljudi, najrelevantniji slučaj upotrebe ovdje će biti šifriranje. Moderne verzije sustava Windows transparentno koriste TPM. Samo se prijavite s Microsoftovim računom na suvremenom računalu koje ima omogućeno šifriranje uređaja i koristit ćete enkripciju. Omogućite BitLocker šifriranje diska, a Windows će upotrijebiti TPM za pohranu ključa za šifriranje.

    Obično samo pristupate šifriranom pogonu upisivanjem lozinke za prijavu u sustav Windows, ali je zaštićen duljim ključem za šifriranje. Taj je ključ za šifriranje djelomično pohranjen u TPM-u, tako da vam je potrebna pristupna lozinka za sustav Windows i isto računalo s kojeg je pogon dostupan. Zbog toga je ključ za oporavak za BitLocker malo duži - potreban vam je dulji ključ za oporavak da biste pristupili podacima ako premjestite pogon na drugo računalo.

    To je jedan od razloga zašto starija tehnologija šifriranja sustava Windows EFS nije tako dobra. Ne postoji način pohranjivanja ključeva za šifriranje u TPM. To znači da mora pohraniti svoje ključeve za šifriranje na tvrdi disk i učiniti ih mnogo manje sigurnima. BitLocker može funkcionirati na pogonima bez TPM-a, ali Microsoft se nije slagao s ovom opcijom kako bi naglasio koliko je TPM važan za sigurnost.

    Zašto je TrueCrypt odbio TPM-ove

    Naravno, TPM nije jedina izvediva opcija za šifriranje diska. Često postavljana pitanja TrueCrypta - koja je sada skinuta - koriste se za naglašavanje zašto TrueCrypt nije koristio i nikada ne bi koristio TPM. To je slamalo rješenja temeljena na TPM-u kao pružanje lažnog osjećaja sigurnosti. Naravno, TrueCryptova web-lokacija sada navodi da je TrueCrypt ranjiv i preporučuje da umjesto toga koristite BitLocker - koji koristi TPM-ove. Dakle, to je pomalo zbunjujući nered u TrueCrypt zemlji.

    Ovaj je argument još uvijek dostupan na web-mjestu tvrtke VeraCrypt. VeraCrypt je aktivna vilica TrueCrypt. Često postavljana pitanja tvrtke VeraCrypt inzistiraju na tome da BitLocker i drugi uslužni programi koji se oslanjaju na TPM koriste ga kako bi spriječili napade koji zahtijevaju da napadač ima administratorski pristup ili fizički pristup računalu. “Jedina stvar koju je TPM gotovo zajamčeno pružiti je lažni osjećaj sigurnosti”, kaže FAQ. Kaže da je TPM u najboljem slučaju "suvišan".

    Ima malo istine u ovome. Nijedna sigurnost nije apsolutna. TPM je nedvojbeno više praktična značajka. Pohranjivanje ključeva za šifriranje u hardver omogućuje računalu da automatski dešifrira pogon ili ga dešifrira jednostavnom lozinkom. To je sigurnije nego jednostavno pohranjivanje tog ključa na disk, jer napadač ne može jednostavno ukloniti disk i umetnuti ga u drugo računalo. Vezana je za određeni hardver.


    Na kraju, TPM nije nešto o čemu morate puno razmišljati. Vaše računalo ima TPM ili ga nema, a moderna računala općenito. Alati za šifriranje kao što je Microsoftov BitLocker i "šifriranje uređaja" automatski koriste TPM za transparentno šifriranje datoteka. To je bolje nego da uopće ne koristite šifriranje, a to je bolje nego jednostavno pohranjivanje ključeva za šifriranje na disk, kao što Microsoftov EFS (Šifrirni datotečni sustav) radi.

    Što se tiče rješenja TPM u odnosu na rješenja koja nisu temeljena na TPM-u, ili rješenja BitLocker vs. TrueCrypt i sličnih rješenja - to je komplicirana tema za koju nismo stvarno kvalificirani..

    Zasluge za slike: Paolo Attivissimo na Flickru