Úvodná » ako » Čo je TPM a prečo potrebuje systém Windows jeden na šifrovanie disku?

    Čo je TPM a prečo potrebuje systém Windows jeden na šifrovanie disku?

    Šifrovanie disku BitLocker spravidla vyžaduje systém TPM v systéme Windows. Šifrovanie EFS spoločnosti Microsoft nikdy nemôže používať modul TPM. Nová funkcia "šifrovanie zariadení" v systéme Windows 10 a 8.1 tiež vyžaduje moderný modul TPM, a preto je povolený len na nový hardvér. Ale čo je TPM?

    TPM znamená "Trusted Platform Module". Je to čip na základnej doske vášho počítača, ktorý vám pomôže pri šifrovaní s plným diskom odolným voči falšovaniu bez nutnosti veľmi dlhých fráz.

    Čo je to presne?

    Modul TPM je čip, ktorý je súčasťou základnej dosky vášho počítača - ak ste si kúpili PC mimo prevádzky, spájajú sa na základnú dosku. Ak ste si vytvorili vlastný počítač, môžete si ho zakúpiť ako doplnkový modul, ak ho vaša základná doska podporuje. Modul TPM generuje šifrovacie kľúče, pričom časť kľúče sama drží. Ak používate šifrovanie šifrovania BitLocker alebo šifrovanie zariadenia v počítači s modulom TPM, časť kľúča je uložená v samotnom TPM, a nie len na disku. To znamená, že útočník nemôže len odstrániť disk z počítača a pokúsi sa získať prístup k svojim súborom inde.

    Tento čip poskytuje autentifikáciu založenú na hardvéri a detekciu neoprávneného zásahu, takže útočník sa nemôže pokúsiť odstrániť čip a umiestniť ho na inú základnú dosku, alebo manipulovať so samotnou základnou doskou, aby sa pokúsil obísť šifrovanie - aspoň v teórii.

    Šifrovanie, šifrovanie, šifrovanie

    Pre väčšinu ľudí bude najdôležitejším prípadom použitia šifrovanie. Moderné verzie systému Windows používajú modul TPM prehľadne. Stačí sa prihlásiť pomocou účtu Microsoft na modernom počítači, ktorý je dodávaný so šifrovaním zariadenia a bude používať šifrovanie. Aktivujte šifrovanie disku BitLocker a systém Windows použije modul TPM na uloženie šifrovacieho kľúča.

    Zvyčajne získate prístup k šifrovanej jednotke zadaním prihlasovacieho hesla systému Windows, ale je chránený dlhším šifrovacím kľúčom. Tento šifrovací kľúč je čiastočne uložený v module TPM, takže skutočne potrebujete prihlasovacie heslo pre systém Windows a ten istý počítač, z ktorého je jednotka dostupná, aby ste získali prístup. To je dôvod, prečo je "kľúč na obnovenie" pre nástroj BitLocker o niečo dlhší - potrebujete dlhší kľúč na obnovenie prístupu k údajom, ak presuniete disk na iný počítač.

    To je jeden z dôvodov, prečo staršia technológia šifrovania systému Windows EFS nie je taká dobrá. Nemá žiadny spôsob ukladania šifrovacích kľúčov do modulu TPM. To znamená, že musí uložiť svoje šifrovacie kľúče na pevný disk a robiť to oveľa menej bezpečné. Funkcia BitLocker môže fungovať na jednotkách bez modulov TPM, ale spoločnosť Microsoft sa rozhodla skryť túto možnosť, aby zdôraznila dôležitosť TPM pre bezpečnosť.

    Prečo používať technológiu TPM TrueCrypt Shunned

    Samozrejme, TPM nie je jedinou funkčnou voľbou pre šifrovanie disku. TrueCrypt FAQ - teraz zobral dole - používa na zdôraznenie, prečo TrueCrypt nepoužíval a nikdy by používal TPM. Zabralo riešenia založené na riešení TPM, ktoré poskytujú falošný pocit bezpečia. Samozrejme, stránka TrueCryptu teraz uvádza, že TrueCrypt sám je zraniteľný a odporúča používať BitLocker - ktorý používa TPM - namiesto toho. Takže je to trochu zmätený neporiadok v oblasti TrueCrypt.

    Tento argument je stále k dispozícii na webových stránkach spoločnosti VeraCrypt. VeraCrypt je aktívnou vidličkou TrueCrypt. Otázky VeraCryptu kladú dôraz na to, že nástroj BitLocker a iné nástroje, ktoré sa spoliehajú na TPM, ho používajú na zabránenie útokom, ktoré vyžadujú, aby mal útočník prístup k administrátorovi alebo fyzický prístup k počítaču. "Jediná vec, ktorú je TPM takmer zaručená, je falošný pocit bezpečia," hovorí Často kladené otázky. Hovorí sa, že TPM je v najlepšom prípade "nadbytočné".

    Na to je trochu pravdy. Žiadna bezpečnosť nie je úplne absolútna. TPM je pravdepodobne viac výhodou. Uloženie šifrovacích kľúčov do hardvéru umožňuje počítaču automaticky dešifrovať disk alebo ju dešifrovať jednoduchým heslom. Je to bezpečnejšie ako jednoduché uloženie tohto kľúča na disk, pretože útočník nemôže jednoducho odstrániť disk a vložiť ho do iného počítača. Je viazaný na tento konkrétny hardvér.


    V konečnom dôsledku nie je TPM niečo, o čom musíte premýšľať veľa. Váš počítač má buď TPM, alebo nie - a moderné počítače vo všeobecnosti. Šifrovacie nástroje ako BitLocker spoločnosti Microsoft a "šifrovanie zariadení" automaticky používajú modul TPM na transparentné šifrovanie súborov. To je lepšie, ako vôbec nepoužívať žiadne šifrovanie a je to lepšie ako jednoduché ukladanie šifrovacích kľúčov na disk, pretože Microsoft EFS (Encrypting File System).

    Pokiaľ ide o riešenia založené na TPM a non-TPM, alebo BitLocker vs. TrueCrypt a podobné riešenia - to je zložité tému, na ktoré nie sme schopní adresovať tu.

    Image Credit: Paolo Attivissimo na Flickr