Kas yra TPM ir kodėl „Windows“ reikia vieno disko šifravimui?
BitLocker disko šifravimui paprastai reikalingas TPM. „Microsoft“ EFS šifravimas niekada negali naudoti TPM. Naujojoje „Windows 10“ ir „8.1“ įrenginio „šifravimo“ funkcijoje taip pat reikalingas modernus TPM, todėl jis įjungiamas tik naujoje aparatūroje. Bet kas yra TPM?
TPM reiškia „Trusted Platform Module“. Tai kompiuterio pagrindinėje plokštėje esantis mikroschema, padedanti užblokuoti apsaugą nuo pilno disko šifravimo nereikalaujant labai ilgų slaptažodžių.
Kas tai yra, tiksliai?
TPM yra mikroschema, kuri yra kompiuterio pagrindinės plokštės dalis - jei nusipirkote nešiojamąjį kompiuterį, jis yra lituojamas ant pagrindinės plokštės. Jei sukūrėte savo kompiuterį, galite įsigyti jį kaip papildomą modulį, jei jūsų pagrindinė plokštė ją palaiko. TPM generuoja šifravimo raktus, išlaikydamas dalį raktų. Taigi, jei naudojate „BitLocker“ šifravimą ar įrenginio šifravimą kompiuteryje su TPM, dalis raktų yra saugoma pačiame TPM, o ne tik ant disko. Tai reiškia, kad užpuolikas negali tiesiog pašalinti kompiuterio iš kompiuterio ir bandyti pasiekti savo failus kitur.
Šis mikroschemas suteikia aparatinės įrangos autentiškumo nustatymo ir tamperio aptikimo, todėl užpuolikas negali bandyti pašalinti mikroschemos ir įdėti ją į kitą pagrindinę plokštę, arba pačios keisti pagrindinę plokštę, kad bandytų apeiti šifravimą - bent jau teoriškai.
Šifravimas, šifravimas, šifravimas
Daugumai žmonių svarbiausias naudojimo atvejis bus šifravimas. Šiuolaikinės „Windows“ versijos naudoja TPM skaidriai. Tiesiog prisijunkite naudodami „Microsoft“ paskyrą šiuolaikiniame kompiuteryje, kuriame yra įjungtas „įrenginio šifravimas“ ir jis bus naudojamas šifravimui. Įgalinti „BitLocker“ disko šifravimą ir „Windows“ šifravimo raktui išsaugoti naudos TPM.
Paprastai galite pasiekti prieigą prie užšifruoto disko įvesdami „Windows“ prisijungimo slaptažodį, tačiau jis yra apsaugotas ilgesniu šifravimo raktu. Šis šifravimo raktas yra iš dalies saugomas TPM, taigi jums reikia turėti „Windows“ prisijungimo slaptažodį ir tą patį kompiuterį, iš kurio diskas yra pasiekiamas. Štai kodėl „BitLocker“ „atkūrimo raktas“ yra gana ilgas - jums reikia ilgesnio atkūrimo rakto, kad galėtumėte pasiekti savo duomenis, jei perkeliate diską į kitą kompiuterį.
Tai viena iš priežasčių, kodėl senesnė „Windows EFS“ šifravimo technologija nėra tokia gera. Jis neturi galimybės saugoti šifravimo raktus TPM. Tai reiškia, kad ji turi saugoti savo šifravimo raktus į standųjį diską ir padaryti jį daug mažiau saugią. „BitLocker“ gali veikti diskuose, kuriuose nėra TPM, tačiau „Microsoft“ išvyko paslėpti šią parinktį ir pabrėžė, kaip svarbu TPM saugumui.
Kodėl „TrueCrypt“ nuslėpė TPM
Žinoma, TPM nėra vienintelis galimas disko šifravimo variantas. TrueCrypt dažniausiai užduodami klausimai - dabar naudojami, siekiant pabrėžti, kodėl „TrueCrypt“ nenaudojo ir niekada nenaudos TPM. Jis sugriovė TPM pagrįstus sprendimus, nes jie suteikė klaidingą saugumo jausmą. Žinoma, dabar „TrueCrypt“ svetainė nurodo, kad pati „TrueCrypt“ yra pažeidžiama ir rekomenduoja naudoti „BitLocker“, kuris naudoja TPM. Taigi tai truputį paini netvarka TrueCrypt žemėje.
Tačiau šis argumentas vis dar prieinamas „VeraCrypt“ svetainėje. VeraCrypt yra „TrueCrypt“ aktyvi šakutė. „VeraCrypt“ DUK reikalauja, kad „BitLocker“ ir kitos komunalinės paslaugos, kurios remiasi TPM, naudojasi tam, kad užkirstų kelią atakoms, dėl kurių užpuolikas turi turėti administratoriaus prieigą, arba turėti fizinę prieigą prie kompiuterio. „Vienintelis dalykas, kurį TPM beveik garantuoja, yra klaidingas saugumo jausmas“, - sako DUK. Jame teigiama, kad TPM geriausiu atveju yra „nereikalingas“.
Yra šiek tiek tiesos. Saugumas nėra visiškai absoliutus. TPM, be abejo, yra patogumo funkcija. Šifravimo raktų saugojimas aparatūroje leidžia kompiuteriui automatiškai iššifruoti diską arba iššifruoti jį paprastu slaptažodžiu. Tai saugiau, nei paprasčiausiai saugoti šį raktą diske, nes užpuolikas negali paprasčiausiai pašalinti disko ir įdėti jį į kitą kompiuterį. Tai susieta su ta konkrečia aparatūra.
Galų gale TPM nėra kažkas, apie kurį turite daug galvoti. Jūsų kompiuteryje yra TPM arba jis nėra - ir šiuolaikiniai kompiuteriai paprastai bus. Šifravimo įrankiai, tokie kaip „Microsoft“ „BitLocker“ ir „įrenginio šifravimas“, automatiškai naudoja TPM, kad būtų skaidriai užšifruoti failai. Tai geriau nei nenaudoti jokio šifravimo, ir tai geriau nei tiesiog saugoti šifravimo raktus diske, nes „Microsoft“ EFS (šifravimo failų sistema) veikia.
Kalbant apie TPM ir ne TPM sprendimus, arba „BitLocker“ prieš „TrueCrypt“ ir panašius sprendimus, gerai, tai sudėtinga tema, kurios mes tikrai nesame kvalifikuoti čia.
Vaizdo kreditas: Paolo Attivissimo dėl „Flickr“