Що таке TPM, і чому Windows потребує одного для шифрування диска?
Шифрування диска BitLocker зазвичай вимагає TPM у Windows. Шифрування EFS Microsoft ніколи не може використовувати TPM. Нова функція шифрування пристроїв у Windows 10 і 8.1 також потребує сучасного модуля TPM, тому його можна використовувати лише на новому обладнанні. Але що таке TPM?
TPM означає "Trusted Platform Module". Це чіп на материнській платі комп'ютера, який допомагає забезпечити стійке шифрування повного диска, не вимагаючи надзвичайно довгих паролів..
Що це таке?
TPM - це чіп, який є частиною материнської плати вашого комп'ютера - якщо ви придбали готовий ПК, він припаяний до материнської плати. Якщо ви побудували свій комп'ютер, ви можете придбати його як додатковий модуль, якщо ваша материнська плата підтримує його. TPM генерує ключі шифрування, зберігаючи частину ключа до себе. Отже, якщо ви використовуєте шифрування BitLocker або шифрування пристроїв на комп'ютері з модулем TPM, частина ключа зберігається в самому TPM, а не тільки на диску. Це означає, що зловмисник не може просто видалити диск з комп'ютера і спробувати отримати доступ до його файлів в іншому місці.
Ця мікросхема забезпечує апаратну аутентифікацію та виявлення несанкціонованого доступу, тому зловмисник не може спробувати видалити чіп і помістити його на іншу материнську плату, або втрутитися в самої материнської плати, щоб спробувати обходити шифрування - принаймні в теорії.
Шифрування, шифрування, шифрування
Для більшості людей найбільш релевантним тут є шифрування. Сучасні версії Windows використовують TPM прозоро. Просто увійдіть із обліковим записом Microsoft на сучасному ПК, який постачається з включеним шифруванням пристроїв, і він буде використовувати шифрування. Увімкнути шифрування диска BitLocker і Windows використовуватиме TPM для зберігання ключа шифрування.
Зазвичай ви отримуєте доступ до зашифрованого диска, ввівши пароль для входу до системи Windows, але він захищений більш довгим ключем шифрування. Цей ключ шифрування частково зберігається в TPM, тому вам дійсно потрібен пароль для входу в систему Windows і той самий комп'ютер, з якого потрібно отримати доступ. Ось чому "ключ відновлення" для BitLocker трохи довший - вам потрібен більш довгий ключ відновлення для доступу до даних, якщо ви перемістите диск на інший комп'ютер.
Це одна з причин, чому старі технології шифрування EFS не так добре. Він не має можливості зберігати ключі шифрування в TPM. Це означає, що він повинен зберігати свої ключі шифрування на жорсткому диску, і робить його набагато менш безпечним. Функція BitLocker може працювати на дисках без модулів TPM, але корпорація Майкрософт не в змозі приховати цей параметр, щоб підкреслити, наскільки важливо для безпеки.
Чому TrueCrypt Shunned TPMs
Звичайно, TPM не є єдиною робочою опцією для шифрування диска. Питання правдивої версії TrueCrypt - тепер знято - використовується для того, щоб підкреслити, чому TrueCrypt не використовував і ніколи не використовував TPM. Вона засунула рішення на основі TPM, надаючи помилкове почуття безпеки. Звичайно, веб-сайт TrueCrypt тепер стверджує, що сама TrueCrypt є вразливою та рекомендує використовувати BitLocker - який використовує TPMs. Так що це трохи заплутаного безладу на землі TrueCrypt.
Проте цей аргумент все ще доступний на веб-сайті VeraCrypt. VeraCrypt є активним розгалуженням TrueCrypt. Поширені запитання VeraCrypt наполягають на тому, що BitLocker та інші утиліти, які покладаються на TPM, використовують його для запобігання атакам, які вимагають, щоб зловмисник мав доступ до адміністратора або мав фізичний доступ до комп'ютера. «Єдине, що гарантовано надає TPM, - це помилкове почуття безпеки», - йдеться в FAQ. Вона говорить, що TPM, у кращому випадку, "надлишковий".
У цьому є трохи правди. Жодна безпека не є абсолютно абсолютною. TPM, можливо, є більш зручною функцією. Зберігання ключів шифрування в апаратних засобах дозволяє комп'ютеру автоматично розшифрувати диск або розшифрувати його за допомогою простого пароля. Це безпечніше, ніж просто зберігати цей ключ на диску, оскільки зловмисник не може просто видалити диск і вставити його в інший комп'ютер. Вона прив'язана до конкретного обладнання.
Зрештою, TPM не є чимось, про що потрібно багато думати. Ваш комп'ютер має або TPM, або він не має - і сучасні комп'ютери, як правило, будуть. Засоби шифрування, такі як Microsoft BitLocker і шифрування пристроїв, автоматично використовують TPM для прозорого шифрування файлів. Це краще, ніж взагалі не використовувати будь-яке шифрування, і це краще, ніж просто зберігати ключі шифрування на диску, оскільки EFS (шифрована файлова система) Microsoft.
Що стосується рішень TPM у порівнянні з не-TPM-рішеннями, або BitLocker проти TrueCrypt та подібними рішеннями - це дуже складна тема, яку ми не можемо вирішити тут.
Зображення: Paolo Attivissimo на Flickr
