Домашняя » как » Что такое TPM и почему Windows нужен один для шифрования диска?

    Что такое TPM и почему Windows нужен один для шифрования диска?

    Для шифрования диска BitLocker обычно требуется TPM в Windows. Microsoft EFS шифрование никогда не может использовать TPM. Новая функция «шифрования устройства» в Windows 10 и 8.1 также требует современного TPM, поэтому она включена только на новом оборудовании. Но что такое TPM?

    TPM расшифровывается как «Trusted Platform Module». Это микросхема на материнской плате вашего компьютера, которая помогает обеспечить защищенное от несанкционированного доступа полное шифрование диска, не требуя очень длинных парольных фраз.

    Что именно, именно?

    TPM - это микросхема, которая является частью материнской платы вашего компьютера - если вы купили стандартный ПК, он припаян к материнской плате. Если вы построили свой собственный компьютер, вы можете купить его в качестве дополнительного модуля, если ваша материнская плата поддерживает его. TPM генерирует ключи шифрования, сохраняя часть ключа при себе. Таким образом, если вы используете шифрование BitLocker или шифрование устройства на компьютере с доверенным платформенным модулем, часть ключа хранится в самом доверенном платформенном модуле, а не только на диске. Это означает, что злоумышленник не может просто извлечь диск из компьютера и попытаться получить доступ к его файлам в другом месте.

    Эта микросхема обеспечивает аппаратную аутентификацию и обнаружение несанкционированного доступа, поэтому злоумышленник не может попытаться извлечь микросхему и поместить ее на другую материнскую плату или вмешаться в саму материнскую плату, чтобы попытаться обойти шифрование - по крайней мере, в теории.

    Шифрование, Шифрование, Шифрование

    Для большинства людей наиболее подходящим вариантом использования здесь будет шифрование. Современные версии Windows прозрачно используют TPM. Просто войдите в систему с учетной записью Microsoft на современном ПК, который поставляется с включенным «шифрованием устройства», и он будет использовать шифрование. Включите шифрование диска BitLocker, и Windows будет использовать TPM для хранения ключа шифрования.

    Обычно вы просто получаете доступ к зашифрованному диску, вводя пароль для входа в Windows, но он защищен более длинным ключом шифрования, чем этот. Этот ключ шифрования частично хранится в доверенном платформенном модуле, поэтому для получения доступа вам фактически необходим пароль для входа в Windows и тот же компьютер, к которому подключен диск. Вот почему «ключ восстановления» для BitLocker немного длиннее - вам нужен более длинный ключ восстановления для доступа к вашим данным, если вы перенесете диск на другой компьютер.

    Это одна из причин, почему старая технология шифрования Windows EFS не так хороша. Он не может хранить ключи шифрования в доверенном платформенном модуле. Это означает, что он должен хранить свои ключи шифрования на жестком диске, и делает его намного менее безопасным. BitLocker может работать на дисках без доверенных платформенных модулей, но Microsoft старалась скрыть эту опцию, чтобы подчеркнуть важность доверенного платформенного модуля для безопасности..

    Почему TrueCrypt избегает TPM

    Конечно, TPM - не единственная работающая опция для шифрования диска. Часто задаваемые вопросы TrueCrypt - теперь снятые - использовались для того, чтобы подчеркнуть, почему TrueCrypt не использовал и никогда не будет использовать TPM. Он назвал решения на основе TPM ложным чувством безопасности. Конечно, веб-сайт TrueCrypt теперь заявляет, что сам TrueCrypt уязвим, и рекомендует вместо этого использовать BitLocker - который использует TPM. Так что это немного запутанный беспорядок в земле TrueCrypt.

    Этот аргумент по-прежнему доступен на веб-сайте VeraCrypt, однако. VeraCrypt является активным форком TrueCrypt. Часто задаваемые вопросы VeraCrypt настаивают на том, что BitLocker и другие утилиты, использующие доверенный платформенный модуль, используют его для защиты от атак, которые требуют от злоумышленника доступа администратора или физического доступа к компьютеру. «Единственное, что TPM почти гарантированно обеспечивает, - это ложное чувство безопасности», - говорится в FAQ. Это говорит о том, что TPM в лучшем случае является «избыточным».

    В этом есть доля правды. Никакая безопасность не является абсолютно абсолютной. TPM, возможно, больше удобной функции. Хранение ключей шифрования на аппаратном уровне позволяет компьютеру автоматически расшифровывать диск или дешифровать его простым паролем. Это более безопасно, чем просто хранить этот ключ на диске, поскольку злоумышленник не может просто извлечь диск и вставить его в другой компьютер. Это связано с этим конкретным оборудованием.


    В конечном счете, TPM - это не то, о чем вам нужно много думать. У вашего компьютера есть TPM или нет - и современные компьютеры, как правило, будут. Инструменты шифрования, такие как Microsoft BitLocker и «шифрование устройства», автоматически используют TPM для прозрачного шифрования ваших файлов. Это лучше, чем вообще не использовать какое-либо шифрование, и это лучше, чем просто хранить ключи шифрования на диске, как это делает Microsoft EFS (Encrypting File System)..

    Что касается TPM или решений, не основанных на TPM, или BitLocker против TrueCrypt и аналогичных решений - ну, это сложная тема, которую мы не можем решить здесь..

    Изображение предоставлено: Paolo Attivissimo на Flickr