Mis on TPM ja miks Windows vajab kettakodeerimiseks ühte?
BitLockeri ketta krüpteerimine nõuab tavaliselt TPM-i kasutamist Windowsis. Microsofti EFS-i krüptimine ei saa kunagi kasutada TPM-i. Windows 10 ja 8.1 uus "seadme krüpteerimine" nõuab ka kaasaegset TPM-i, mistõttu see on lubatud ainult uuel riistvaral. Aga mis on TPM?
TPM tähistab “Trusted Platform Module”. See on kiip teie arvuti emaplaadil, mis aitab lubada võltsimiskindlat täis-ketta krüpteerimist, ilma et oleks vaja väga pikki paroole.
Mis see on, täpselt?
TPM on kiip, mis on osa teie arvuti emaplaadist - kui ostsite riiulivälise arvuti, on see joodetud emaplaadile. Kui ehitasite oma arvuti, võite osta ühe lisamoodulina, kui teie emaplaat seda toetab. TPM genereerib krüpteerimisvõtmed, hoides osa võtmest ise. Seega, kui kasutate TPM-iga arvutil BitLockeri krüpteerimist või seadme krüpteerimist, salvestatakse osa võtmest pigem TPM-is, mitte ainult kettal. See tähendab, et ründaja ei saa lihtsalt draivi arvutist eemaldada ja oma failidele mujalt pääseda.
See kiip pakub riistvarapõhist autentimist ja võltsimise tuvastamist, nii et ründaja ei saa proovida kiipi eemaldada ja asetada teise emaplaadi peale või muuta emaplaadi enda ümber, et proovida krüpteerimist mööda minna - vähemalt teoreetiliselt.
Krüpteerimine, krüpteerimine, krüpteerimine
Enamiku inimeste jaoks on siin kõige olulisem kasutusviis krüpteerimine. Windowsi kaasaegsed versioonid kasutavad TPM-i läbipaistvalt. Lihtsalt logige sisse Microsofti kontoga kaasaegses arvutis, mis on sisse lülitatud ja millel on lubatud „seadme krüpteerimine” ning see kasutab krüpteerimist. Luba BitLockeri ketta krüpteerimine ja Windows kasutab krüpteerimisvõtme salvestamiseks TPM-i.
Tavaliselt saate juurdepääsu krüpteeritud draivile, kirjutades oma Windowsi sisselogimise parooli, kuid see on kaitstud pikema krüpteerimisvõtmega. See krüpteerimisvõti on osaliselt salvestatud TPM-i, nii et teil on vaja juurdepääsu saamiseks Windowsi sisselogimise parooli ja sama arvutit. Sellepärast on BitLockeri „taastamise võti” üsna pikk - peate oma pikema taasteklahvi oma andmetele juurdepääsuks, kui teisaldate draivi teise arvutisse.
See on üks põhjus, miks vanem Windows EFS-i krüpteerimistehnoloogia ei ole nii hea. See ei saa krüpteerimisvõti TPM-is salvestada. See tähendab, et ta peab salvestama oma krüpteerimisvõtmed kõvakettale ja muudab selle palju vähem turvaliseks. BitLocker võib töötada TPM-ideta draividel, kuid Microsoft väljus oma võimalusest seda võimalust varjata, et rõhutada, kui oluline on TPM turvalisuse jaoks.
Miks TrueCrypt kaotas TPM-e
Loomulikult ei ole TPM-i ketta krüpteerimiseks ainus teostatav võimalus. TrueCrypt'i KKK-d, mis on nüüd alla võetud, kasutati selleks, et rõhutada, miks TrueCrypt ei kasutanud ja ei kasutaks kunagi TPM-i. See tõmbas TPM-põhised lahendused vale turvatunnetena. Loomulikult ütleb TrueCrypt'i veebisait nüüd, et TrueCrypt ise on haavatav ja soovitab kasutada BitLockerit, mis kasutab TPM-e. Nii et see on natuke segane segadus TrueCrypt maal.
See argument on siiski VeraCrypt veebisaidil saadaval. VeraCrypt on TrueCrypt'i aktiivne kahvli. VeraCrypt'i KKK nõuab, et BitLocker ja muud TPMile tuginevad kommunaalteenused kasutaksid seda rünnakute vältimiseks, mis nõuavad ründajal administraatori juurdepääsu või füüsilist juurdepääsu arvutile. „Ainus asi, mida TPM peaaegu garanteerib, on vale turvatunne,” ütleb KKK. See ütleb, et TPM on parimal juhul üleliigne.
Sellele on natuke tõde. Turvalisus pole täiesti absoluutne. TPM on ilmselt rohkem mugavuse funktsioon. Krüpteerimisvõtmete salvestamine riistvarasse võimaldab arvutil draivi automaatselt dekrüpteerida või lihtsa parooliga dekrüpteerida. See on turvalisem kui lihtsalt selle võtme salvestamine kettale, kuna ründaja ei saa lihtsalt ketast eemaldada ja selle teise arvutisse sisestada. See on seotud selle konkreetse riistvaraga.
Lõppkokkuvõttes ei ole TPM midagi, mida sa pead palju mõtlema. Teie arvutil on kas TPM või see ei ole - ja nüüdisaegsed arvutid seda tavaliselt teevad. Krüpteerimisvahendid nagu Microsofti BitLocker ja „seadme krüpteerimine” kasutavad failide läbipaistvalt krüptimiseks automaatselt TPM-i. See on parem kui krüpteerimist üldse mitte kasutada ja see on parem kui lihtsalt krüpteerimisvõtmete salvestamine kettale, kuna Microsofti EFS (krüpteeriv failisüsteem) teeb seda.
Mis puutub TPM-i ja mitte-TPM-i baasil põhinevatesse lahendustesse või BitLocker vs TrueCrypt ja sarnastesse lahendustesse, siis see on keeruline teema, mida me pole siin kvalifitseeritud.
Pildi krediit: Paolo Attivissimo Flickris