Шифрование диска BitLocker обычно требует TPM на Windows. от Microsoft Шифрование EFS никогда не может использовать TPM. Новый Функция «шифрование устройства» в Windows 10 и 8.1 также требуется современный TPM, поэтому он включен только на новом оборудовании. Но что такое TPM?
TPM расшифровывается как «Trusted Platform Module». Это микросхема на материнской плате вашего компьютера, которая помогает обеспечить защищенное от несанкционированного доступа полное шифрование диска без необходимости использования очень длинных парольных фраз.
Что это такое?
СВЯЗАННЫЕ С: Как настроить шифрование BitLocker в Windows
TPM - это микросхема, которая является частью материнской платы вашего компьютера - если вы купили стандартный ПК, он припаян к материнской плате. Если вы создали свой собственный компьютер, вы можете купить один в качестве дополнительного модуля если ваша материнская плата поддерживает это. TPM генерирует ключи шифрования, сохраняя часть ключа при себе. Таким образом, если вы используете шифрование BitLocker или шифрование устройства на компьютере с доверенным платформенным модулем, часть ключа хранится в самом доверенном платформенном модуле, а не только на диске. Это означает, что злоумышленник не может просто извлечь диск из компьютера и попытаться получить доступ к его файлам в другом месте.
Эта микросхема обеспечивает аппаратную аутентификацию и обнаружение несанкционированного доступа, поэтому злоумышленник не может попытаться извлечь микросхему и поместить ее на другую материнскую плату или вмешаться в саму материнскую плату, чтобы попытаться обойти шифрование - по крайней мере, в теории.
Шифрование, Шифрование, Шифрование
Для большинства людей наиболее подходящим вариантом использования здесь будет шифрование. Современные версии Windows прозрачно используют TPM. Просто войдите в систему с учетной записью Microsoft на современном ПК, который поставляется с включенным «шифрованием устройства», и он будет использовать шифрование. Включите шифрование диска BitLocker, и Windows будет использовать TPM для хранения ключа шифрования.
Обычно вы просто получаете доступ к зашифрованному диску, вводя пароль для входа в Windows, но он защищен более длинным ключом шифрования, чем этот. Этот ключ шифрования частично хранится в доверенном платформенном модуле, поэтому вам действительно нужен пароль для входа в Windows и тот же компьютер, к которому подключен диск, чтобы получить доступ. Вот почему «ключ восстановления» для BitLocker немного длиннее - вам нужен более длинный ключ восстановления для доступа к данным, если вы перемещаете диск на другой компьютер.
Это одна из причин, почему старая технология шифрования Windows EFS не так хороша. У него нет возможности хранить ключи шифрования в доверенном платформенном модуле. Это означает, что он должен хранить свои ключи шифрования на жестком диске и делает его намного менее безопасным. BitLocker может работать на дисках без доверенных платформенных модулей, но Microsoft старалась скрыть эту опцию, чтобы подчеркнуть важность доверенного платформенного модуля для безопасности.
Почему TrueCrypt избегает TPM
СВЯЗАННЫЕ С: 3 альтернативы ныне несуществующей TrueCrypt для ваших потребностей шифрования
Конечно, TPM - не единственная работающая опция для шифрования диска. Часто задаваемые вопросы TrueCrypt - теперь снятые - использовались, чтобы подчеркнуть, почему TrueCrypt не использовал и никогда не будет использовать TPM. Он назвал решения на основе TPM ложным чувством безопасности. Конечно, веб-сайт TrueCrypt теперь заявляет, что сам TrueCrypt уязвим, и рекомендует вместо этого использовать BitLocker - который использует TPM. Так это немного запутанный беспорядок в земле TrueCrypt ,
Однако этот аргумент все еще доступен на веб-сайте VeraCrypt. VeraCrypt является активным форком TrueCrypt. Часто задаваемые вопросы VeraCrypt настаивает на том, что BitLocker и другие утилиты, использующие доверенный платформенный модуль, используют его для предотвращения атак, требующих от злоумышленника доступа администратора или физического доступа к компьютеру. «Единственное, что TPM почти гарантированно обеспечивает, - это ложное чувство безопасности», - говорится в FAQ. Это говорит о том, что TPM в лучшем случае «избыточен».
В этом есть доля правды. Никакая безопасность не является абсолютно абсолютной. TPM, возможно, больше удобной функции. Хранение ключей шифрования на аппаратном уровне позволяет компьютеру автоматически расшифровывать диск или дешифровать его простым паролем. Это более безопасно, чем просто хранить этот ключ на диске, так как злоумышленник не может просто извлечь диск и вставить его в другой компьютер. Это связано с этим конкретным оборудованием.
В конечном счете, TPM - это не то, о чем вам нужно много думать. У вашего компьютера есть TPM или нет - и современные компьютеры, как правило, будут. Инструменты шифрования, такие как Microsoft BitLocker и «шифрование устройства», автоматически используют TPM для прозрачного шифрования ваших файлов. Это лучше, чем вообще не использовать какое-либо шифрование, и лучше, чем просто хранить ключи шифрования на диске, как это делает Microsoft EFS (Encrypting File System).
Что касается TPM или решений, не основанных на TPM, или BitLocker против TrueCrypt и аналогичных решений - ну, это сложная тема, которую мы на самом деле не можем рассматривать здесь.
Кредит изображения: Паоло Аттивиссимо на Flickr
Что это такое?Но что такое TPM?
Что это такое?