Co to jest moduł TPM i dlaczego system Windows wymaga szyfrowania dysku?
Szyfrowanie dysków funkcją BitLocker zwykle wymaga modułu TPM w systemie Windows. Szyfrowanie EFS firmy Microsoft nigdy nie może korzystać z modułu TPM. Nowa funkcja "szyfrowania urządzenia" w systemach Windows 10 i 8.1 również wymaga nowoczesnego modułu TPM, dlatego jest dostępna tylko na nowym sprzęcie. Ale czym jest TPM?
TPM oznacza "Trusted Platform Module". Jest to mikroukład na płycie głównej komputera, który umożliwia szyfrowanie pełnoekranowe odporne na manipulowanie bez konieczności stosowania bardzo długich fraz..
Co to właściwie jest?
TPM to układ będący częścią płyty głównej komputera - jeśli kupiłeś komputer z półki, jest on wlutowany na płycie głównej. Jeśli zbudowałeś własny komputer, możesz go kupić jako moduł dodatkowy, jeśli obsługuje go twoja płyta główna. Moduł TPM generuje klucze szyfrujące, zachowując część klucza dla siebie. Tak więc, jeśli używasz szyfrowania BitLocker lub szyfrowania urządzenia na komputerze z modułem TPM, część klucza jest przechowywana w samym module TPM, a nie tylko na dysku. Oznacza to, że atakujący nie może po prostu usunąć napędu z komputera i spróbować uzyskać dostęp do jego plików w innym miejscu.
Ten układ zapewnia uwierzytelnianie sprzętowe i wykrywanie sabotażu, więc atakujący nie może podjąć próby usunięcia chipa i umieszczenia go na innej płycie głównej lub manipulowania przy samej płycie głównej w celu ominięcia szyfrowania - przynajmniej w teorii.
Szyfrowanie, szyfrowanie, szyfrowanie
Dla większości ludzi najważniejszym przypadkiem użycia będzie szyfrowanie. Nowoczesne wersje Windows używają TPM w sposób przejrzysty. Po prostu zaloguj się na konto Microsoft na nowoczesnym komputerze z włączoną funkcją szyfrowania urządzenia i użyj szyfrowania. Włącz szyfrowanie dysków funkcją BitLocker, a system Windows użyje modułu TPM do zapisania klucza szyfrowania.
Zwykle uzyskujesz dostęp do zaszyfrowanego dysku, wpisując hasło logowania do systemu Windows, ale jest on chroniony za pomocą dłuższego klucza szyfrowania. Ten klucz szyfrowania jest częściowo przechowywany w module TPM, więc aby uzyskać dostęp, potrzebujesz hasła logowania do systemu Windows i tego samego komputera, na którym jest napęd. Dlatego "klucz odzyskiwania" dla funkcji BitLocker jest nieco dłuższy - potrzebny jest dłuższy klucz odzyskiwania, aby uzyskać dostęp do danych, jeśli przeniesiesz dysk do innego komputera.
To jeden z powodów, dla których starsza technologia szyfrowania Windows EFS nie jest tak dobra. Nie ma możliwości przechowywania kluczy szyfrujących w module TPM. Oznacza to, że musi przechowywać klucze szyfrujące na dysku twardym i czyni go znacznie mniej bezpiecznym. Funkcja BitLocker może działać na dyskach bez modułów TPM, ale firma Microsoft bardzo się starała ukryć tę opcję, aby podkreślić znaczenie modułu TPM dla bezpieczeństwa.
Dlaczego wyłączone moduły TPM TrueCrypt
Oczywiście moduł TPM nie jest jedyną możliwą do zastosowania opcją szyfrowania dysku. FAQ TrueCrypt - teraz usunięty - używany do podkreślenia, dlaczego TrueCrypt nie używał i nigdy nie używał TPM. Uderzyła rozwiązania oparte na TPM jako zapewniające fałszywe poczucie bezpieczeństwa. Oczywiście strona TrueCrypt stwierdza teraz, że TrueCrypt sam jest podatny na atak i zaleca użycie funkcji BitLocker - która używa TPM - zamiast tego. To trochę zamieszanie w krainie TrueCrypt.
Argument ten jest jednak nadal dostępny na stronie VeraCrypt. VeraCrypt jest aktywnym rozwidleniem TrueCrypt. FAQ firmy VeraCrypt kładzie nacisk na funkcję BitLocker i inne narzędzia korzystające z TPM, aby zapobiec atakom, które wymagają, aby atakujący miał dostęp administratora lub fizyczny dostęp do komputera. "Jedyną rzeczą, którą TPM gwarantuje, jest fałszywe poczucie bezpieczeństwa" - mówi FAQ. Mówi, że TPM jest w najlepszym wypadku "zbędny".
Jest w tym trochę prawdy. Żadne zabezpieczenie nie jest całkowicie absolutne. TPM jest prawdopodobnie bardziej wygodną funkcją. Przechowywanie kluczy szyfrowania w sprzęcie umożliwia automatyczne odszyfrowanie dysku przez komputer lub odszyfrowanie go za pomocą prostego hasła. Jest bezpieczniejszy niż przechowywanie tego klucza na dysku, ponieważ atakujący nie może po prostu usunąć dysku i włożyć go do innego komputera. Jest związany z tym konkretnym sprzętem.
Ostatecznie, TPM nie jest czymś, o czym trzeba dużo myśleć. Twój komputer ma albo moduł TPM, albo go nie ma - i na ogół nowoczesne komputery. Narzędzia szyfrujące takie jak BitLocker firmy Microsoft i "szyfrowanie urządzeń" automatycznie wykorzystują moduł TPM do przezroczystego szyfrowania plików. To lepiej, niż nie używać żadnego szyfrowania, a to jest lepsze niż po prostu przechowywanie kluczy szyfrowania na dysku, tak jak działa EFS (Encrypting File System) firmy Microsoft..
Jeśli chodzi o rozwiązania oparte na TPM i nie oparte na TPM, czy BitLocker vs. TrueCrypt i podobne rozwiązania - cóż, to skomplikowany temat, do którego nie mamy odpowiednich uprawnień.
Image Credit: Paolo Attivissimo na Flickr