Szyfrowanie dysków funkcją BitLocker zwykle wymaga modułu TPM w systemie Windows. Szyfrowanie EFS firmy Microsoft nigdy nie może korzystać z modułu TPM. Nowa funkcja "szyfrowania urządzenia" w systemach Windows 10 i 8.1 również wymaga nowoczesnego modułu TPM, dlatego jest dostępna tylko na nowym sprzęcie. Ale czym jest TPM?
TPM oznacza "Trusted Platform Module". Jest to mikroukład na płycie głównej komputera, który pomaga włączyć odporne na manipulację szyfrowanie na pełnym dysku, nie wymagając zbyt długich fraz.
TPM to układ będący częścią płyty głównej komputera - jeśli kupiłeś komputer z półki, jest on wlutowany na płycie głównej. Jeśli zbudowałeś własny komputer, możesz go kupić jako moduł dodatkowy, jeśli obsługuje go twoja płyta główna. Moduł TPM generuje klucze szyfrujące, zachowując część klucza dla siebie. Tak więc, jeśli używasz szyfrowania BitLocker lub szyfrowania urządzenia na komputerze z modułem TPM, część klucza jest przechowywana w samym module TPM, a nie tylko na dysku. Oznacza to, że atakujący nie może po prostu usunąć napędu z komputera i spróbować uzyskać dostęp do jego plików w innym miejscu.
Ten układ zapewnia uwierzytelnianie sprzętowe i wykrywanie sabotażu, więc osoba atakująca nie może podjąć próby usunięcia układu i umieszczenia go na innej płycie głównej lub manipulowania przy samej płycie głównej, aby spróbować ominąć szyfrowanie - przynajmniej teoretycznie.
Dla większości ludzi najważniejszym przypadkiem użycia będzie szyfrowanie. Nowoczesne wersje Windows używają TPM w sposób przejrzysty. Po prostu zaloguj się na konto Microsoft na nowoczesnym komputerze z włączonym "szyfrowaniem urządzenia" i skorzystaj z szyfrowania. Włącz szyfrowanie dysków funkcją BitLocker, a system Windows użyje modułu TPM do zapisania klucza szyfrowania.
Zwykle uzyskujesz dostęp do zaszyfrowanego dysku, wpisując hasło logowania do systemu Windows, ale jest on chroniony za pomocą dłuższego klucza szyfrowania. Ten klucz szyfrowania jest częściowo przechowywany w module TPM, więc aby uzyskać dostęp, potrzebujesz hasła logowania do systemu Windows i tego samego komputera, z którego pochodzi dysk. Dlatego "klucz odzyskiwania" dla funkcji BitLocker jest nieco dłuższy - potrzebny jest dłuższy klucz odzyskiwania, aby uzyskać dostęp do danych po przeniesieniu dysku na inny komputer.
Jest to jeden z powodów, dla których starsza technologia szyfrowania Windows EFS nie jest tak dobra. Nie ma możliwości przechowywania kluczy szyfrujących w module TPM. Oznacza to, że musi przechowywać klucze szyfrujące na dysku twardym i czyni go znacznie mniej bezpiecznym. Funkcja BitLocker może działać na dyskach bez modułów TPM, ale firma Microsoft bardzo się starała ukryć tę opcję, aby podkreślić znaczenie modułu TPM dla bezpieczeństwa.
Oczywiście moduł TPM nie jest jedyną możliwą do zastosowania opcją szyfrowania dysku. FAQ TrueCrypt - teraz usunięty - używany do podkreślenia, dlaczego TrueCrypt nie używał i nigdy nie używał TPM. Uderzyła rozwiązania oparte na TPM jako zapewniające fałszywe poczucie bezpieczeństwa. Oczywiście strona TrueCrypt oznajmia, że TrueCrypt sam jest podatny na ataki i zaleca użycie funkcji BitLocker - która używa modułów TPM - zamiast tego. To trochę zamieszanie w krainie TrueCrypt.
Argument ten jest jednak nadal dostępny na stronie VeraCrypt. VeraCrypt jest aktywnym widelcem TrueCrypt. FAQ firmy VeraCrypt kładzie nacisk na funkcję BitLocker i inne narzędzia korzystające z TPM, aby zapobiegać atakom, które wymagają, aby atakujący miał dostęp administratora lub fizyczny dostęp do komputera. "Jedyną rzeczą, którą TPM gwarantuje, jest fałszywe poczucie bezpieczeństwa" - czytamy w FAQ. Mówi się, że TPM jest w najlepszym przypadku "zbędny".
Jest w tym trochę prawdy. Żadne zabezpieczenie nie jest całkowicie absolutne. TPM to prawdopodobnie więcej funkcji wygody. Przechowywanie kluczy szyfrowania w sprzęcie umożliwia automatyczne odszyfrowanie dysku lub odszyfrowanie go za pomocą prostego hasła. Jest bezpieczniejszy niż przechowywanie tego klucza na dysku, ponieważ atakujący nie może po prostu usunąć dysku i włożyć go do innego komputera. Jest związany z tym konkretnym sprzętem.
Ostatecznie, TPM nie jest czymś, o czym trzeba dużo myśleć. Twój komputer ma moduł TPM lub go nie ma - i na ogół będą to komputery nowoczesne. Narzędzia szyfrujące takie jak BitLocker firmy Microsoft i "szyfrowanie urządzeń" automatycznie wykorzystują moduł TPM do przezroczystego szyfrowania plików. To lepiej, niż nie używać żadnego szyfrowania i jest to lepsze niż przechowywanie kluczy szyfrowania na dysku, tak jak działa EFS (Encrypting File System) firmy Microsoft.
Jeśli chodzi o rozwiązania oparte na TPM i nie oparte na TPM lub BitLocker vs. TrueCrypt i podobne rozwiązania - cóż, jest to skomplikowany temat, do którego nie mamy odpowiednich uprawnień.
Image Credit: Paolo Attivissimo na Flickr