Pagina principala » HOWTO » Ce este un TPM și de ce Windows are nevoie de unul pentru criptare pe disc?

    Ce este un TPM și de ce Windows are nevoie de unul pentru criptare pe disc?

    În mod normal, criptarea discului BitLocker necesită un TPM pe Windows. Criptarea Microsoft EFS nu poate utiliza niciodată un TPM. Noua caracteristică de "criptare a dispozitivelor" în Windows 10 și 8.1 necesită de asemenea un TPM modern, motiv pentru care este activat numai pe hardware nou. Dar ceea ce este un TPM?

    TPM înseamnă "Modulul Trusted Platform". Este un chip de pe placa de bază a computerului dvs., care vă ajută să activați criptarea full-disk cu tamper-resistant fără a fi nevoie de parole extrem de lungi.

    Ce este, exact?

    TPM-ul este un chip care face parte din placa de bază a computerului dvs. - dacă ați cumpărat un PC off-the-shelf, este lipit pe placa de bază. Dacă ați construit calculatorul propriu, puteți cumpăra unul ca modul de adăugare dacă placa de bază o acceptă. TPM generează chei de criptare, păstrând o parte a cheii în sine. Deci, dacă utilizați criptare BitLocker sau criptare dispozitiv pe un computer cu TPM, o parte a cheii este stocată în TPM în sine, nu doar pe disc. Aceasta înseamnă că un atacator nu poate elimina unitatea de pe computer și încearcă să acceseze fișierele sale în altă parte.

    Acest cip oferă autentificarea bazată pe hardware și detectarea tamperului, astfel încât un atacator nu poate încerca să elimine cipul și să îl plaseze pe o altă placă de bază sau să manipuleze placa de bază în sine pentru a încerca să ocolească criptarea - cel puțin în teorie.

    Criptare, criptare, criptare

    Pentru majoritatea oamenilor, cel mai relevant caz de utilizare aici va fi criptarea. Versiunile moderne de Windows utilizează TPM în mod transparent. Doar conectați-vă cu un cont Microsoft pe un PC modern care este livrat cu "encryption device" activat și va folosi criptarea. Activați criptarea discului BitLocker, iar Windows va folosi un TPM pentru a stoca cheia de criptare.

    În mod normal, obțineți acces la o unitate criptată tastând parola de conectare Windows, dar este protejată cu o cheie de criptare mai lungă decât aceea. Această cheie de criptare este stocată parțial în TPM, deci aveți nevoie de parola de conectare Windows și același computer de la care este accesată unitatea. De aceea, "cheia de recuperare" pentru BitLocker este destul de lungă - aveți nevoie de cheia de recuperare mai lungă pentru a accesa datele dvs. dacă mutați unitatea în alt computer.

    Acesta este motivul pentru care tehnologia veche Windows Encryption EFS nu este la fel de bună. Nu are nici o modalitate de a stoca cheile de criptare într-un TPM. Aceasta înseamnă că trebuie să stocheze cheile de criptare pe hard disk și să o facă mult mai puțin sigur. BitLocker poate funcționa pe unități fără dispozitive TPM, dar Microsoft a ieșit din calea ascunsă a acestei opțiuni pentru a evidenția cât de important este un TPM pentru securitate.

    De ce TPM-urile TrueCrypt Shunned

    Desigur, un TPM nu este singura opțiune funcțională pentru criptarea discurilor. TrueCrypt Întrebări frecvente - acum scoase din uz - folosite pentru a sublinia de ce TrueCrypt nu a folosit și nu ar folosi niciodată un TPM. Acesta a lovit soluțiile bazate pe TPM ca furnizând un fals sentiment de securitate. Desigur, site-ul TrueCrypt afirmă acum că TrueCrypt în sine este vulnerabil și vă recomandă să utilizați BitLocker - care utilizează TPM - în schimb. Deci este un pic o confuzie confuză în terenul TrueCrypt.

    Cu toate acestea, acest argument este disponibil pe site-ul VeraCrypt. VeraCrypt este o furcă activă a TrueCrypt. Întrebările frecvente ale VeraCrypt insistă ca BitLocker și alte utilitare care se bazează pe TPM să o folosească pentru a preveni atacurile care necesită ca un atacator să aibă acces la administrator sau să aibă acces fizic la un computer. "Singurul lucru pe care TPM este aproape garantat să îl furnizeze este un fals sentiment de securitate", spune FAQ. Se spune că TPM este, în cel mai bun caz, "redundant".

    Există un pic de adevăr la asta. Nici o securitate nu este absolută. Un TPM este, probabil, mai mult o caracteristică de confort. Stocarea cheilor de criptare în hardware permite unui computer să decripte automat unitatea sau să o decripteze cu o parolă simplă. Este mai sigur decât să stocați acea cheie pe disc, deoarece un atacator nu poate pur și simplu să înlăture discul și să îl insereze pe alt computer. Este legat de hardware-ul respectiv.


    În cele din urmă, un TPM nu este ceva ce trebuie să vă gândiți la mult. Computerul are fie un TPM, fie nu - și computerele moderne vor avea în general. Instrumentele de criptare, cum ar fi BitLocker de la Microsoft și "criptarea dispozitivelor", utilizează automat un TPM pentru a cripta în mod transparent fișierele. Este mai bine decât să nu utilizați deloc nici o criptare și este mai bine decât să depozitați cheile de criptare pe disc, deoarece EFS (Encrypting File System) nu.

    În ceea ce privește soluțiile TPM vs. non-TPM, sau BitLocker vs. TrueCrypt și soluții similare - bine, acesta este un subiect complicat pe care nu suntem cu adevărat calificați să-l abordăm aici.

    Credit de imagine: Paolo Attivissimo pe Flickr