Какво е TPM и защо Windows се нуждае от едно за криптиране на диска?
Шифроването на дискове на BitLocker обикновено изисква TPM в Windows. EFS криптирането на Microsoft никога не може да използва TPM. Новата функция "криптиране на устройства" на Windows 10 и 8.1 също изисква модерен TPM, поради което е активиран само на нов хардуер. Но какво е TPM?
TPM означава “Trusted Platform Module”. Това е чип на дънната платка на компютъра ви, който помага да се осигури защитено от пълно дисково криптиране, без да се изискват изключително дълги пароли.
Какво е то, точно така?
TPM е чип, който е част от дънната платка на компютъра ви - ако сте закупили компютъра си, той е запоен на дънната платка. Ако сте си създали собствен компютър, можете да си купите такъв като допълнителен модул, ако вашата дънна платка го поддържа. TPM генерира ключове за криптиране, запазвайки част от ключа към себе си. Така че, ако използвате шифроване на BitLocker или шифроване на устройства на компютър с TPM, част от ключа се съхранява в самия TPM, а не само на диска. Това означава, че нападателят не може просто да премахне устройството от компютъра и да се опита да получи достъп до него на други места.
Този чип осигурява хардуерно удостоверяване и откриване на намеса, така че хакерът не може да се опита да премахне чипа и да го постави на друга дънна платка, или да се намеси в самата дънна платка, за да се опита да заобиколи криптирането - поне на теория.
Шифроване, шифроване, кодиране
За повечето хора най-подходящият случай за използване тук ще бъде шифроването. Модерните версии на Windows използват TPM прозрачно. Просто влезте с акаунт на Microsoft на модерен компютър, който се доставя с включено „криптиране на устройства“ и ще използва шифроване. Активирайте шифроването на дискове на BitLocker и Windows ще използва TPM за съхраняване на ключа за шифроване.
Обикновено получавате достъп до шифрован диск, като въвеждате паролата си за вход в Windows, но е защитен с по-дълъг ключ за шифроване. Този ключ за криптиране се съхранява частично в TPM, така че всъщност се нуждаете от парола за вход в Windows и от същия компютър, от който е устройството, за да получите достъп. Ето защо "ключът за възстановяване" за BitLocker е доста по-дълъг - трябва да имате по-дълъг ключ за възстановяване, за да получите достъп до данните си, ако преместите устройството на друг компютър.
Това е една от причините, поради която по-старата технология за шифроване на Windows EFS не е толкова добра. Няма начин да се съхраняват ключовете за криптиране в TPM. Това означава, че трябва да съхранява ключа за криптиране на твърдия диск и го прави много по-малко сигурен. BitLocker може да функционира на дискове без TPM, но Microsoft се отказа да скрие тази опция, за да подчертае колко е важно TPM за сигурността.
Защо TrueCrypt е избегнал TPMs
Разбира се, TPM не е единствената работеща опция за кодиране на дискове. Често задаваните въпроси за TrueCrypt - сега свалени - използват, за да подчертаят защо TrueCrypt не използва и никога няма да използва TPM. Тя затръшна решения, базирани на TPM, като осигуряваше фалшиво чувство за сигурност. Разбира се, уебсайтът на TrueCrypt твърди, че самата TrueCrypt е уязвима и препоръчва да използвате BitLocker - който използва TPM - вместо това. Така че това е малко объркваща бъркотия в земята на TrueCrypt.
Този аргумент все още е достъпен на уебсайта на VeraCrypt. VeraCrypt е активна вилка на TrueCrypt. Често задаваните въпроси на VeraCrypt настоява, че BitLocker и други помощни програми, които разчитат на TPM, да го използват, за да предотвратяват атаки, които изискват от хакер да има администраторски достъп или физически достъп до компютър. „Единственото нещо, което TPM е почти сигурно да осигури, е фалшиво чувство за сигурност,” казва FAQ. Той казва, че TPM е в най-добрия случай „излишен“.
Има малко истина в това. Никоя сигурност не е абсолютно абсолютна. TPM може да се окаже по-удобна функция. Съхраняването на ключовете за шифроване в хардуера позволява на компютъра автоматично да дешифрира устройството или да го дешифрира с проста парола. Той е по-сигурен, отколкото просто да съхранява този ключ на диска, тъй като атакуващият не може просто да премахне диска и да го постави в друг компютър. Свързан е с този специфичен хардуер.
В крайна сметка, TPM не е нещо, за което трябва да мислите много. Компютърът или има TPM, или не - и по принцип съвременните компютри. Инструментите за шифроване като Microsoft BitLocker и „криптиране на устройства“ автоматично използват TPM за прозрачно шифроване на файловете ви. Това е по-добре, отколкото да не използвате никакво криптиране, а е по-добре, отколкото просто да съхраняваме ключовете за криптиране на диска, тъй като EFS на Microsoft (Encrypting File System).
Що се отнася до решенията, базирани на TPM спрямо не-TPM, или BitLocker срещу TrueCrypt и подобни решения - това е сложна тема, на която не сме наистина квалифицирани да се занимаваме тук.
Кредит за снимката: Паоло Ативисимо на Flickr