În mod normal, criptarea discului BitLocker necesită un TPM pe Windows. Criptarea Microsoft EFS nu poate utiliza niciodată un TPM. Noua caracteristică de "criptare a dispozitivelor" în Windows 10 și 8.1 necesită de asemenea un TPM modern, motiv pentru care este activat numai pe hardware nou. Dar ce este un TPM?
TPM înseamnă "Modulul Trusted Platform". Este un chip pe placa de bază a computerului dvs., care vă ajută să activați criptarea full-disk, fără a necesita parole extrem de lungi.
TPM-ul este un chip care face parte din placa de bază a computerului dvs. - dacă ați cumpărat un PC off-the-shelf, acesta este sudat pe placa de bază. Dacă ați construit propriul calculator, puteți cumpăra unul ca modul de adăugare dacă placa de bază o acceptă. TPM generează chei de criptare, păstrând o parte din cheie în sine. Deci, dacă utilizați criptare BitLocker sau criptare dispozitiv pe un computer cu TPM, o parte a cheii este stocată în TPM în sine, mai degrabă decât doar pe disc. Aceasta înseamnă că un atacator nu poate elimina unitatea de pe computer și încearcă să acceseze fișierele sale în altă parte.
Acest cip oferă autentificarea bazată pe hardware și detectarea tamperului, astfel încât un atacator nu poate încerca să elimine cipul și să îl plaseze pe o altă placă de bază sau să manipuleze placa de bază în sine pentru a încerca să ocolească criptarea - cel puțin în teorie.
Pentru majoritatea oamenilor, cel mai relevant caz de utilizare aici va fi criptarea. Versiunile moderne de Windows utilizează TPM în mod transparent. Doar conectați-vă cu un cont Microsoft pe un PC modern care este livrat cu "encryption device" activat și va folosi criptarea. Activați criptarea discului BitLocker, iar Windows va folosi un TPM pentru a stoca cheia de criptare.
În mod normal, doar obțineți acces la o unitate criptată introducând parola de conectare Windows, dar este protejată printr-o cheie de criptare mai lungă decât aceea. Cheia de criptare este stocată parțial în TPM, deci aveți nevoie de parola de conectare Windows și de același computer de la care este accesată unitatea. De aceea, "cheia de recuperare" pentru BitLocker este destul de lungă - aveți nevoie de cheia de recuperare mai lungă pentru a accesa datele dvs. dacă mutați unitatea pe alt computer.
Acesta este motivul pentru care tehnologia veche Windows Encryption EFS nu este la fel de bună. Nu are nici o modalitate de a stoca cheile de criptare într-un TPM. Aceasta înseamnă că trebuie să stocheze cheile de criptare pe hard disk și să o facă mult mai puțin sigur. BitLocker poate funcționa pe unități fără dispozitive TPM, dar Microsoft a ieșit din calea ascunsă a acestei opțiuni pentru a sublinia importanța unui TPM pentru securitate.
Desigur, un TPM nu este singura opțiune funcțională pentru criptarea discurilor. TrueCrypt Întrebări frecvente - acum scoase din uz - utilizate pentru a sublinia de ce TrueCrypt nu a folosit și nu ar folosi niciodată un TPM. Acesta a lovit soluțiile bazate pe TPM ca oferind un fals sentiment de securitate. Desigur, site-ul TrueCrypt afirmă acum că TrueCrypt în sine este vulnerabil și vă recomandă să utilizați BitLocker - care utilizează TPM - în schimb. Deci, este un pic o confuzie confuză în teren TrueCrypt.
Acest argument este încă disponibil pe site-ul web al VeraCrypt. VeraCrypt este o furculiță activă a TrueCrypt. Întrebările frecvente ale VeraCrypt insistă că BitLocker și alte utilitare care se bazează pe TPM îl folosesc pentru a preveni atacurile care necesită accesul unui administrator de către un atacator sau accesul fizic la un computer. "Singurul lucru pe care TPM este aproape garantat să-l furnizeze este un fals sentiment de securitate", spune FAQ. Se spune că TPM este, în cel mai bun caz, "redundant".
Există un pic de adevăr în asta. Nici o securitate nu este absolută. Un TPM este, probabil, mai mult o caracteristică de confort. Stocarea cheilor de criptare în hardware permite unui computer să decripte automat unitatea sau să-l decripteze cu o parolă simplă. Este mai sigur decât să stocați acea cheie pe disc, deoarece un atacator nu poate elimina pur și simplu discul și îl introduce în alt computer. Este legat de hardware-ul respectiv.
În cele din urmă, un TPM nu este ceva ce trebuie să vă gândiți la mult. Computerul are fie un TPM, fie nu - și computerele moderne vor avea în general. Instrumentele de criptare precum BitLocker și "criptarea dispozitivelor" de la Microsoft utilizează automat un TPM pentru a cripta în mod transparent fișierele. Este mai bine decât să nu utilizați deloc nici o criptare și este mai bine decât să depozitați cheile de criptare pe disc, așa cum procedează Microsoft EFS (Encrypting File System).
În ceea ce privește soluțiile TPM vs. non-TPM, sau BitLocker vs. TrueCrypt și soluții similare - ei bine, acesta este un subiect complicat, de care nu suntem cu adevărat calificați să ne adresăm aici.
Credit de imagine: Paolo Attivissimo pe Flickr