Mājas lapa » » Kas ir TPM, un kāpēc Windows ir nepieciešams viens diska šifrēšanai?

    Kas ir TPM, un kāpēc Windows ir nepieciešams viens diska šifrēšanai?

    BitLocker diska šifrēšanai parasti ir nepieciešams TPM sistēmā Windows. Microsoft EFS šifrēšana nekad nevar izmantot TPM. Jaunajai „ierīču šifrēšanas” funkcijai operētājsistēmā Windows 10 un 8.1 ir nepieciešama arī mūsdienīga TPM, tāpēc tas ir iespējots tikai jaunajā aparatūrā. Bet kas ir TPM?

    TPM apzīmē “Trusted Platform Module”. Tā ir mikroshēma jūsu datora mātesplatē, kas palīdz iespējot drošu pilna diska šifrēšanu, neprasot ļoti garas frāzes.

    Kas tas ir, tieši tā?

    TPM ir mikroshēma, kas ir daļa no datora mātesplates - ja esat iegādājies datoru, kuram ir plaukts, tas ir lodēts uz mātesplates. Ja esat izveidojis savu datoru, varat iegādāties to kā papildmoduli, ja jūsu mātesplate to atbalsta. TPM ģenerē šifrēšanas atslēgas, saglabājot daļu no atslēgas. Tātad, ja izmantojat BitLocker šifrēšanu vai ierīces šifrēšanu datorā ar TPM, daļa no atslēgas tiek saglabāta pašā TPM, nevis tikai uz diska. Tas nozīmē, ka uzbrucējs nevar vienkārši noņemt disku no datora un mēģināt piekļūt saviem failiem citur.

    Šī mikroshēma nodrošina aparatūras autentifikāciju un tamperu noteikšanu, tāpēc uzbrucējs nevar mēģināt noņemt mikroshēmu un ievietot to citā mātesplatei, vai arī manipulēt ar mātesplati, lai mēģinātu apiet šifrēšanu - vismaz teorētiski.

    Šifrēšana, šifrēšana, šifrēšana

    Vairumam cilvēku visatbilstošākais lietojuma gadījums būs šifrēšana. Modernās Windows versijas TPM izmanto pārredzami. Vienkārši pierakstieties ar Microsoft kontu modernā datorā, kas ir iespējots ar “ierīces šifrēšanu”, un tas izmantos šifrēšanu. Iespējot BitLocker diska šifrēšanu un Windows izmantos TPM, lai saglabātu šifrēšanas atslēgu.

    Parasti jūs varat piekļūt šifrētam diskam, ierakstot Windows pieteikšanās paroli, bet tas ir aizsargāts ar garāku šifrēšanas atslēgu. Šī šifrēšanas atslēga ir daļēji saglabāta TPM, tāpēc jums tiešām ir nepieciešams Windows pieteikšanās parole un tas pats dators, no kura disks ir pieejams. Tāpēc BitLocker “atkopšanas atslēga” ir diezgan garš - jums ir nepieciešams ilgāks atkopšanas taustiņš, lai piekļūtu datiem, ja pārvietojat disku uz citu datoru.

    Tas ir viens no iemesliem, kādēļ vecākā Windows EFS šifrēšanas tehnoloģija nav tik laba. Šādā veidā TPM nav iespējams saglabāt šifrēšanas atslēgas. Tas nozīmē, ka ir jāglabā šifrēšanas atslēgas uz cietā diska un padara to daudz mazāk drošu. BitLocker var darboties diskos, kuriem nav TPM, bet Microsoft izgāja no tā, lai paslēptu šo opciju, lai uzsvērtu, cik svarīga ir TPM drošībai.

    Kāpēc TrueCrypt apturēja TPM

    Protams, TPM nav vienīgā diska šifrēšanas iespēja. TrueCrypt bieži uzdotie jautājumi - tagad tiek izmantoti, lai uzsvērtu, kāpēc TrueCrypt neizmantoja un nekad neizmantos TPM. Tā saņēma TPM balstītus risinājumus, sniedzot nepatiesu drošības sajūtu. Protams, TrueCrypt tīmekļa vietnē tagad ir teikts, ka pati TrueCrypt ir neaizsargāta un iesaka izmantot BitLocker, kas izmanto TPM. Tāpēc TrueCrypt zemē tas ir nedaudz mulsinošs.

    Šis arguments joprojām ir pieejams VeraCrypt tīmekļa vietnē. VeraCrypt ir aktīvs TrueCrypt dakša. VeraCrypt FAQ pieprasa, lai BitLocker un citi komunālie pakalpojumi, kas paļaujas uz TPM, to izmantotu, lai novērstu uzbrukumus, kas prasa, lai uzbrucējam būtu administratora piekļuve, vai ir fiziska piekļuve datoram. „Vienīgā lieta, ko TPM gandrīz garantē, ir nepatiesa drošības sajūta,” saka FAQ. Tajā teikts, ka TPM labākajā gadījumā ir “lieks”.

    Tam ir nedaudz patiesības. Drošība nav pilnīgi absolūta. TPM neapšaubāmi ir vairāk ērtības. Šifrēšanas atslēgu saglabāšana aparatūrā ļauj datoram automātiski atšifrēt disku vai atšifrēt to ar vienkāršu paroli. Tas ir drošāks, nekā vienkārši saglabāt šo atslēgu uz diska, jo uzbrucējs nevar vienkārši noņemt disku un ievietot to citā datorā. Tas ir saistīts ar konkrēto aparatūru.


    Galu galā TPM nav kaut kas, kas jums ir jādomā par daudz. Jūsu datoram ir vai nu TPM, vai arī tas nav pieejams, un mūsdienās datori parasti būs. Šifrēšanas rīki, piemēram, Microsoft BitLocker un “ierīces šifrēšana”, automātiski izmanto TPM, lai pārredzami šifrētu failus. Tas ir labāk, nekā vispār neizmantojot šifrēšanu, un tas ir labāks par šifrēšanas atslēgu glabāšanu uz diska, jo Microsoft EFS (šifrēšanas failu sistēma).

    Ciktāl tas attiecas uz TPM un ar TPM nesaistītiem risinājumiem, vai BitLocker pret TrueCrypt un līdzīgiem risinājumiem, tas ir sarežģīts temats, kas mums nav īsti kvalificēts, lai risinātu šeit.

    Image Credit: Paolo Attivissimo par Flickr