Для шифрування диска BitLocker зазвичай потрібен TPMу Windows. Шифрування EFS від Microsoft ніколи не може використовувати TPM. Нова функція "шифрування пристрою" у Windows 10 та 8.1 також вимагає сучасного модуля TPM, тому він увімкнений лише на новому обладнанні. Але що таке TPM?
TPM розшифровується як "Модуль довіреної платформи". Це мікросхема на материнській платі комп’ютера, яка допомагає забезпечити стійке до втручання повнодискове шифрування, не вимагаючи надзвичайно довгих парольних фраз.
Що це, власне?
ПОВ'ЯЗАНІ: Як налаштувати шифрування BitLocker в Windows
TPM - це чіп, який є частиною вашого комп’ютераматеринська плата - якщо ви придбали готовий ПК, він припаяний до материнської плати. Якщо ви створили власний комп'ютер, ви можете придбати його як додатковий модуль, якщо ваша материнська плата це підтримує. TPM генерує ключі шифрування, зберігаючи частину ключа в собі. Отже, якщо ви використовуєте шифрування BitLocker або шифрування пристрою на комп’ютері з TPM, частина ключа зберігається в самому TPM, а не просто на диску. Це означає, що зловмисник не може просто вилучити диск з комп’ютера та спробувати отримати доступ до його файлів в іншому місці.
Цей чіп забезпечує апаратну автентифікаціюі виявлення фальсифікації, тому зловмисник не може спробувати вилучити чіп і помістити його на іншу материнську плату, або втрутитися в саму материнську плату, намагаючись обійти шифрування - принаймні теоретично.
Шифрування, шифрування, шифрування
Для більшості людей тут найбільш актуальний варіант використаннябуде шифруванням. Сучасні версії Windows використовують TPM прозоро. Просто увійдіть за допомогою облікового запису Microsoft на сучасному ПК, який постачається з увімкненим «шифруванням пристрою», і він використовуватиме шифрування. Увімкніть шифрування диска BitLocker, і Windows використовуватиме TPM для зберігання ключа шифрування.
Зазвичай ви просто отримуєте доступ до зашифрованогодиск, набравши пароль для входу в Windows, але він захищений довшим ключем шифрування, ніж цей. Цей ключ шифрування частково зберігається в TPM, тому вам дійсно потрібні пароль для входу в систему Windows і той самий комп’ютер, з якого привід, щоб отримати доступ. Ось чому «ключ відновлення» для BitLocker набагато довший - вам потрібен довший ключ відновлення для доступу до ваших даних, якщо ви перенесете диск на інший комп’ютер.
Це одна з причин, чому старіша система Windows EFSтехнологія шифрування не така хороша. Немає можливості зберігати ключі шифрування в TPM. Це означає, що він повинен зберігати ключі шифрування на жорсткому диску і робить його набагато менш безпечним. BitLocker може функціонувати на дисках без TPM, але Microsoft постаралася приховати цю опцію, щоб підкреслити, наскільки важлива TPM для безпеки.
Чому TrueCrypt уникав TPM
ПОВ'ЯЗАНІ: 3 Альтернативи для теперішнього відключеного TrueCrypt для ваших потреб шифрування
Звичайно, TPM - не єдиний дієвий варіантдля шифрування диска. Поширені запитання щодо TrueCrypt, які тепер видалено, використовувались, щоб підкреслити, чому TrueCrypt не використовував і ніколи не використовував TPM. Він розрізнив рішення на базі TPM як фальшиве відчуття безпеки. Звичайно, на веб-сайті TrueCrypt зараз зазначено, що сам TrueCrypt є вразливим, і рекомендує замість нього використовувати BitLocker, який використовує TPM. Тож це трохи заплутаний безлад у землі TrueCrypt.
Цей аргумент все ще доступний на веб-сайті VeraCryptоднак веб-сайт. VeraCrypt - активна вилка TrueCrypt. Поширені запитання про VeraCrypt наполягають, що BitLocker та інші утиліти, які покладаються на TPM, використовують його для запобігання атакам, які вимагають наявності зловмисного доступу адміністратора або фізичного доступу до комп’ютера. "Єдине, що TPM майже гарантовано забезпечує, - це помилкове відчуття безпеки", - йдеться у поширених запитаннях. Там сказано, що TPM в кращому випадку є «зайвим».
У цьому є трохи правди. Жодна безпека не є абсолютно абсолютною. Можливо, TPM - це більше зручність. Зберігання ключів шифрування в апаратному забезпеченні дозволяє комп’ютеру автоматично розшифрувати диск або розшифрувати його за допомогою простого пароля. Це безпечніше, ніж просто зберігати цей ключ на диску, оскільки зловмисник не може просто витягти диск і вставити його на інший комп’ютер. Це пов’язано з цим конкретним обладнанням.
Зрештою, TPM - це не те, що потрібнодумати про багато. Ваш комп’ютер або має TPM, або його немає - і сучасні комп’ютери, як правило, мають. Інструменти шифрування, такі як Microsoft BitLocker та «шифрування пристрою», автоматично використовують TPM для прозорого шифрування ваших файлів. Це краще, ніж взагалі не використовувати будь-яке шифрування, і це краще, ніж просто зберігати ключі шифрування на диску, як це робить Microsoft EFS (Encrypting File System).
Що стосується рішень TPM проти рішень, не заснованих на TPM, або BitLocker проти TrueCrypt та подібних рішень - ну, це складна тема, на яку ми не маємо права тут торкатися.
Кредит зображення: Паоло Аттівіссімо на Flickr
