Co je TPM a proč systém Windows potřebuje jeden pro šifrování disku?
Šifrování disku BitLocker obvykle vyžaduje systém TPM v systému Windows. Šifrování EFS společnosti Microsoft nikdy nemůže používat modul TPM. Nová funkce "šifrování zařízení" v systémech Windows 10 a 8.1 vyžaduje také moderní modul TPM, což je důvod, proč je povolen pouze na novém hardwaru. Ale co je TPM?
TPM znamená "Trusted Platform Module". Je to čip na základní desce vašeho počítače, který vám pomáhá šifrovat celý disk bez poškození, aniž by vyžadoval extrémně dlouhé fráze.
Co je to, přesně?
Modul TPM je čip, který je součástí základní desky vašeho počítače - pokud jste si zakoupili počítač, který je vypálený, je spárován na základní desku. Pokud jste si vytvořili svůj vlastní počítač, můžete ji koupit jako doplňkový modul, pokud to vaše základní deska podporuje. Modul TPM generuje šifrovací klíče a drží část klíče sám. Pokud používáte šifrování zařízení BitLocker nebo šifrování zařízení v počítači s modulem TPM, část klíče je uložena v samotném modulu TPM, nikoliv pouze na disku. To znamená, že útočník nemůže z počítače pouze odebrat disk a pokusit se získat přístup k jiným souborům.
Tento čip poskytuje autentizaci založenou na hardwaru a detekci tamperu, takže útočník se nemůže pokoušet odstranit čip a umístit jej na jinou základní desku, nebo se nechat manipulovat s vlastní deskou, aby se pokoušel obejít šifrování - přinejmenším v teorii.
Šifrování, šifrování, šifrování
Pro většinu lidí bude nejdůležitějším případem použití šifrování. Moderní verze systému Windows transparentně používají modul TPM. Stačí se přihlásit pomocí účtu Microsoft na moderním počítači, který je dodáván s "šifrováním zařízení" povolen a bude používat šifrování. Povolit šifrování disku BitLocker a systém Windows použije modul TPM k uložení šifrovacího klíče.
Obvykle získáte přístup k šifrované jednotce zadáním přihlašovacího hesla systému Windows, ale je chráněn delším šifrovacím klíčem. Tento šifrovací klíč je částečně uložen v modulu TPM, takže skutečně potřebujete přihlašovací heslo pro systém Windows a stejný počítač, ze kterého je jednotka dostupná, abyste získali přístup. Proto je "klíč pro obnovení" pro BitLocker poměrně déle - potřebujete delší klíč pro obnovení přístupu k datům, pokud přesunete disk do jiného počítače.
To je jeden z důvodů, proč starší technologie šifrování systému Windows EFS není tak dobrá. Nemá možnost ukládat šifrovací klíče do modulu TPM. To znamená, že musí ukládat své šifrovací klíče na pevný disk a činí to mnohem méně bezpečným. Funkce BitLocker může fungovat na jednotkách bez modulů TPM, ale společnost Microsoft se vyhnula tomu, aby tuto možnost skryla, aby zdůraznila, jak důležitá je bezpečnost TPM.
Proč se TrueCrypt shunned TPMs
Samozřejmě, TPM není jedinou funkční volbou pro šifrování disku. Otázky TrueCryptu - které byly nyní odebrány - používaly pro zdůraznění, proč TrueCrypt nepoužíval a nikdy by nepoužíval TPM. Zabralo řešení založené na technologii TPM, které poskytují falešný pocit bezpečí. Samozřejmě, stránka TrueCryptu nyní uvádí, že TrueCrypt sám je zranitelný a doporučuje použít BitLocker - který používá TPM - místo toho. Takže je to trochu zmatený nepořádek v oblasti TrueCrypt.
Tento argument je stále k dispozici na webových stránkách společnosti VeraCrypt. VeraCrypt je aktivní systém TrueCrypt. Otázky VeraCryptu trvají na tom, že nástroj BitLocker a další nástroje, které se spoléhají na TPM, ho používají k zabránění útokům, které vyžadují, aby útočník měl přístup k administrátorovi nebo fyzický přístup k počítači. "Jediná věc, kterou má TPM téměř zaručit, je falešný pocit bezpečí," říká FAQ. Říká se, že TPM je v nejlepším případě "nadbytečné".
Na tom je trochu pravdy. Žádná bezpečnost není zcela absolutní. TPM je pravděpodobně více komfortní funkce. Ukládání šifrovacích klíčů do hardwaru umožňuje počítači automaticky dešifrovat disk nebo jej dešifrovat pomocí jednoduchého hesla. Je to mnohem bezpečnější než jednoduše uložení tohoto klíče na disk, protože útočník nemůže jednoduše vyjmout disk a vložit jej do jiného počítače. Je to vázáno na tento konkrétní hardware.
Nakonec TPM není něco, o čem byste měli přemýšlet. Váš počítač má buď modul TPM, nebo není - a moderní počítače obecně budou. Šifrovací nástroje jako BitLocker od společnosti Microsoft a "šifrování zařízení" automaticky používají modul TPM, který transparentně šifruje vaše soubory. Je to lepší než nepoužívat žádné šifrování vůbec a je to lepší než jednodušší ukládání šifrovacích klíčů na disk, protože EFS (Encrypting File System) společnosti Microsoft dělá.
Pokud jde o řešení založená na TPM a non-TPM, nebo na nástroji BitLocker vs. TrueCrypt a podobných řešeních - to je složité téma, na které se nejednáme.
Image Credit: Paolo Attivissimo na Flickru