Τι είναι το TPM και γιατί τα Windows χρειάζονται ένα για κρυπτογράφηση δίσκου;

Η κρυπτογράφηση δίσκου BitLocker απαιτεί συνήθως ένα TPM στα Windows. Η κρυπτογράφηση EFS της Microsoft δεν μπορεί ποτέ να χρησιμοποιήσει TPM. Η νέα δυνατότητα «κρυπτογράφησης συσκευής» στα Windows 10 και 8.1 απαιτεί επίσης ένα σύγχρονο TPM, γι 'αυτό ενεργοποιείται μόνο σε νέο υλικό. Τι είναι όμως το TPM;

Το TPM σημαίνει "Trusted Platform Module". Είναι ένα τσιπ στη μητρική πλακέτα του υπολογιστή σας που βοηθά στην ενεργοποίηση κρυπτογράφησης πλήρους δίσκου χωρίς αντοχή σε παραβίαση χωρίς να απαιτούνται εξαιρετικά μεγάλες φράσεις πρόσβασης.

Τι είναι, ακριβώς;

ΣΧΕΤΙΚΟΙ: Πώς να ρυθμίσετε την κρυπτογράφηση BitLocker στα Windows

Το TPM είναι ένα τσιπ που είναι μέρος της μητρικής πλακέτας του υπολογιστή σας - εάν αγοράσατε έναν υπολογιστή εκτός καταστήματος, συγκολλάται στη μητρική πλακέτα. Εάν έχετε δημιουργήσει τον δικό σας υπολογιστή, μπορείτε να αγοράσετε έναν ως πρόσθετη μονάδα εάν το υποστηρίζει η μητρική σας πλακέτα. Το TPM δημιουργεί κλειδιά κρυπτογράφησης, διατηρώντας μέρος του κλειδιού. Έτσι, εάν χρησιμοποιείτε κρυπτογράφηση BitLocker ή κρυπτογράφηση συσκευής σε υπολογιστή με το TPM, μέρος του κλειδιού αποθηκεύεται στο ίδιο το TPM, και όχι μόνο στο δίσκο. Αυτό σημαίνει ότι ένας εισβολέας δεν μπορεί απλώς να αφαιρέσει τη μονάδα δίσκου από τον υπολογιστή και να προσπαθήσει να αποκτήσει πρόσβαση στα αρχεία της αλλού.

Αυτό το τσιπ παρέχει έλεγχο ταυτότητας με βάση το υλικό και ανίχνευση παραβίασης, οπότε ένας εισβολέας δεν μπορεί να επιχειρήσει να αφαιρέσει το τσιπ και να το τοποθετήσει σε άλλη μητρική πλακέτα ή να παραβιάσει την ίδια τη μητρική πλακέτα για να προσπαθήσει να παρακάμψει την κρυπτογράφηση - τουλάχιστον θεωρητικά.

Κρυπτογράφηση, Κρυπτογράφηση, Κρυπτογράφηση

Για τους περισσότερους ανθρώπους, η πιο σχετική περίπτωση χρήσης εδώ θα είναι η κρυπτογράφηση. Οι σύγχρονες εκδόσεις των Windows χρησιμοποιούν το TPM με διαφάνεια. Απλώς συνδεθείτε με έναν λογαριασμό Microsoft σε έναν σύγχρονο υπολογιστή που αποστέλλεται με ενεργοποιημένη την "κρυπτογράφηση συσκευής" και θα χρησιμοποιεί κρυπτογράφηση. Ενεργοποίηση κρυπτογράφησης δίσκου BitLocker και τα Windows θα χρησιμοποιήσουν ένα TPM για την αποθήκευση του κλειδιού κρυπτογράφησης.

Συνήθως απλώς αποκτάτε πρόσβαση σε μια κρυπτογραφημένη μονάδα πληκτρολογώντας τον κωδικό πρόσβασης σύνδεσης των Windows, αλλά προστατεύεται με μεγαλύτερο κλειδί κρυπτογράφησης από αυτόν. Αυτό το κλειδί κρυπτογράφησης είναι μερικώς αποθηκευμένο στο TPM, οπότε χρειάζεστε πραγματικά τον κωδικό πρόσβασής σας στα Windows και τον ίδιο υπολογιστή από τον οποίο προέρχεται η μονάδα δίσκου για να αποκτήσετε πρόσβαση. Γι 'αυτό το "κλειδί ανάκτησης" για το BitLocker είναι λίγο μεγαλύτερο - χρειάζεστε αυτό το μεγαλύτερο κλειδί ανάκτησης για να αποκτήσετε πρόσβαση στα δεδομένα σας, εάν μετακινήσετε τη μονάδα δίσκου σε άλλον υπολογιστή.

Αυτός είναι ένας λόγος για τον οποίο η παλαιότερη τεχνολογία κρυπτογράφησης Windows EFS δεν είναι τόσο καλή. Δεν έχει τρόπο αποθήκευσης κλειδιών κρυπτογράφησης σε TPM. Αυτό σημαίνει ότι πρέπει να αποθηκεύσει τα κλειδιά κρυπτογράφησης στον σκληρό δίσκο και να το κάνει πολύ λιγότερο ασφαλές. Το BitLocker μπορεί να λειτουργήσει σε μονάδες δίσκου χωρίς TPM, αλλά η Microsoft δεν κατάφερε να αποκρύψει αυτήν την επιλογή για να τονίσει πόσο σημαντικό είναι ένα TPM για την ασφάλεια.

Γιατί το TrueCrypt Shunned TPMs

ΣΧΕΤΙΖΕΤΑΙ ΜΕ: 3 Εναλλακτικές λύσεις στο Now-Defunct TrueCrypt για τις ανάγκες κρυπτογράφησής σας

Φυσικά, ένα TPM δεν είναι η μόνη λειτουργική επιλογή για κρυπτογράφηση δίσκου. Οι Συχνές Ερωτήσεις του TrueCrypt - τώρα καταργήθηκαν - χρησιμοποιούνται για να τονίσουν γιατί ο TrueCrypt δεν χρησιμοποίησε και δεν θα χρησιμοποιούσε ποτέ TPM. Καταγγέλλει τις λύσεις που βασίζονται στο TPM ως μια ψευδή αίσθηση ασφάλειας. Φυσικά, ο ιστότοπος του TrueCrypt δηλώνει τώρα ότι το ίδιο το TrueCrypt είναι ευάλωτο και σας προτείνει να χρησιμοποιήσετε το BitLocker - το οποίο χρησιμοποιεί TPM - αντ 'αυτού. Λοιπόν, είναι λίγο συγκεχυμένο χάος στη γη του TrueCrypt.

Αυτό το επιχείρημα εξακολουθεί να είναι διαθέσιμο στον ιστότοπο της VeraCrypt. Το VeraCrypt είναι ένα ενεργό πιρούνι του TrueCrypt. Οι Συνήθεις Ερωτήσεις του VeraCrypt επιμένουν ότι το BitLocker και άλλα βοηθητικά προγράμματα που βασίζονται στο TPM το χρησιμοποιούν για να αποτρέψουν τις επιθέσεις που απαιτούν από έναν εισβολέα να έχει πρόσβαση διαχειριστή ή να έχει φυσική πρόσβαση σε έναν υπολογιστή. «Το μόνο πράγμα που είναι σχεδόν εγγυημένο ότι παρέχει το TPM είναι μια ψευδή αίσθηση ασφάλειας», λέει το FAQ. Λέει ότι ένα TPM είναι, στην καλύτερη περίπτωση, «περιττό».

Υπάρχει λίγο αλήθεια σε αυτό. Καμία ασφάλεια δεν είναι απολύτως απόλυτη. Ένα TPM είναι αναμφισβήτητα περισσότερο χαρακτηριστικό ευκολίας Η αποθήκευση των κλειδιών κρυπτογράφησης σε υλικό επιτρέπει σε έναν υπολογιστή να αποκρυπτογραφεί αυτόματα τη μονάδα δίσκου ή να την αποκρυπτογραφεί με έναν απλό κωδικό πρόσβασης. Είναι πιο ασφαλές από την απλή αποθήκευση αυτού του κλειδιού στο δίσκο, καθώς ένας εισβολέας δεν μπορεί απλά να αφαιρέσει τον δίσκο και να τον τοποθετήσει σε έναν άλλο υπολογιστή. Είναι συνδεδεμένο με αυτό το συγκεκριμένο υλικό.

Τελικά, ένα TPM δεν είναι κάτι που πρέπει να σκεφτείτε πολύ. Ο υπολογιστής σας διαθέτει είτε TPM είτε όχι - και οι σύγχρονοι υπολογιστές γενικά θα. Τα εργαλεία κρυπτογράφησης όπως το BitLocker της Microsoft και η "κρυπτογράφηση συσκευής" χρησιμοποιούν αυτόματα ένα TPM για την κρυπτογράφηση των αρχείων σας με διαφάνεια. Αυτό είναι καλύτερο από το να μην χρησιμοποιείτε καθόλου κρυπτογράφηση, και είναι καλύτερο από το να αποθηκεύετε απλά τα κλειδιά κρυπτογράφησης στο δίσκο, όπως κάνει το EFS της Microsoft (Encrypting File System).

Όσον αφορά τις λύσεις που βασίζονται σε TPM έναντι μη-TPM ή στο BitLocker εναντίον TrueCrypt και παρόμοιες λύσεις - λοιπόν, αυτό είναι ένα περίπλοκο θέμα που δεν είμαστε πραγματικά κατάλληλοι να συζητήσουμε εδώ.

Πιστωτική εικόνα: Paolo Attivissimo στο Flickr