BitLocker šifrování disku obvykle vyžaduje TPM ve Windows. Microsoft Šifrování EFS nikdy nemůže použít TPM. Nové Funkce „šifrování zařízení“ ve Windows 10 a 8.1 také vyžaduje moderní TPM, proto je povolen pouze na novém hardwaru. Ale co je to TPM?
TPM znamená „Trusted Platform Module“. Jedná se o čip na základní desce počítače, který pomáhá umožnit šifrování celého disku odolné proti neoprávněné manipulaci bez nutnosti extrémně dlouhých přístupových frází.
Co je to přesně?
PŘÍBUZNÝ: Jak nastavit šifrování BitLocker v systému Windows
TPM je čip, který je součástí základní desky vašeho počítače - pokud jste si koupili běžný počítač, je připájen na základní desku. Pokud jste si postavili vlastní počítač, můžete koupit jeden jako přídavný modul pokud to vaše základní deska podporuje. Modul TPM generuje šifrovací klíče a ponechává si část klíče pro sebe. Pokud tedy používáte šifrování BitLocker nebo šifrování zařízení v počítači s čipem TPM, část klíče se ukládá do samotného čipu TPM, nikoli pouze na disk. To znamená, že útočník nemůže disk pouze vyjmout z počítače a pokusit se získat přístup k jeho souborům jinde.
Tento čip poskytuje hardwarovou autentizaci a detekci neoprávněné manipulace, takže se útočník nemůže pokusit čip odebrat a umístit jej na jinou základní desku, ani manipulovat se samotnou základní deskou, aby se pokusil obejít šifrování - alespoň teoreticky.
Šifrování, šifrování, šifrování
Pro většinu lidí bude nejdůležitějším případem použití šifrování. Moderní verze systému Windows používají čip TPM transparentně. Stačí se přihlásit pomocí účtu Microsoft na moderním počítači, který je dodáván se zapnutým „šifrováním zařízení“ a bude používat šifrování. Povolte šifrování disku pomocí nástroje BitLocker a systém Windows použije k uložení šifrovacího klíče čip TPM.
Za normálních okolností získáte přístup k šifrované jednotce zadáním přihlašovacího hesla systému Windows, ale je chráněn delším šifrovacím klíčem. Tento šifrovací klíč je částečně uložen v modulu TPM, takže k získání přístupu skutečně potřebujete přihlašovací heslo systému Windows a stejný počítač, ze kterého je disk. Proto je „klíč pro obnovení“ nástroje BitLocker o něco delší - tento delší klíč pro obnovení potřebujete pro přístup k datům, pokud přesunete disk do jiného počítače.
To je jeden z důvodů, proč starší šifrovací technologie Windows EFS není tak dobrá. Nemá způsob, jak ukládat šifrovací klíče do TPM. To znamená, že musí ukládat své šifrovací klíče na pevný disk a je mnohem méně zabezpečený. BitLocker může fungovat na discích bez čipů TPM, ale společnost Microsoft tuto možnost skryla, aby zdůraznila, jak důležitý je čip TPM pro zabezpečení.
Proč se TrueCrypt vyhýbá TPM
PŘÍBUZNÝ: 3 alternativy k nyní zaniklé TrueCrypt pro vaše potřeby šifrování
TPM samozřejmě není jedinou proveditelnou možností šifrování disku. Časté dotazy TrueCrypt - nyní odstraněny - byly použity k zdůraznění, proč TrueCrypt nepoužíval a nikdy by nepoužíval TPM. Slammed TPM-based solutions as giving a false sense of security. Web TrueCrypt samozřejmě nyní uvádí, že samotný TrueCrypt je zranitelný, a doporučuje místo toho použít nástroj BitLocker - který používá TPM. Tak v zemi TrueCrypt je to trochu matoucí nepořádek .
Tento argument je však stále k dispozici na webu společnosti VeraCrypt. VeraCrypt je aktivní vidlice TrueCrypt. Časté dotazy společnosti VeraCrypt trvá na tom, že nástroj BitLocker a další nástroje, které spoléhají na TPM, jej používají k prevenci proti útokům, které vyžadují, aby měl útočník přístup správce nebo fyzický přístup k počítači. „Jedinou věcí, kterou TPM téměř zaručuje, je falešný pocit bezpečí,“ říká FAQ. Říká, že TPM je v nejlepším případě „nadbytečný“.
Je na tom trochu pravdy. Žádná bezpečnost není zcela absolutní. TPM je pravděpodobně spíše pohodlná funkce. Uložení šifrovacích klíčů v hardwaru umožňuje počítači automaticky dešifrovat disk nebo jej dešifrovat pomocí jednoduchého hesla. Je to bezpečnější než pouhé uložení tohoto klíče na disk, protože útočník nemůže disk jednoduše vyjmout a vložit do jiného počítače. Je to spojeno s tímto konkrétním hardwarem.
Nakonec TPM není něco, o čem musíte hodně přemýšlet. Váš počítač má buď TPM, nebo nemá - a moderní počítače obecně ano. Šifrovací nástroje, jako je Microsoft BitLocker a „šifrování zařízení“, automaticky používají čip TPM k transparentnímu šifrování vašich souborů. To je lepší než nepoužívat vůbec žádné šifrování a je to lepší než jednoduše ukládat šifrovací klíče na disk, jak to dělá EFS (Encrypting File System) společnosti Microsoft.
Pokud jde o řešení založená na TPM vs. jiných než TPM, nebo BitLocker vs. TrueCrypt a podobná řešení - to je složité téma, na které zde opravdu nemáme kvalifikaci.
Kredit obrázku: Paolo Attivissimo na Flickru
