BitLocker-levyn salaus edellyttää yleensä TPM: ää Windowsissa. Microsoftin EFS-salaus ei voi koskaan käyttää TPM: ää. Uusi “Laitteen salaus” -ominaisuus Windows 10: ssä ja 8.1: ssä vaatii myös modernin TPM: n, minkä vuoksi se on käytössä vain uusilla laitteilla. Mutta mikä on TPM?
TPM tarkoittaa "Trusted Platform Module". Se on siru tietokoneesi emolevyllä, joka auttaa ottamaan käyttöön salauksen estävän koko levyn salauksen ilman erittäin pitkiä salasanoja.
Mikä se on, tarkalleen?
LIITTYVÄT: BitLocker-salauksen määrittäminen Windowsissa
TPM on siru, joka on osa tietokoneen emolevyä - jos ostit PC: n, se on juotettu emolevylle. Jos rakensit oman tietokoneesi, voit osta yksi lisämoduulina jos emolevy tukee sitä. TPM luo salausavaimet, pitäen osan avaimesta itselleen. Joten jos käytät BitLocker-salausta tai laitesalausta tietokoneessa, jossa on TPM, osa avaimesta tallennetaan itse TPM: ään eikä vain levylle. Tämä tarkoittaa, että hyökkääjä ei voi vain poistaa asemaa tietokoneelta ja yrittää käyttää sen tiedostoja muualla.
Tämä siru tarjoaa laitteistopohjaisen todennuksen ja peukaloinnin havaitsemisen, joten hyökkääjä ei voi yrittää poistaa sirua ja sijoittaa sitä toiselle emolevylle tai manipuloida itse emolevyä yrittäen ohittaa salauksen - ainakin teoriassa.
Salaus, salaus, salaus
Useimmille ihmisille tärkein käyttötapaus tässä on salaus. Nykyaikaiset Windows-versiot käyttävät TPM: ää läpinäkyvästi. Kirjaudu vain Microsoft-tilillä nykyaikaisella tietokoneella, joka toimitetaan laitteiden salauksella ja se käyttää salausta. Ota BitLocker-levysalaus käyttöön, ja Windows käyttää TPM: ää salausavaimen tallentamiseen.
Pääset yleensä vain salattuun asemaan kirjoittamalla Windowsin kirjautumissalasanasi, mutta se on suojattu pidemmällä salausavaimella. Kyseinen salausavain on osittain tallennettu TPM: ään, joten tarvitset itse asiassa Windows-kirjautumissalasanasi ja saman tietokoneen, josta asema on pääsy. Siksi BitLockerin "palautusavain" on melko pitkä - tarvitset sen pidemmän palautusavaimen päästäksesi tietoihin, jos siirrät aseman toiseen tietokoneeseen.
Tämä on yksi syy, miksi vanhempi Windowsin EFS-salaustekniikka ei ole yhtä hyvä. Sillä ei ole tapaa tallentaa salausavaimia TPM: ään. Tämä tarkoittaa, että sen on tallennettava salausavaimet kiintolevylle ja se tekee siitä vähemmän turvallisen. BitLocker voi toimia asemissa, joissa ei ole TPM-muistia, mutta Microsoft yritti piilottaa tämän vaihtoehdon korostaakseen, kuinka tärkeä TPM on turvallisuuden kannalta.
Miksi TrueCrypt hylkäsi TPM: t
LIITTYVÄT: 3 vaihtoehtoa nyt poistetulle TrueCryptille salaustarpeisiisi
TPM ei tietenkään ole ainoa toimiva vaihtoehto levysalauksessa. TrueCryptin usein kysytyissä kysymyksissä korostettiin, miksi TrueCrypt ei käyttänyt eikä koskaan käyttäisi TPM: ää. Se iski TPM-pohjaiset ratkaisut tarjoamaan väärän turvallisuuden tunteen. Tietysti TrueCryptin verkkosivustolla todetaan nyt, että TrueCrypt itse on haavoittuva, ja suosittelee, että käytät sen sijaan BitLockeria - joka käyttää TPM: iä. Niin se on hieman hämmentävää sotkua TrueCrypt-maassa .
Tämä väite on kuitenkin edelleen saatavana VeraCryptin verkkosivustolla. VeraCrypt on TrueCryptin aktiivinen haarukka. VeraCryptin usein kysytyt kysymykset vaatii, että BitLocker ja muut TPM: ään luottavat apuohjelmat käyttävät sitä estääkseen hyökkäyksiä, jotka edellyttävät hyökkääjältä järjestelmänvalvojan tai fyysisen pääsyn tietokoneeseen. "Ainoa asia, jonka TPM: llä on melkein taattu, on väärä turvallisuuden tunne", kertoo usein kysytyt kysymykset. Siinä sanotaan, että TPM on parhaimmillaan "turha".
Tässä on vähän totuutta. Turvallisuus ei ole täysin ehdotonta. TPM on kiistatta enemmän mukavuusominaisuus. Salausavainten tallentaminen laitteistoon antaa tietokoneen purkaa aseman automaattisesti tai purkaa sen yksinkertaisella salasanalla. Se on turvallisempaa kuin vain tallentaa avain levylle, koska hyökkääjä ei voi yksinkertaisesti poistaa levyä ja asettaa sitä toiseen tietokoneeseen. Se on sidottu kyseiseen laitteistoon.
Viime kädessä TPM ei ole asia, josta sinun täytyy ajatella paljon. Tietokoneessasi on joko TPM tai ei - ja nykyaikaisissa tietokoneissa yleensä on. Salausvälineet, kuten Microsoftin BitLocker ja "laitekoodaus", käyttävät TPM: ää automaattisesti salaamaan tiedostosi. Se on parempi kuin ei lainkaan salausta, ja se on parempi kuin vain tallentaa salausavaimet levylle, kuten Microsoftin EFS (Encrypting File System) tekee.
TPM vs. ei-TPM-pohjaiset ratkaisut tai BitLocker vs. TrueCrypt ja vastaavat ratkaisut - no, tämä on monimutkainen aihe, jota emme todellakaan pysty käsittelemään täällä.
Kuvahyvitys: Paolo Attivissimo Flickrissä
