BitLocker disk şifreleme normalde Windows'ta bir TPM gerektirir. Microsoft’un EFS şifreleme asla bir TPM kullanamaz. Yeni Windows 10 ve 8.1'de "cihaz şifreleme" özelliği ayrıca modern bir TPM gerektirir, bu nedenle yalnızca yeni donanımda etkinleştirilir. Ancak TPM nedir?
TPM, "Güvenilir Platform Modülü" anlamına gelir. Bilgisayarınızın ana kartında bulunan ve aşırı uzun parolalar gerektirmeden kurcalamaya dayanıklı tam disk şifrelemesine olanak sağlayan bir çiptir.
Tam Olarak Nedir?
İLİŞKİLİ: Windows'ta BitLocker Şifrelemesi Nasıl Kurulur
TPM, bilgisayarınızın ana kartının bir parçası olan bir çiptir - eğer hazır bir bilgisayar satın aldıysanız, anakarta lehimlenmiştir. Kendi bilgisayarınızı kurduysanız, şunları yapabilirsiniz: eklenti modülü olarak bir tane satın alın anakartınız destekliyorsa. TPM, anahtarın bir kısmını kendine saklayarak şifreleme anahtarları üretir. Dolayısıyla, TPM'li bir bilgisayarda BitLocker şifrelemesi veya cihaz şifrelemesi kullanıyorsanız, anahtarın bir kısmı sadece diskte değil, TPM'nin kendisinde saklanır. Bu, bir saldırganın sürücüyü bilgisayardan kaldırıp başka bir yerden dosyalarına erişmeye çalışamayacağı anlamına gelir.
Bu çip, donanım tabanlı kimlik doğrulama ve kurcalama tespiti sağlar, böylece bir saldırgan, çipi çıkarıp başka bir ana karta yerleştirmeyi deneyemez veya en azından teoride, şifrelemeyi atlamak için ana kartın kendisini kurcalayamaz.
Şifreleme, Şifreleme, Şifreleme
Çoğu insan için, buradaki en uygun kullanım durumu şifreleme olacaktır. Windows'un modern sürümleri, TPM'yi şeffaf bir şekilde kullanır. "Cihaz şifrelemesi" etkin olarak gelen modern bir bilgisayarda bir Microsoft hesabıyla oturum açın ve şifreleme kullanacaktır. BitLocker disk şifrelemesini etkinleştirin; Windows, şifreleme anahtarını depolamak için bir TPM kullanır.
Normalde yalnızca Windows oturum açma parolanızı yazarak şifrelenmiş bir sürücüye erişim elde edersiniz, ancak bundan daha uzun bir şifreleme anahtarıyla korunur. Bu şifreleme anahtarı kısmen TPM'de saklanır, bu nedenle erişim sağlamak için aslında Windows oturum açma parolanıza ve sürücünün bulunduğu bilgisayara ihtiyacınız vardır. BitLocker için "kurtarma anahtarı" nın biraz daha uzun olmasının nedeni budur - sürücüyü başka bir bilgisayara taşırsanız verilerinize erişmek için bu daha uzun kurtarma anahtarına ihtiyacınız vardır.
Bu, eski Windows EFS şifreleme teknolojisinin o kadar iyi olmamasının bir nedenidir. TPM'de şifreleme anahtarlarını saklamanın bir yolu yoktur. Bu, şifreleme anahtarlarını sabit sürücüde saklaması gerektiği anlamına gelir ve çok daha az güvenli hale getirir. BitLocker, TPM'siz sürücülerde çalışabilir, ancak Microsoft, bir TPM'nin güvenlik için ne kadar önemli olduğunu vurgulamak için bu seçeneği gizleme yolundan çıktı.
TrueCrypt TPM'lerden Neden Kaçınıldı?
İLİŞKİLİ: Şifreleme İhtiyaçlarınız için Artık Feshedilmiş TrueCrypt'e 3 Alternatif
Elbette, disk şifreleme için uygulanabilir tek seçenek TPM değildir. TrueCrypt’in SSS'si - şimdi kaldırıldı - TrueCrypt'in neden bir TPM kullanmadığını ve asla kullanmayacağını vurgulamak için kullanılıyordu. Yanlış bir güvenlik duygusu sağladığı için TPM tabanlı çözümleri şiddetle eleştirdi. Elbette, TrueCrypt’in web sitesi artık TrueCrypt’in savunmasız olduğunu belirtiyor ve bunun yerine TPM'leri kullanan BitLocker’ı kullanmanızı tavsiye ediyor. Yani TrueCrypt ülkesinde biraz kafa karıştırıcı bir karmaşa var .
Ancak bu argüman VeraCrypt’in web sitesinde hala mevcuttur. VeraCrypt, TrueCrypt'in aktif bir çatalı. VeraCrypt’in SSS BitLocker'ın ve TPM'ye dayanan diğer yardımcı programların, bir saldırganın yönetici erişimine veya bir bilgisayara fiziksel erişime sahip olmasını gerektiren saldırılara karşı bunu önlemek için onu kullandığında ısrar ediyor. "TPM'nin neredeyse garanti ettiği tek şey yanlış bir güvenlik duygusu" diyor SSS. Bir TPM'nin en iyi durumda "yedekli" olduğunu söylüyor.
Bunda biraz doğruluk var. Hiçbir güvenlik tamamen mutlak değildir. Bir TPM, muhtemelen daha kullanışlı bir özelliktir. Şifreleme anahtarlarının donanımda saklanması, bir bilgisayarın sürücünün şifresini otomatik olarak çözmesine veya basit bir parola ile şifresini çözmesine olanak tanır. Saldırgan sadece diski çıkarıp başka bir bilgisayara takamayacağı için, bu anahtarı diskte saklamaktan daha güvenlidir. Bu belirli donanıma bağlıdır.
Nihayetinde, TPM hakkında çok düşünmeniz gereken bir şey değildir. Bilgisayarınızda ya bir TPM vardır ya da yoktur - ve modern bilgisayarlar genellikle olacaktır. Microsoft'un BitLocker'ı ve "cihaz şifrelemesi" gibi şifreleme araçları, dosyalarınızı şeffaf bir şekilde şifrelemek için otomatik olarak bir TPM kullanır. Bu, hiç şifreleme kullanmamaktan daha iyidir ve Microsoft’un EFS'sinin (Şifreleme Dosya Sistemi) yaptığı gibi, şifreleme anahtarlarını diskte depolamaktan daha iyidir.
TPM ve TPM tabanlı olmayan çözümler veya BitLocker, TrueCrypt ve benzeri çözümler konusunda - bu, burada ele almaya gerçekten yetkili olmadığımız karmaşık bir konu.
Resim Kredisi: Flickr'da Paolo Attivissimo
