BitLocker šifriranje diska obično zahtijeva TPM na Windows. Microsoftova EFS enkripcija nikada ne može koristiti TPM. Nova značajka "enkripcije uređaja" na Windowsima 10 i 8.1 također zahtijeva moderni TPM, zbog čega je omogućen samo na novom hardveru. Ali što je TPM?
TPM označava "Trusted Platform Module". To je čip na matičnoj ploči vašeg računala koji pomaže u enkripciji cijelog diska otpornih na tamper, bez potrebe za ekstremno dugim šiframa.
TPM je čip koji je dio matične ploče vašeg računala - ako ste kupili PC koji se nalazi na polici, zalijepljen je na matičnu ploču. Ako ste izgradili svoje računalo, možete ga kupiti kao dodatni modul ako je matična ploča podržava. TPM generira ključeve za šifriranje, zadržavajući dio ključa na sebe. Dakle, ako koristite BitLocker šifriranje ili šifriranje uređaja na računalu s TPM-om, dio ključa pohranjuje se u samom TPM-u, a ne samo na disku. To znači da napadač ne može samo ukloniti pogon s računala i pokušati pristupiti datotekama drugdje.
Ovaj čip omogućuje provjeru autentičnosti na temelju hardvera i otkrivanje neovlaštenih prijetnji, tako da napadač ne može pokušati ukloniti čip i staviti ga na drugu matičnu ploču, ili neovlašteno matičnu ploču pokušati zaobići šifriranje - barem u teoriji.
Za većinu ljudi, najrelevantniji slučaj upotrebe ovdje će biti enkripcija. Moderne verzije sustava Windows koriste TPM transparentno. Jednostavno se prijavite s Microsoftovim računom na suvremenom računalu koje se isporučuje s "enkripcijom uređaja" i omogućit će šifriranje. Omogućite BitLocker šifriranje diska i sustav Windows će koristiti TPM za pohranu ključa za enkripciju.
Obično dobivate pristup šifriranom pogonu upisivanjem zaporke za prijavu na sustav Windows, no zaštićeno je duljim ključem za enkripciju. Taj ključ za šifriranje djelomično je pohranjen u TPM-u, tako da zaista trebate lozinku za prijavu na sustav Windows i isto računalo s kojeg dolazi disk da biste dobili pristup. Zbog toga je "ključ za oporavak" za BitLocker dosta duži - trebate više taj ključ za oporavak za pristup podacima ako premjestite disk na drugo računalo.
Ovo je jedan od razloga zašto stariji sustav Windows EFS tehnologije šifriranja nije tako dobar. Nema načina pohranjivanja ključeva za šifriranje u TPM-u. To znači da mora pohraniti svoje ključeve za šifriranje na tvrdi disk i čini ga manje sigurnom. BitLocker može funkcionirati na pogonima bez TPM-ova, ali Microsoft je otišao na put da skriva ovu opciju kako bi istaknuo kako je TPM važan za sigurnost.
Naravno, TPM nije jedina moguća opcija za šifriranje diska. Često postavljana pitanja o TrueCryptu - sada preuzeta - navela su se za stres zbog čega TrueCrypt nije koristio i nikada ne bi koristio TPM. Zalupio je rješenja temeljena na TPM-u kao lažni osjećaj sigurnosti. Naravno, TrueCrypt web stranica sada navodi da je TrueCrypt sama po sebi ranjiva i preporučuje da upotrijebite BitLocker - koji koristi TPM-ove - umjesto toga. Znači, to je pomalo zbunjujuća zbrka u TrueCrypt zemlji.
Ovaj argument je ipak dostupan na VeraCryptovoj web stranici. VeraCrypt je aktivna vilica TrueCrypt. FAQ tvrtke VeraCrypt inzistira da BitLocker i ostali alati koji se oslanjaju na TPM koriste za sprječavanje napada koji zahtijevaju da napadač ima administratorski pristup ili ima fizički pristup računalu. "Jedino što je TPM gotovo zajamčeno daje lažan osjećaj sigurnosti", kaže FAQ. On kaže da je TPM u najboljem slučaju "suvišan".
Postoji malo istine za ovo. Nijedna sigurnost nije potpuno apsolutna. TPM je vjerojatno više od jednostavnosti. Pohranjivanje ključeva za šifriranje u hardveru omogućuje računalu automatsko dešifriranje pogona ili ga dešifrira jednostavnom lozinkom. Sigurnije je nego jednostavno pohranjivanje tog ključa na disk, jer napadač ne može jednostavno ukloniti disk i umetati ga u drugo računalo. Povezan je s tim specifičnim hardverom.
U konačnici, TPM nije nešto o čemu morate mnogo misliti. Vaše računalo ili ima TPM ili ne - i moderna računala općenito će. Alati za šifriranje kao što je Microsoft BitLocker i "šifriranje uređaja" automatski koriste TPM za transparentno šifriranje datoteka. To je bolje od toga što uopće ne upotrebljavamo šifriranje, a to je bolje nego jednostavno pohranjivanje ključeva za šifriranje na disku, kao što to čini Microsoftov EFS (šifrirani datotečni sustav).
Što se tiče TPM-a ili ne-TPM-based rješenja, ili BitLocker vs TrueCrypt i slično rješenja - dobro, to je složena tema mi zapravo nisu kvalificirani za rješavanje ovdje.
Slikovni kredit: Paolo Attivissimo na Flickr