BitLocker-levyn salaus edellyttää yleensä TPM: tä Windowsissa. Microsoftin EFS-salaus ei voi koskaan käyttää TPM: ää. Uusi Windows 10: n ja 8.1: n "Device Encryption" -toiminto vaatii myös nykyaikaisen TPM: n, joten se on käytössä vain uusissa laitteissa. Mutta mikä on TPM?
TPM tarkoittaa "Trusted Platform Module". Se on tietokoneesi emolevyn siru, joka auttaa sallimaan kaikenkattavan kiintolevyn salauksen ilman, että vaaditaan äärimmäisen pitkiä salasanoja.
TPM on siru, joka on osa tietokoneen emolevyä - jos ostit tietokoneen hyllyltä, se on juotettu emolevyyn. Jos olet rakentanut oman tietokoneesi, voit ostaa sen lisäosina, jos emolevy tukee sitä. TPM tuottaa salausavainta pitämällä osan avaimesta itselleen. Joten, jos käytät BitLocker-salausta tai laitteen salausta TPM-tietokoneella, osa avaimesta tallennetaan itse TPM: ään eikä vain levylle. Tämä tarkoittaa, että hyökkääjä ei voi poistaa asemaa vain tietokoneelta ja yrittää käyttää tiedostoja muualla.
Tämä siru tarjoaa laitteistopohjaisen tunnistuksen ja suojauksen tunnistuksen, joten hyökkääjä ei voi yrittää poistaa sirua ja sijoittaa sen toiselle emolevylle tai muuttaa emolevyä itse yrittämään ohittaa salauksen - ainakin teoriassa.
Useimmille ihmisille tärkein käyttötapa tässä on salaus. Nykyaikaiset Windows-versiot käyttävät TPM: tä läpinäkyvästi. Kirjaudu sisään Microsoft-tilillä nykyaikaisella tietokoneella, jonka mukana toimitetaan "laitteen salaus", ja se käyttää salausta. Ota BitLocker-levyn salaus käyttöön ja Windows käyttää TPM-salausta salausavain tallentamiseen.
Normaalisti vain pääset käsiksi salattuun asemaan kirjoittamalla Windows-salasanasi, mutta se on suojattu pitemmällä salausavaimella. Tämä salausavain on osittain tallennettu TPM: ään, joten tarvitset todella Windowsin salasanasi ja samaan tietokoneeseen, johon asema on päällä. Tästä syystä BitLockerin "palautusavaimella" on melko vähän pidempi - tarvitset lisätietoja tietojen palauttamiseen, jos siirrät asemaa toiseen tietokoneeseen.
Tämä on yksi syy siihen, miksi vanhempi Windows EFS -titkotekniikka ei ole niin hyvä. Se ei voi tallentaa salausavaimia TPM: ssä. Se tarkoittaa, että sen on tallennettava salausavainsa kiintolevylle, ja se on paljon vähemmän turvallinen. BitLocker voi toimia asemilla, joissa ei ole TPM: iä, mutta Microsoft poisti tavan piilottaa tämän vaihtoehdon korostaakseen TPM: n tärkeyttä turvallisuuden kannalta.
Tietenkään TPM ei ole ainoa käytettävissä oleva vaihtoehto levyn salaukseen. TrueCryptin usein kysytyt kysymykset - joita käytetään korostamaan, miksi TrueCrypt ei käyttänyt eikä käyttäisi TPM: ää. Se rikkoi TPM-pohjaisia ratkaisuja väärennetyn turvallisuuden tunteen saamiseksi. Tietenkin TrueCryptin verkkosivusto mainitsee, että TrueCrypt on itsessään haavoittuva ja suosittelee käyttämään BitLockeria, joka käyttää TPM: ää. Joten se on hieman hämmentävää sotkua TrueCryptin maassa.
Tämä väite on kuitenkin edelleen saatavilla VeraCryptin verkkosivuilla. VeraCrypt on TrueCryptin aktiivinen haarukka. VeraCryptin usein kysytyissä kysymyksissä vaaditaan, että BitLocker ja muut TPM: tä käyttävät apuohjelmat käyttävät sitä estääkseen sellaiset hyökkäykset, jotka edellyttävät hyökkääjän järjestelmänvalvojan pääsyn tai fyysisen pääsyn tietokoneeseen. "Ainoa asia, jonka TPM on lähes taattu tarjoamaan, on väärä turvallisuuden tunne", kertoo FAQ. Se sanoo, että TPM on parhaimmillaan "redundant".
Tähän on hieman totta. Ei turvallisuutta täysin ehdottomasti. TPM on todennäköisesti enemmän mukavuutta. Salausavainten tallentaminen laitteistoon sallii tietokoneen salauksen purkamisen automaattisesti tai purkaa sen yksinkertaisella salasanalla. Se on turvallisempaa kuin pelkkä avaimen tallentaminen levylle, koska hyökkääjä ei voi poistaa levyä eikä laittaa sitä toiseen tietokoneeseen. Se on sidottu tähän tiettyyn laitteistoon.
Viime kädessä TPM ei ole jotain, mitä sinun täytyy ajatella paljon. Tietokoneessa on joko TPM tai ei - ja nykyaikaiset tietokoneet yleensä. Salausvälineet, kuten Microsoftin BitLocker ja "laitteen salaus", käyttävät automaattisesti TPM-salausta tiedostojen salaamiseen läpinäkyvästi. Se on parempi kuin salakirjoituksen käyttämistä lainkaan, ja se on parempi kuin tallentaa salausavaimet levylle, kuten Microsoftin EFS (Encrypting File System) tekee.
TPM vs. TPM-pohjaiset ratkaisut tai BitLocker vs. TrueCrypt ja vastaavat ratkaisut - hyvin, tämä on monimutkainen aihe, jota emme oikeastaan kykene käsittelemään täällä.
Kuvauskurssi: Paolo Attivissimo Flickrissä