Vad är en TPM, och Varför Windows Behöver En För Disk Kryptering?

BitLocker-diskkryptering kräver normalt en TPM på Windows. Microsofts EFS-kryptering kan aldrig använda en TPM. Den nya “device encryption” – funktionen i Windows 10 och 8,1 kräver också en modern TPM, vilket är anledningen till att det är endast aktiverat på ny hårdvara. Men vad är en TPM?

TPM står för “Trusted Platform Module”. Det är ett chip på din dators moderkort som hjälper åverkanssäkra full disk encryption utan att kräva mycket lång lösenfraserna har angivits.

Vad Är Det, Exakt?

RELATERADE ARTIKELN

konfigurera BitLocker-Kryptering på Fönster

TPM är ett chip som är en del av datorns moderkort — om du har köpt en off-the-shelf PC, det är fastlödda på moderkortet. Om du har byggt din egen dator, kan du köp en som en add-on modul om ditt moderkort har stöd för det. TPM genererar krypteringsnycklar, kan behålla en del av nyckeln till sig själv. Så, om du använder BitLocker-kryptering eller enhet kryptering på en dator med TPM, en del av nyckeln lagras i TPM i sig, snarare än bara på disken. Detta innebär att en angripare kan inte bara ta bort disken från datorn och försök att komma åt dess filer någon annanstans.

Detta chip erbjuder hårdvara-baserad autentisering och tamper detection, så att en angripare kan inte försöka att ta bort chipet och placera den på ett annat moderkort, eller mixtra med moderkortet sig för att försöka kringgå krypteringen — åtminstone i teorin.

Kryptering,, Kryptering

För de flesta människor, är de mest relevanta att använda i detta fall kommer att vara kryptering. Moderna versioner av Windows använder TPM på ett öppet sätt. Bara logga in med ett Microsoft-konto på en modern PC som levereras med “enhetskryptering är aktiverat och det kommer att använda kryptering. Aktivera BitLocker-diskkryptering och Windows kommer att använda en TPM för att spara krypteringsnyckeln.

Du normalt bara få tillgång till en krypterad enhet genom att skriva in ditt lösenord för Windows-inloggningen, men det är skyddat med en längre krypteringsnyckel än så. Att krypteringsnyckeln är delvis lagras i TPM, så att du faktiskt behöver ditt lösenord för Windows-inloggningen och samma dator enheten från att få tillträde. Det är därför som “recovery key” för BitLocker finns ganska lite längre — du behöver längre återhämtning för att få tillgång till din data om du flyttar enheten till en annan dator.

Detta är en anledning till varför de äldre Windows EFS-kryptering är inte så bra. Det har inget sätt att lagra krypteringsnycklar i en TPM. Det betyder att det har att lagra krypteringsnycklar på hårddisken, och gör det mycket mindre säker. BitLocker kan fungera på enheter utan TPMs, men Microsoft gick ut med sitt sätt att dölja detta alternativ för att understryka hur viktigt det är med ett TPM är för säkerhet.

Varför TrueCrypt Skydde TPMs

RELATERADE ARTIKELN

3 Alternativ till den Nu Nerlagda TrueCrypt för Din Kryptering Behov

naturligtvis, en TPM är inte den enda genomförbara alternativet för diskkryptering. TrueCrypt s FAQ — nu tas ner — används för att betona varför TrueCrypt inte använder och skulle aldrig använda en TPM. Det smällde TPM-baserade lösningar som ger en falsk känsla av säkerhet. Naturligtvis, TrueCrypt s hemsida säger nu att TrueCrypt själv är sårbar och rekommenderar att du använder BitLocker — som använder TPMs — istället. Så det är lite av en förvirrande röra i TrueCrypt mark.

Detta argument är fortfarande tillgänglig på VeraCrypt: s hemsida, dock. VeraCrypt är en aktiv gaffel av TrueCrypt. VeraCrypt s FAQ insisterar BitLocker och andra verktyg för att förlita sig på TPM använda det för att förhindra attacker mot att kräva att en angripare har administratören har tillgång till, eller har fysisk tillgång till en dator. “Det enda som TPM är nästan garanterat att ge en falsk känsla av säkerhet, säger FAQ. Den säger att en TPM är, i bästa fall, “arbetslösa”.

Det finns en bit av sanning i detta. Ingen säkerhet är helt absolut. En TPM är utan tvekan mer av en service-funktion. Lagra krypteringsnycklar i hårdvara tillåter en dator att automatiskt dekryptera enheten, eller dekryptera det med ett enkelt lösenord. Det är säkrare än att helt enkelt förvara nyckeln på disken, som en angripare kan inte bara ta bort hårddisken och sätta in den i en annan dator. Den är knuten till en specifik hårdvara.


Slutligen, en TPM är inte något som du måste tänka på mycket. Datorn antingen har ett TPM-eller inte — och på moderna datorer i allmänhet. Kryptering verktyg som Microsoft BitLocker och “device encryption” automatiskt att använda en TPM-transparent kryptera dina filer. Det är bättre än att inte använda någon kryptering alls, och det är bättre än att bara lagra krypteringsnycklar på disken, som Microsofts EFS (Encrypting File System) gör.

så långt Som TPM vs. icke-TPM-baserade lösningar, eller BitLocker vs. TrueCrypt och liknande lösningar — ja, det är ett komplicerat ämne som vi egentligen inte är kvalificerad att ta itu med här.

Image Credit: Paolo Attivissimo på Flickr