Что такое TPM и зачем он нужен Windows для шифрования диска?

Для шифрования диска BitLocker обычно требуется TPM в Windows. Шифрование Microsoft EFS никогда не может использовать TPM. Для новой функции «шифрования устройств» в Windows 10 и 8.1 также требуется современный TPM, поэтому он доступен только на новом оборудовании. Но что такое TPM?

TPM означает «доверенный платформенный модуль». Это микросхема на материнской плате вашего компьютера, которая помогает обеспечить защищенное от несанкционированного доступа полное шифрование диска, не требуя использования очень длинных парольных фраз.

Что это на самом деле?

СВЯЗАННЫЕ: Как настроить шифрование BitLocker в Windows

TPM - это микросхема, которая является частью материнской платы вашего компьютера - если вы купили стандартный ПК, он припаян к материнской плате. Если вы собрали свой собственный компьютер, вы можете купить его в качестве дополнительного модуля, если ваша материнская плата поддерживает его. TPM генерирует ключи шифрования, оставляя часть ключа себе. Итак, если вы используете шифрование BitLocker или шифрование устройства на компьютере с TPM, часть ключа хранится в самом TPM, а не только на диске. Это означает, что злоумышленник не может просто удалить диск из компьютера и попытаться получить доступ к его файлам в другом месте.

Этот чип обеспечивает аппаратную аутентификацию и обнаружение несанкционированного доступа, поэтому злоумышленник не может попытаться удалить чип и разместить его на другой материнской плате или вмешаться в саму материнскую плату, чтобы попытаться обойти шифрование - по крайней мере, теоретически.

Шифрование, шифрование, шифрование

Для большинства людей наиболее подходящим вариантом использования здесь будет шифрование. Современные версии Windows прозрачно используют TPM. Просто войдите в систему с учетной записью Microsoft на современном ПК, который поставляется с включенным «шифрованием устройства», и он будет использовать шифрование. Включите шифрование диска BitLocker, и Windows будет использовать TPM для хранения ключа шифрования.

Обычно вы просто получаете доступ к зашифрованному диску, набрав пароль для входа в Windows, но он защищен более длинным ключом шифрования, чем этот. Этот ключ шифрования частично хранится в TPM, поэтому вам действительно нужен ваш пароль для входа в Windows и тот же компьютер, с которого находится диск, чтобы получить доступ. Вот почему «ключ восстановления» для BitLocker немного длиннее - вам понадобится этот более длинный ключ восстановления для доступа к вашим данным, если вы переместите диск на другой компьютер.

Это одна из причин, почему старая технология шифрования Windows EFS не так хороша. У него нет возможности хранить ключи шифрования в TPM. Это означает, что он должен хранить свои ключи шифрования на жестком диске, что делает его гораздо менее безопасным. BitLocker может работать на дисках без TPM, но Microsoft изо всех сил старалась скрыть этот параметр, чтобы подчеркнуть, насколько важен TPM для безопасности.

Почему TrueCrypt избегает TPM

СВЯЗАННЫЕ: 3 альтернативы ныне несуществующему TrueCrypt для ваших нужд в шифровании

Конечно, TPM - не единственный рабочий вариант для шифрования диска. В разделе часто задаваемых вопросов TrueCrypt, который сейчас удален, подчеркивалось, почему TrueCrypt не использует и никогда не будет использовать TPM. Он критиковал решения на основе TPM как ложное ощущение безопасности. Конечно, на веб-сайте TrueCrypt теперь указано, что TrueCrypt сам по себе уязвим, и рекомендуется вместо этого использовать BitLocker, который использует TPM. Так что это немного сбивает с толку в стране TrueCrypt.

Однако этот аргумент все еще доступен на веб-сайте VeraCrypt. VeraCrypt - активный форк TrueCrypt. В FAQ VeraCrypt говорится, что BitLocker и другие утилиты, которые полагаются на TPM, используют его для предотвращения атак, требующих от злоумышленника прав администратора или физического доступа к компьютеру. «Единственное, что почти гарантированно обеспечивает TPM, - это ложное чувство безопасности», - говорится в FAQ. В нем говорится, что TPM в лучшем случае «избыточен».

В этом есть доля правды. Никакая безопасность не может быть абсолютной. TPM, возможно, более удобен. Хранение ключей шифрования на оборудовании позволяет компьютеру автоматически расшифровать диск или расшифровать его с помощью простого пароля. Это более безопасно, чем просто хранить этот ключ на диске, поскольку злоумышленник не может просто удалить диск и вставить его в другой компьютер. Это связано с конкретным оборудованием.

В конце концов, о TPM не нужно много думать. На вашем компьютере либо есть доверенный платформенный модуль, либо он отсутствует - как правило, современные компьютеры. Инструменты шифрования, такие как Microsoft BitLocker и «шифрование устройства», автоматически используют TPM для прозрачного шифрования ваших файлов. Это лучше, чем вообще не использовать никакого шифрования, и лучше, чем просто хранить ключи шифрования на диске, как это делает Microsoft EFS (Encrypting File System).

Что касается TPM по сравнению с решениями на основе TPM или BitLocker по сравнению с TrueCrypt и аналогичными решениями - ну, это сложная тема, для которой мы не имеем права рассматривать здесь.

Кредит изображения: Паоло Аттивиссимо на Flickr