За шифроването на диска BitLocker обикновено се изисква TPM на Windows. Криптирането EFS на Microsoft не може никога да използва TPM. Новото "криптиране на устройства" в Windows 10 и 8.1 също изисква модерен TPM, поради което е активиран само на нов хардуер. Но какво е TPM?
TPM означава "Модул за надеждна платформа". Това е чип на дънната платка на компютъра ви, който ви помага да разрешите криптиране с пълна диск, което е устойчиво на фалшифициране, без да изисквате изключително дълги пароли.
TPM е чип, който е част от дънната платка на компютъра ви - ако сте закупили компютър, който е готов, той е залепен върху дънната платка. Ако сте създали свой собствен компютър, можете да си купите такъв като допълнителен модул, ако дънната ви платка го поддържа. TPM генерира ключове за шифроване, като запазва част от ключа в себе си. Така че, ако използвате криптиране на BitLocker или шифроване на устройство на компютър с TPM, част от ключа се съхранява в самия TPM, а не само на диска. Това означава, че нападателят не може просто да премахне устройството от компютъра и да се опита да получи достъп до файловете си другаде.
Този чип осигурява удостоверяване на базата на хардуер и откриване на намеса, така че нападателят не може да се опита да премахне чипа и да го постави на друга дънна платка или да се намеси със самата дънна платка, за да се опита да заобиколи криптирането - поне на теория.
За повечето хора най-подходящият случай за използване тук ще бъде криптиране. Съвременните версии на Windows използват TPM прозрачно. Просто влезте в профила си в Microsoft на модерен компютър, който се доставя с "криптиране на устройства" и ще използва криптиране. Активирайте шифроването на диска на BitLocker и Windows ще използва TPM, за да съхрани ключа за шифроване.
Обикновено просто получавате достъп до кодирано устройство, като въведете паролата за вход в Windows, но е защитена с по-дълъг ключ за шифроване. Този ключ за кодиране е частично съхраняван в TPM, затова всъщност се нуждаете от парола за вход в Windows и от същия компютър, от който устройството е, за да получите достъп. Ето защо "ключът за възстановяване" за BitLocker е доста по-дълъг - имате нужда от този по-дълъг ключ за възстановяване, за да получите достъп до данните си, ако преместите устройството на друг компютър.
Това е една от причините, поради които по-старата технология за криптиране на Windows EFS не е толкова добра. Няма начин да съхранявате ключове за шифроване в TPM. Това означава, че трябва да съхранявате криптиращите ключове на твърдия диск и го прави много по-малко сигурен. BitLocker може да функционира на устройства без TPM, но Microsoft излезе на път да скрие тази опция, за да подчертае колко важно е TPM за защита.
Разбира се, TPM не е единственият работещ вариант за криптиране на диска. Често задаваните въпроси на TrueCrypt, които вече са изтеглени, са използвани за да подчертаят защо TrueCrypt не е използвал и никога няма да използва TPM. Тя затваряше базираните на TPM решения като осигуряващи фалшиво чувство за сигурност. Разбира се, сайтът TrueCrypt вече заявява, че TrueCrypt себе си е уязвим и препоръчва да използвате BitLocker - който използва TPM - вместо това. Така че това е малко объркваща бъркотия в земя TrueCrypt.
Този аргумент все още е налице на уебсайта на VeraCrypt. VeraCrypt е активна вилица на TrueCrypt. Често задаваните въпроси на VeraCrypt настояват, че BitLocker и други помощни програми, които разчитат на TPM, го използват, за да предотвратят атаки, изискващи нападател да има администраторски достъп или физически достъп до компютър. "Единственото нещо, което TPM почти гарантира, че предоставя, е фалшиво чувство за сигурност", казва ЧЗВ. Тя казва, че TPM в най-добрия случай е "излишен".
Има малко вяра в това. Сигурността е напълно абсолютна. TPM е може би по-скоро удобен елемент. Съхраняването на ключове за шифроване в хардуера позволява на компютъра автоматично да декриптира устройството или да го декриптира с обикновена парола. Това е по-сигурно, отколкото просто да се съхранява този ключ на диска, тъй като нападателят не може просто да извади диска и да го вмъкне в друг компютър. Това е свързано с този конкретен хардуер.
В крайна сметка, TPM не е нещо, което трябва да мислите за много. Вашият компютър или има TPM, или не - и съвременните компютри обикновено ще. Средствата за шифроване, като BitLocker на Microsoft и "криптиране на устройства", използват автоматично TPM, за да криптира прозрачно файловете ви. Това е по-добре, отколкото да не използвате никакво криптиране изобщо, и е по-добре, отколкото просто да съхраните криптиращите ключове на диска, както прави EFS (Encrypting File System) на Microsoft.
Що се отнася до TPM срещу не-TPM-базирани решения, или BitLocker срещу TrueCrypt и подобни решения - добре, това е сложна тема, която не сме наистина квалифицирани да се обърнем тук.
Image Credit: Паоло Ативисимо на Flickr