Apakah TPM, dan Kenapa Windows Perlu Satu Untuk Penyulitan Cakera?
Penyulitan cakera BitLocker biasanya memerlukan TPM pada Windows. Penyulitan EFS Microsoft tidak boleh menggunakan TPM. Ciri "penyulitan peranti" baharu pada Windows 10 dan 8.1 juga memerlukan TPM moden, sebab itu ia hanya didayakan pada perkakasan baru. Tetapi apa yang TPM?
TPM bermaksud "Modul Platform Dipercayai". Ia cip pada papan induk komputer anda yang membantu membolehkan penyulitan cakera penuh tahan tamper tanpa memerlukan kata laluan yang sangat panjang.
Apa Itu, Tepat?
TPM adalah cip yang merupakan sebahagian daripada papan induk komputer anda - jika anda membeli PC yang tidak dijual, ia disalurkan ke motherboard. Jika anda membina komputer anda sendiri, anda boleh membeli satu sebagai modul tambahan jika papan induk anda menyokongnya. TPM menjana kunci penyulitan, memegang sebahagian daripada kunci itu sendiri. Oleh itu, jika anda menggunakan penyulitan BitLocker atau penyulitan peranti pada komputer dengan TPM, sebahagian daripada kunci disimpan dalam TPM itu sendiri, bukan hanya pada cakera. Ini bermakna penyerang tidak boleh hanya mengeluarkan drive dari komputer dan cuba mengakses failnya di tempat lain.
Cip ini menyediakan pengesahan berasaskan perkakasan dan mengesan pengesan, jadi penyerang tidak boleh cuba untuk mengeluarkan cip dan letakkannya di papan induk lain, atau merobek dengan papan induk itu sendiri untuk cuba memintas enkripsi - sekurang-kurangnya dalam teori.
Penyulitan, Penyulitan, Penyulitan
Bagi kebanyakan orang, kes penggunaan yang paling relevan di sini akan menjadi penyulitan. Versi Windows moden menggunakan TPM secara telus. Hanya log masuk dengan akaun Microsoft pada PC moden yang dihantar dengan "penyulitan peranti" yang diaktifkan dan ia akan menggunakan penyulitan. Dayakan penyulitan cakera BitLocker dan Windows akan menggunakan TPM untuk menyimpan kunci penyulitan.
Anda biasanya hanya mendapat akses kepada pemacu yang disulitkan dengan menaip kata laluan masuk Windows anda, tetapi ia dilindungi dengan kunci penyulitan yang lebih panjang daripada itu. Kunci penyulitan ini sebahagiannya disimpan dalam TPM, jadi anda sebenarnya memerlukan kata laluan masuk Windows anda dan komputer yang sama pemacu itu adalah untuk mendapatkan akses. Sebab itu, "kunci pemulihan" untuk BitLocker agak lama - anda memerlukan kunci pemulihan yang lama untuk mengakses data anda jika anda menggerakkan pemacu ke komputer lain.
Inilah salah satu sebab kenapa teknologi penyulitan Windows EFS yang lebih lama tidak begitu baik. Ia tidak mempunyai cara untuk menyimpan kekunci penyulitan dalam TPM. Ini bermakna ia perlu menyimpan kekunci penyulitannya pada cakera keras, dan menjadikannya lebih selamat. BitLocker boleh berfungsi pada pemacu tanpa TPMs, tetapi Microsoft pergi keluar dari cara untuk menyembunyikan pilihan ini untuk menekankan betapa pentingnya TPM untuk keselamatan.
Mengapa TrueCrypt TPM Shunned
Sudah tentu, TPM bukan satu-satunya pilihan untuk penyulitan cakera. Soalan TrueCrypt - kini diturunkan - digunakan untuk menekankan mengapa TrueCrypt tidak menggunakan dan tidak akan menggunakan TPM. Ia menyelaraskan penyelesaian berasaskan TPM sebagai memberikan rasa aman palsu. Sudah tentu, laman web TrueCrypt sekarang menyatakan bahawa TrueCrypt sendiri terdedah dan mengesyorkan anda menggunakan BitLocker - yang menggunakan TPM - sebaliknya. Oleh itu, ia adalah sedikit kekacauan yang membingungkan di tanah TrueCrypt.
Walau bagaimanapun, hujah ini masih boleh didapati di laman web VeraCrypt. VeraCrypt adalah garpu aktif TrueCrypt. FAQ VeraCrypt menegaskan BitLocker dan utiliti lain yang bergantung kepada TPM menggunakannya untuk mencegah serangan yang memerlukan penyerang mempunyai akses pentadbir, atau mempunyai akses fizikal ke komputer. "Satu-satunya perkara yang TPM hampir dijamin untuk menyediakan adalah rasa aman palsu," kata FAQ. Ia mengatakan bahawa TPM, paling baik, "berlebihan".
Terdapat sedikit kebenaran untuk ini. Tiada keselamatan sepenuhnya mutlak. TPM boleh dikatakan lebih banyak ciri kemudahan. Menyimpan kunci penyulitan dalam perkakasan membolehkan komputer mendekripsi secara automatik pemacu, atau menyahsulit dengan kata laluan mudah. Ia lebih selamat daripada sekadar menyimpan kunci itu pada cakera, kerana penyerang tidak boleh hanya mengeluarkan cakera dan memasukkannya ke komputer lain. Ia terikat dengan perkakasan tertentu itu.
Pada akhirnya, TPM bukanlah sesuatu yang perlu anda fikirkan. Komputer anda sama ada mempunyai TPM atau tidak - dan komputer moden umumnya akan. Alat penyulitan seperti BitLocker Microsoft dan "penyulitan peranti" secara automatik menggunakan TPM untuk menyulitkan fail secara telus. Itu lebih baik daripada tidak menggunakan sebarang penyulitan sama sekali, dan lebih baik daripada sekadar menyimpan kunci penyulitan pada cakera, seperti EFS (Sistem Fail Penyulitan) Microsoft.
Setakat penyelesaian TPM vs bukan TPM, atau BitLocker vs. TrueCrypt dan penyelesaian yang serupa - dengan baik, itulah topik rumit yang kami tidak benar-benar memenuhi syarat untuk dihubungi di sini.
Kredit Imej: Paolo Attivissimo di Flickr