Что такое TPM и зачем он нужен Windows для шифрования диска?

Для шифрования диска BitLocker обычно требуется TPM в Windows. Шифрование Microsoft EFS не может использовать TPM. Для новой функции «шифрования устройства» в Windows 10 и 8.1 также требуется современный TPM, который доступен только на новом оборудовании. Но что такое TPM?

TPM означает «доверенный платформенный модуль» (Trusted Platform Module). Это микросхема на материнской плате вашего компьютера, которая помогает обеспечить защищённое от несанкционированного доступа полное шифрование диска без использования очень длинных парольных фраз.

Что это на самом деле?

TPM — это микросхема, которая является частью материнской платы вашего компьютера. Если вы купили стандартный ПК, он припаян к материнской плате. Если вы собрали свой собственный компьютер, вы можете купить его в качестве дополнительного модуля, если ваша материнская плата поддерживает его. TPM генерирует ключи шифрования, оставляя часть ключа себе. Таким образом, если вы используете шифрование BitLocker или шифрование устройства на компьютере с TPM, часть ключа хранится в самом TPM, а не только на диске. Это означает, что злоумышленник не может просто взять диск из компьютера и попытаться получить доступ к его файлам в другом месте.

Этот чип обеспечивает аппаратную аутентификацию и обнаружение несанкционированного доступа, поэтому злоумышленник не может попытаться удалить чип и разместить его на другой материнской плате или вмешаться в саму материнскую плату, чтобы попытаться обойти шифрование — по крайней мере, теоретически.

Шифрование, шифрование, шифрование

Для большинства людей наиболее подходящим вариантом использования здесь будет шифрование. Современные версии Windows прозрачно используют TPM. Просто войдите в систему с учётной записью Microsoft на современном ПК с включённым «шифрованием устройства», и он будет использовать шифрование. Включите шифрование диска BitLocker, и Windows будет использовать TPM для хранения ключа шифрования.

Обычно вы просто получаете доступ к зашифрованному диску, набрав пароль для входа в Windows, но этот диск защищён более длинным ключом шифрования, чем ваш пароль. Этот ключ шифрования частично хранится в TPM, поэтому вам действительно нужен ваш пароль для входа в Windows и тот же компьютер, с которого диск, чтобы получить доступ. Вот почему «ключ восстановления» для BitLocker немного длиннее — вам понадобится этот более длинный ключ восстановления для доступа к вашим данным, если вы переместите диск на другой компьютер.

Это одна из причин, по которой старая технология шифрования Windows EFS не так хороша. У него нет возможности хранить ключи шифрования в TPM. Это означает, что она должна хранить свои ключи шифрования на жёстком диске, что делает её гораздо менее безопасной. BitLocker может работать на дисках без TPM, но Microsoft изо всех сил старалась скрыть этот параметр, чтобы подчеркнуть, насколько важен TPM для безопасности.

Почему TrueCrypt и VeraCrypt избегают TPM

Конечно, TPM — не единственный работоспособный вариант шифрования диска. В разделе часто задаваемых вопросов TrueCrypt, который сейчас удалён, подчёркивалось, почему TrueCrypt не использовал и никогда не будет использовать TPM. Он назвал решения на основе TPM ложным чувством безопасности. Конечно, на веб-сайте TrueCrypt теперь указано, что TrueCrypt сам по себе уязвим, и рекомендуется вместо этого использовать BitLocker, который использует доверенные платформенные модули. Так что это немного сбивает с толку в мире TrueCrypt.

Однако этот аргумент всё ещё доступен на веб-сайте VeraCrypt. VeraCrypt — активный форк TrueCrypt. В FAQ VeraCrypt говорится, что BitLocker и другие утилиты, которые полагаются на TPM, используют его для предотвращения атак, требующих от злоумышленника прав администратора или физического доступа к компьютеру. «Единственное, что почти гарантированно обеспечивает TPM, — это ложное чувство безопасности», — говорится в FAQ. В нём говорится, что TPM в лучшем случае «избыточен».

В этом есть доля правды. Никакая безопасность не может быть абсолютной. Доверенный платформенный модуль, возможно, является более удобной функцией. Хранение ключей шифрования на оборудовании позволяет компьютеру автоматически расшифровать диск или расшифровать его с помощью простого пароля. Это более безопасно, чем просто сохранить этот ключ на диске, поскольку злоумышленник не может просто извлечь диск и вставить его в другой компьютер. Он привязан к конкретному оборудованию.


В конечном счёте, TPM — это не то, о чём вам нужно много думать. На вашем компьютере либо есть TPM, либо его нет — как правило, современные компьютеры обычно имеют этот модуль. Инструменты шифрования, такие как Microsoft BitLocker и «шифрование устройства», автоматически используют TPM для прозрачного шифрования ваших файлов. Это лучше, чем вообще не использовать никакого шифрования, и лучше, чем просто хранить ключи шифрования на диске, как это делает Microsoft EFS (Encrypting File System).


Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

wp-puzzle.com logo