Mikä on TPM ja miksi Windows tarvitsee levyn salausta?
BitLocker-levyn salaus vaatii yleensä TPM: n Windowsissa. Microsoftin EFS-salaus ei voi koskaan käyttää TPM: ää. Windows 10: n ja 8.1: n uusi "laitteiden salaus" -ominaisuus vaatii myös nykyaikaisen TPM: n, minkä vuoksi se on käytössä vain uudessa laitteistossa. Mutta mikä on TPM?
TPM tarkoittaa ”Trusted Platform Module” -ohjelmaa. Se on siru tietokoneen emolevyssä, joka auttaa salakirjoitusta kestävän koko levyn salausta ilman, että tarvitaan erittäin pitkiä salasanoja.
Mikä se on, täsmälleen?
TPM on siru, joka on osa tietokoneen emolevyä - jos ostit hyllykoneen, se on juotettu emolevyyn. Jos olet rakentanut oman tietokoneesi, voit ostaa sen lisäosamoduuliksi, jos emolevysi tukee sitä. TPM luo salausavaimia, jotka pitävät osan avaimesta itselleen. Jos siis käytät BitLocker-salausta tai laitteen salausta tietokoneessa, jossa on TPM, osa avaimesta tallennetaan itse TPM: ään eikä vain levylle. Tämä tarkoittaa, että hyökkääjä ei voi vain poistaa asemaa tietokoneesta ja yrittää käyttää sen tiedostoja muualla.
Tämä siru tarjoaa laitteistopohjaista todentamista ja peukaloinnin tunnistusta, joten hyökkääjä ei voi yrittää poistaa sirua ja sijoittaa sen toiselle emolevylle tai muokata emolevyä itse yrittäessään ohittaa salauksen - ainakin teoriassa.
Salaus, salaus, salaus
Useimmille ihmisille tärkein käyttötapaus on salaus. Nykyaikaiset Windows-versiot käyttävät TPM: ää avoimesti. Kirjaudu sisään Microsoft-tilillä nykyaikaisessa tietokoneessa, jossa on käytössä ”laitteen salaus”, ja se käyttää salausta. Ota BitLocker-levyn salaus käyttöön ja Windows käyttää TPM-koodia salausavaimen tallentamiseksi.
Voit tavallisesti käyttää salattua asemaa kirjoittamalla Windows-salasanasi, mutta se on suojattu pidemmällä salausavaimella. Tämä salausavain on osittain tallennettu TPM: ään, joten tarvitset pääsyn Windows-kirjautumistunnukseen ja samaan tietokoneeseen, josta asema on peräisin. Siksi BitLockerin palautusavain on melko pitkä - tarvitset pidemmän palautusavun tietojen käyttämiseen, jos siirrät aseman toiseen tietokoneeseen.
Tämä on yksi syy siihen, miksi vanhempi Windows EFS-salaustekniikka ei ole yhtä hyvä. Se ei voi tallentaa salausavaimia TPM: ään. Se tarkoittaa, että sen on tallennettava salausavaimet kiintolevylle ja tehtävä siitä vähemmän turvallinen. BitLocker voi toimia ilman TPM-levyjä käyttävissä asemissa, mutta Microsoft meni pois piilottamalla tämän vaihtoehdon korostaakseen, kuinka tärkeää TPM on turvallisuudelle.
Miksi TrueCrypt ohitti TPM: t
TPM ei tietenkään ole ainoa toimiva vaihtoehto levyn salausta varten. TrueCryptin usein kysytyissä kysymyksissä - nyt otettu huomioon - korostettiin, miksi TrueCrypt ei käyttänyt ja ei koskaan käyttäisi TPM: ää. Se loisti TPM-pohjaiset ratkaisut tarjoamalla vääriä tietoturvaa. TrueCryptin verkkosivusto ilmoittaa tietenkin, että itse TrueCrypt on haavoittuva ja suosittelee, että käytät sen sijaan BitLockeria, joka käyttää TPM: iä. Joten se on hieman hämmentävä sotku TrueCrypt-maalla.
Tämä väite on edelleen käytettävissä VeraCryptin verkkosivustolla. VeraCrypt on TrueCryptin aktiivinen haarukka. VeraCryptin usein kysytyt kysymykset vaativat, että BitLocker ja muut TPM: iin käyttävät apuohjelmat käyttävät sitä estämään hyökkäyksiä, jotka edellyttävät hyökkääjän pääsyä järjestelmänvalvojaan tai joilla on fyysinen pääsy tietokoneeseen. "Ainoa TPM: n lähes taattu turvaaminen on väärä tietoturva", kertoo usein kysytyt kysymykset. Siinä sanotaan, että TPM on parhaimmillaan "tarpeeton".
Tähän on vähän totuutta. Turvallisuus ei ole täysin absoluuttinen. TPM on todennäköisesti enemmän mukavuusominaisuus. Salausavainten tallentaminen laitteistoon sallii tietokoneen automaattisesti purkaa aseman tai purkaa sen yksinkertaisella salasanalla. Se on turvallisempi kuin yksinkertaisesti tallentaa avain levylle, koska hyökkääjä ei voi yksinkertaisesti poistaa levyä ja asettaa sen toiseen tietokoneeseen. Se on sidottu kyseiseen laitteistoon.
Viime kädessä TPM ei ole sellainen, mitä sinun täytyy ajatella paljon. Tietokoneessa on joko TPM tai se ei ole - ja nykyaikaiset tietokoneet yleensä. Salaustyökalut, kuten Microsoftin BitLocker ja ”laitteen salaus”, käyttävät TPM: ää automaattisesti salaamaan tiedostosi. Se on parempi kuin salauksen käyttäminen lainkaan, ja se on parempi kuin pelkästään salausavainten tallentaminen levylle, koska Microsoftin EFS (Encrypting File System) sallii.
TPM: n ja muiden kuin TPM-pohjaisten ratkaisujen tai BitLocker vs. TrueCrypt ja vastaavien ratkaisujen osalta - se on monimutkainen aihe, jota emme todellakaan kelpaa käsittelemään tässä.
Kuvaluotto: Paolo Attivissimo Flickrissä