מהו TPM, ומדוע Windows צריך אחד עבור הצפנת דיסק?
הצפנת דיסק BitLocker דורשת בדרך כלל TPM ב- Windows. הצפנת ה- EFS של מיקרוסופט לעולם לא תוכל להשתמש ב- TPM. התכונה החדשה "הצפנת התקן" ב- Windows 10 וב- 8.1 דורשת גם TPM מודרני, ולכן היא מופעלת רק בחומרה חדשה. אבל מה זה TPM?
TPM מייצג את "Trusted Platform Module". זהו שבב בלוח האם של המחשב שעוזר לאפשר הצפנת דיסקים חסרי חבלה ללא צורך במשפטי סיסמה ארוכים במיוחד.
מה זה בדיוק?
ה- TPM הוא שבב שהוא חלק מלוח האם של המחשב שלך - אם רכשת מחשב מדף, הוא מולחם על לוח האם. אם אתה בנוי המחשב שלך, אתה יכול לקנות אחד בתור מודול התוספת אם לוח האם שלך תומך בו. ה- TPM מייצר מפתחות הצפנה, תוך שמירה על חלק מהמפתח לעצמו. לכן, אם אתה משתמש בהצפנת BitLocker או בהצפנת התקן במחשב עם TPM, חלק מהמפתח מאוחסן ב- TPM עצמו, ולא רק בדיסק. פירוש הדבר שהתוקף אינו יכול רק להסיר את הכונן מהמחשב ולנסות לגשת לקבצים שלו במקום אחר.
שבב זה מספק אימות מבוסס חומרה וגילוי חבלה, כך שהתוקף אינו יכול לנסות להסיר את השבב ולהניח אותו על לוח אם אחר, או לחבל בלוח האם עצמו כדי לנסות לעקוף את ההצפנה - לפחות בתיאוריה.
הצפנה, הצפנה, הצפנה
עבור רוב האנשים, במקרה השימוש הרלוונטי ביותר כאן יהיה הצפנה. גירסאות מודרניות של Windows להשתמש TPM בשקיפות. פשוט להיכנס עם חשבון Microsoft על מחשב מודרני, כי ספינות עם "הצפנת התקן" מופעלת והוא ישתמש הצפנה. אפשר הצפנת דיסק BitLocker ו- Windows ישתמשו ב- TPM כדי לאחסן את מפתח ההצפנה.
אתה בדרך כלל רק לקבל גישה לכונן מוצפן על ידי הקלדת סיסמת הכניסה של Windows, אבל זה מוגן עם מפתח הצפנה ארוכה יותר מזה. מפתח ההצפנה הזה מאוחסן באופן חלקי ב- TPM, כך שאתה באמת צריך את סיסמת הכניסה של Windows שלך ואת אותו מחשב הכונן הוא כדי לקבל גישה. לכן "מפתח השחזור" עבור BitLocker הוא די ארוך - אתה זקוק למפתח שחזור ארוך יותר כדי לגשת לנתונים שלך אם תעביר את הכונן למחשב אחר.
זו אחת הסיבות מדוע טכנולוגיית ההצפנה הישנה של Windows EFS אינה טובה. אין לה דרך לאחסן מפתחות הצפנה ב- TPM. זה אומר שהיא צריכה לאחסן את מפתחות ההצפנה שלה על הכונן הקשיח, ועושה את זה הרבה פחות מאובטח. BitLocker יכול לפעול על כוננים ללא TPM, אך מיקרוסופט יצאה מגדרה כדי להסתיר אפשרות זו כדי להדגיש עד כמה חשובה TPM עבור אבטחה.
למה TrueCrypt Shunned TPMs
כמובן, TPM הוא לא רק אפשרות לעובדים עבור הצפנת דיסק. TrueCrypt של שאלות נפוצות - עכשיו נלקח למטה - השתמשו כדי להדגיש מדוע TrueCrypt לא להשתמש ולא היה להשתמש TPM. זה טרק פתרונות מבוססי TPM כמו מתן תחושה מזויפת של אבטחה. כמובן, האתר של TrueCrypt קובע כעת ש- TrueCrypt עצמה פגיעה וממליצה להשתמש ב- BitLocker - המשתמש ב- TPM - במקום זאת. אז זה קצת בלגן מבלבל בארץ TrueCrypt.
טיעון זה עדיין זמין באתר של VeraCrypt, עם זאת. VeraCrypt הוא מזלג פעיל של TrueCrypt. שאלות נפוצות של VeraCrypt מתעקשות על BitLocker ועל כלי עזר אחרים המסתמכים על TPM להשתמש בו כדי למנוע התקפות המחייבות את התוקף לקבל גישת מנהל או שיש להם גישה פיזית למחשב. "הדבר היחיד ש- TPM כמעט מובטחת הוא תחושת ביטחון מזויפת", אומר השאלות הנפוצות. זה אומר כי TPM הוא, במקרה הטוב, "מיותר".
יש בזה קצת אמת. אין ביטחון מוחלט מוחלט. א TPM הוא לטעון יותר של נוחות תכונה. אחסון מפתחות ההצפנה בחומרה מאפשר למחשב לפענח את הכונן באופן אוטומטי או לפענח אותו באמצעות סיסמה פשוטה. זה בטוח יותר מאשר פשוט לאחסן את המפתח על הדיסק, כמו התוקף לא יכול פשוט להסיר את הדיסק ולהכניס אותו למחשב אחר. זה קשור חומרה ספציפית.
בסופו של דבר, TPM הוא לא משהו שאתה צריך לחשוב על הרבה. המחשב שלך יש גם TPM או לא - ומחשבים מודרניים בדרך כלל יהיה. כלי הצפנה כגון BitLocker ו- BitMocker של Microsoft משתמשים באופן אוטומטי ב- TPM כדי להצפין את הקבצים שלך באופן שקוף. זה יותר טוב מאשר לא משתמש בכל הצפנה בכלל, וזה יותר טוב פשוט לאחסן את המפתחות הצפנה על הדיסק, כמו EFS של מיקרוסופט (הצפנת קובץ מערכת) עושה.
בכל הנוגע לפתרונות מבוססי TPM לעומת פתרונות מבוססי TPM, או BitLocker לעומת TrueCrypt ופתרונות דומים - ובכן, זהו נושא מסובך שאיננו כשירים לכתוב אליו כאן.
קרדיט תמונה: פאולו Attivissimo על Flickr