TPM nozīmē "uzticamas platformas modulis". Tas ir datora mātesplates mikroshēma, kas palīdz novērst neaizsargāto pilnas diska šifrēšanu, nepieprasot ļoti garas frāzes.
Kas tas ir, tieši?
TPM ir mikroshēma, kas ir daļa no jūsu datora mātesplatē - ja jūs iegādājāties pie datora, tā tiek pielodēta uz mātesplatē. Ja esat izveidojis savu datoru, to var iegādāties kā papildinājumu moduli, ja jūsu mātesplate to atbalsta. TPM ģenerē šifrēšanas atslēgas, saglabājot pašu atslēgas daļu. Tātad, ja jūs izmantojat BitLocker šifrēšanu vai ierīces šifrēšanu datorā ar TPM, daļa no atslēgas tiek saglabāta pati TPM, nevis tikai diskā. Tas nozīmē, ka uzbrucējs nevar vienkārši noņemt disku no datora un mēģināt piekļūt saviem failiem citur.
Šī mikroshēma nodrošina aparatūras autentifikāciju un viltojumu noteikšanu, tāpēc uzbrucējs nevar mēģināt noņemt mikroshēmu un ievietot to citā mātesplatē vai arī manipulēt ar pašu mātesplatē, vismaz mēģinot teorētiski apiet šifrēšanu.
Šifrēšana, šifrēšana, šifrēšana
Lielākajai daļai cilvēku šajā gadījumā visatbilstošākais lietojums būs šifrēšana. Modernās Windows versijās TPM ir pārredzami. Vienkārši pierakstieties, izmantojot Microsoft kontu mūsdienīgā datorā, kurā ir iespējota "ierīces šifrēšana", un tā izmantos šifrēšanu. Iespējojiet BitLocker diska šifrēšanu, un Windows izmanto TPM, lai saglabātu šifrēšanas atslēgu.
Parasti jūs vienkārši piekļūstiet šifrētam diskam, ierakstot savu Windows pieteikšanās paroli, bet tas ir aizsargāts ar garāku šifrēšanas atslēgu. Šī šifrēšanas atslēga tiek daļēji saglabāta TPM, tāpēc jums patiešām ir nepieciešama jūsu Windows pieteikšanās parole un tas pats dators, no kura ir disks, lai piekļūtu. Tāpēc BitLocker "atkopšanas atslēga" ir diezgan garāka - lai pārsūtītu disku uz citu datoru, jums ir nepieciešama ilgāka atkopšanas atslēga, lai piekļūtu saviem datiem.
Šis ir viens no iemesliem, kāpēc vecā Windows EFS šifrēšanas tehnoloģija nav tik laba. TPM nav iespējams saglabāt šifrēšanas atslēgas. Tas nozīmē, ka cietajā diskā ir jāglabā šifrēšanas atslēgas, un tas ir daudz mazāk drošs. BitLocker var darboties diskdziņos bez TPM, taču Microsoft izkļūt no tā, lai paslēptu šo opciju, lai uzsvērtu, cik svarīga ir TPM drošībai.
Kāpēc TrueCrypt izslēgts TPMs
Protams, TPM nav vienīgā iespējamā diska šifrēšanas iespēja. TrueCrypt FAQ - tagad noņemts - tika izmantots, lai uzsvērtu, kāpēc TrueCrypt neizmantoja un nekad neizmantoja TPM. Tīkls ir balstīts uz TPM balstītajiem risinājumiem, tādējādi sniedzot nepatiesu drošības sajūtu. Protams, TrueCrypt vietne tagad apgalvo, ka pati TrueCrypt ir neaizsargāta, un tā vietā iesaka izmantot BitLocker - kas izmanto TPM. Tātad tas ir mazliet mulsinošs haoss TrueCrypt zemē.
Tomēr šis arguments joprojām ir pieejams VeraCrypt tīmekļa vietnē. VeraCrypt ir aktīvs TrueCrypt dakša. VeraCrypt FAQ uzstāj, ka BitLocker un citi komunālie pakalpojumi, kas balstās uz TPM, to izmanto, lai novērstu uzbrukumus, kuriem uzbrucējam ir nepieciešama administratora piekļuve vai fiziska piekļuve datoram. "Vienīgais, ko TPM gandrīz garantē nodrošināt, ir maldīga drošības sajūta," saka FAQ. Tajā teikts, ka TPM labākajā gadījumā ir "lieki".
Tam ir maz patiesības. Drošība nav absolūta. TPM neapšaubāmi ir vairāk ērtības. Šifrēšanas atslēgu saglabāšana aparatūrā ļauj datoram automātiski atšifrēt disku vai atšifrēt to ar vienkāršu paroli. Tas ir drošāk, nekā vienkārši saglabāt šo atslēgu diskā, jo uzbrucējs nevar vienkārši noņemt disku un ievietot to citā datorā. Tas ir saistīts ar konkrēto aparatūru.
Visbeidzot, TPM nav tas, par ko daudz domājat. Jūsu datoram ir vai nu TPM, vai arī tam nav, un mūsdienu datori parasti būs. Šifrēšanas rīki, piemēram, Microsoft BitLocker un "ierīces šifrēšana", automātiski izmanto TPM, lai pārredzami šifrētu failus. Tas ir labāk, nekā vispār neizmantot nekādu šifrēšanu, un tā ir labāka nekā vienkārša diska šifrēšanas atslēgu glabāšana, jo Microsoft EFS (šifrēšanas failu sistēma) to dara.
Ciktāl tas attiecas uz TPM vai TPM bez risinājumiem, vai BitLocker vs TrueCrypt un līdzīgiem risinājumiem - labi, tas ir sarežģīts jautājums, par kuru mēs šeit nav īsti kvalificēti.