TPM означает «Trusted Platform Module». Это чип на материнской плате вашего компьютера, который позволяет обеспечить защиту от несанкционированного доступа на весь диск без необходимости использования чрезвычайно длинных кодовых фраз.
Что это такое?
TPM - это чип, который является частью материнской платы вашего компьютера - если вы купили готовый ПК, он припаян к материнской плате. Если вы создали свой собственный компьютер, вы можете купить его в качестве дополнительного модуля, если его материнская плата поддерживает его. TPM генерирует ключи шифрования, сохраняя часть ключа для себя. Итак, если вы используете шифрование BitLocker или шифрование устройства на компьютере с TPM, часть ключа хранится в самом TPM, а не только на диске. Это означает, что злоумышленник не может просто удалить диск с компьютера и попытаться получить доступ к его файлам в другом месте.
Этот чип обеспечивает аппаратную аутентификацию и обнаружение несанкционированного доступа, поэтому злоумышленник не может попытаться удалить чип и поместить его на другую материнскую плату или вмешаться с самой материнской платой, чтобы попытаться обойти шифрование - по крайней мере теоретически.
Шифрование, шифрование, шифрование
Для большинства людей наиболее подходящим вариантом использования будет шифрование. Современные версии Windows используют TPM прозрачно. Просто войдите в систему с учетной записью Microsoft на современном ПК с включенным «шифрованием устройства», и он будет использовать шифрование. Включите шифрование диска BitLocker, и Windows будет использовать TPM для хранения ключа шифрования.
Обычно вы получаете доступ к зашифрованному диску, введя пароль для входа в Windows, но он защищен более длинным ключом шифрования. Этот ключ шифрования частично сохраняется в TPM, поэтому вам действительно нужен пароль для входа в Windows и тот же компьютер, на котором установлен диск, чтобы получить доступ. Вот почему «ключ восстановления» для BitLocker довольно длинный - вам нужен более длинный ключ для доступа к вашим данным, если вы переместите диск на другой компьютер.
Это одна из причин, почему более старая технология шифрования Windows EFS не так хороша. Он не имеет возможности хранить ключи шифрования в TPM. Это означает, что он должен хранить свои ключи шифрования на жестком диске и делает его гораздо менее безопасным. BitLocker может работать на дисках без TPM, но Microsoft уклонилась, чтобы скрыть эту опцию, чтобы подчеркнуть важность TPM для безопасности.
Почему TrueCrypt Shunned TPMs
Разумеется, TPM не является единственной работоспособной опцией для шифрования диска. Часто задаваемые вопросы TrueCrypt - теперь сняты - используются, чтобы подчеркнуть, почему TrueCrypt не использовал и никогда не использовал TPM. Он захлопнул решения на основе TPM как обеспечивающие ложное чувство безопасности. Конечно, на веб-сайте TrueCrypt говорится, что TrueCrypt сам по себе уязвим и рекомендует использовать BitLocker, который использует TPM. Так что это немного запутанный беспорядок на земле TrueCrypt.
Однако этот аргумент по-прежнему доступен на веб-сайте VeraCrypt. VeraCrypt является активной вилкой TrueCrypt. Часто задаваемые вопросы VeraCrypt настаивают на том, что BitLocker и другие утилиты, которые полагаются на TPM, используют его для предотвращения атак, которые требуют, чтобы злоумышленник имел доступ администратора или имел физический доступ к компьютеру. «Единственное, что TPM почти гарантированно обеспечивает, - это ложное чувство безопасности», - говорится в FAQ. В нем говорится, что TPM в лучшем случае «избыточен».
В этом есть немного правды. Безопасность не является абсолютной. TPM, возможно, более удобна. Хранение ключей шифрования на оборудовании позволяет компьютеру автоматически расшифровывать диск или расшифровывать его с помощью простого пароля. Это более безопасно, чем просто хранить этот ключ на диске, так как злоумышленник не может просто удалить диск и вставить его на другой компьютер. Это связано с этим конкретным оборудованием.
В конечном счете, TPM - это не то, о чем вам нужно много думать. У вашего компьютера есть TPM, или нет - и современные компьютеры обычно будут. Средства шифрования, такие как Microsoft BitLocker и «шифрование устройств», автоматически используют TPM для прозрачного шифрования ваших файлов. Это лучше, чем вообще не использовать шифрование, и это лучше, чем просто хранить ключи шифрования на диске, как это делает EFS (шифровальная файловая система Microsoft).
Что касается TPM и решений, отличных от TPM, или BitLocker vs. TrueCrypt и подобных решений - ну, это сложная тема, на которую мы не можем справиться.
