TPM là gì, và tại sao Windows cần một cho mã hóa đĩa?

Mục lục:

TPM là gì, và tại sao Windows cần một cho mã hóa đĩa?
TPM là gì, và tại sao Windows cần một cho mã hóa đĩa?

Video: TPM là gì, và tại sao Windows cần một cho mã hóa đĩa?

Video: TPM là gì, và tại sao Windows cần một cho mã hóa đĩa?
Video: How to use the Amazon Echo - YouTube 2024, Tháng Ba
Anonim
Mã hóa ổ đĩa BitLocker thường yêu cầu TPM trên Windows. Mã hóa EFS của Microsoft không bao giờ có thể sử dụng TPM. Tính năng “mã hóa thiết bị” mới trên Windows 10 và 8.1 cũng yêu cầu TPM hiện đại, đó là lý do tại sao tính năng này chỉ được bật trên phần cứng mới. Nhưng TPM là gì?
Mã hóa ổ đĩa BitLocker thường yêu cầu TPM trên Windows. Mã hóa EFS của Microsoft không bao giờ có thể sử dụng TPM. Tính năng “mã hóa thiết bị” mới trên Windows 10 và 8.1 cũng yêu cầu TPM hiện đại, đó là lý do tại sao tính năng này chỉ được bật trên phần cứng mới. Nhưng TPM là gì?

TPM là viết tắt của “Trusted Platform Module”. Đó là một con chip trên bo mạch chủ của máy tính giúp kích hoạt mã hóa toàn bộ ổ đĩa chống giả mạo mà không yêu cầu mật khẩu cực kỳ dài.

Chính xác nó là cái gì?

TPM là một con chip thuộc bo mạch chủ của máy tính của bạn - nếu bạn mua một máy tính có sẵn, nó được hàn vào bo mạch chủ. Nếu bạn xây dựng máy tính của riêng mình, bạn có thể mua một máy tính làm mô-đun bổ trợ nếu bo mạch chủ của bạn hỗ trợ nó. TPM tạo ra các khóa mã hóa, giữ một phần của khóa cho chính nó. Vì vậy, nếu bạn đang sử dụng mã hóa BitLocker hoặc mã hóa thiết bị trên máy tính có TPM, một phần của khóa được lưu trữ trong chính TPM, thay vì chỉ trên đĩa. Điều này có nghĩa là kẻ tấn công không thể chỉ xóa ổ đĩa khỏi máy tính và cố truy cập các tệp của nó ở nơi khác.

Chip này cung cấp khả năng xác thực dựa trên phần cứng và phát hiện giả mạo, do đó kẻ tấn công không thể loại bỏ chip và đặt nó trên bo mạch chủ khác hoặc giả mạo bo mạch chủ để cố gắng bỏ qua mã hóa - ít nhất là về mặt lý thuyết.

Mã hóa, mã hóa, mã hóa

Đối với hầu hết mọi người, trường hợp sử dụng phù hợp nhất ở đây sẽ là mã hóa. Các phiên bản Windows hiện đại sử dụng TPM một cách minh bạch. Chỉ cần đăng nhập bằng tài khoản Microsoft trên PC hiện đại được kích hoạt với "mã hóa thiết bị" được bật và nó sẽ sử dụng mã hóa. Cho phép mã hóa ổ đĩa BitLocker và Windows sẽ sử dụng TPM để lưu trữ khóa mã hóa.

Bạn thường chỉ có quyền truy cập vào một ổ đĩa được mã hóa bằng cách gõ mật khẩu đăng nhập Windows của bạn, nhưng nó được bảo vệ bằng một khóa mã hóa dài hơn. Khóa mã hóa đó được lưu trữ một phần trong TPM, vì vậy bạn thực sự cần mật khẩu đăng nhập Windows của mình và cùng một máy tính mà ổ đĩa đó truy cập được. Đó là lý do tại sao “khóa khôi phục” cho BitLocker dài hơn một chút - bạn cần có khóa khôi phục dài hơn để truy cập dữ liệu của mình nếu bạn di chuyển ổ đĩa sang một máy tính khác.

Đây là một lý do tại sao công nghệ mã hóa Windows EFS cũ hơn không tốt. Nó không có cách nào để lưu trữ các khóa mã hóa trong một TPM. Điều đó có nghĩa là nó phải lưu trữ các khóa mã hóa của nó trên ổ đĩa cứng và làm cho nó kém an toàn hơn nhiều. BitLocker có thể hoạt động trên các ổ đĩa không có TPM, nhưng Microsoft đã đi ra khỏi con đường của nó để ẩn tùy chọn này để nhấn mạnh tầm quan trọng của TPM đối với bảo mật.

Image
Image

Tại sao TrueCrypt bị mất TPM

Tất nhiên, TPM không phải là tùy chọn khả thi duy nhất để mã hóa ổ đĩa. Câu hỏi thường gặp của TrueCrypt - hiện đã được gỡ xuống - được sử dụng để nhấn mạnh lý do tại sao TrueCrypt không sử dụng và sẽ không bao giờ sử dụng TPM. Nó đóng sầm các giải pháp dựa trên TPM như cung cấp một cảm giác an toàn giả. Tất nhiên, trang web của TrueCrypt bây giờ nói rằng TrueCrypt chính nó là dễ bị tổn thương và khuyên bạn sử dụng BitLocker - sử dụng TPM - thay vào đó. Vì vậy, nó là một chút lộn xộn khó hiểu trong vùng đất TrueCrypt.

Lập luận này vẫn có sẵn trên trang web của VeraCrypt, tuy nhiên. VeraCrypt là một nhánh hoạt động của TrueCrypt. Câu hỏi thường gặp của VeraCrypt khẳng định BitLocker và các tiện ích khác dựa trên TPM sử dụng nó để ngăn chặn các cuộc tấn công yêu cầu kẻ tấn công phải có quyền truy cập quản trị viên hoặc có quyền truy cập vật lý vào máy tính. "Điều duy nhất mà TPM gần như được đảm bảo cung cấp là một cảm giác an toàn sai lầm", câu hỏi thường gặp nói. Nó nói rằng một TPM là, tốt nhất, "dư thừa".

Có một chút chân lý với điều này. Không có bảo mật nào là hoàn toàn tuyệt đối. TPM được cho là có nhiều tính năng tiện lợi hơn. Lưu trữ các khóa mã hóa trong phần cứng cho phép máy tính tự động giải mã ổ đĩa hoặc giải mã bằng một mật khẩu đơn giản. Nó an toàn hơn là chỉ lưu trữ khóa đó trên đĩa, vì kẻ tấn công không thể đơn giản xóa đĩa và chèn nó vào một máy tính khác. Nó được gắn với phần cứng cụ thể đó.

Cuối cùng, TPM không phải là thứ bạn phải suy nghĩ nhiều. Máy tính của bạn hoặc có một TPM hoặc nó không - và các máy tính hiện đại nói chung sẽ. Các công cụ mã hóa như BitLocker của Microsoft và "mã hóa thiết bị" tự động sử dụng TPM để mã hóa một cách minh bạch các tệp của bạn. Điều đó tốt hơn là không sử dụng bất kỳ mã hóa nào và tốt hơn là chỉ lưu trữ các khóa mã hóa trên đĩa, như EFS của Microsoft (Hệ thống tệp mã hóa) của Microsoft.

Theo như các giải pháp dựa trên TPM và không phải TPM, hoặc BitLocker so với TrueCrypt và các giải pháp tương tự - tốt, đó là một chủ đề phức tạp mà chúng tôi không thực sự đủ điều kiện để giải quyết ở đây.

Đề xuất: