Co je TPM a proč Windows potřebují jeden pro šifrování disku?

Šifrování disku BitLocker obvykle vyžaduje TPM ve Windows. Šifrování EFS od společnosti Microsoft nikdy nemůže použít TPM. Nová funkce „šifrování zařízení“ ve Windows 10 a 8.1 také vyžaduje moderní TPM, a proto je povolena pouze na novém hardwaru. Ale co je to TPM?

TPM znamená „Trusted Platform Module“. Jedná se o čip na základní desce počítače, který pomáhá umožnit šifrování celého disku odolné proti neoprávněné manipulaci bez nutnosti extrémně dlouhých přístupových frází.

Co je to přesně?

SOUVISEJÍCÍ: Jak nastavit šifrování BitLocker v systému Windows

TPM je čip, který je součástí základní desky vašeho počítače - pokud jste si koupili běžný počítač, je připájen na základní desku. Pokud jste si vytvořili vlastní počítač, můžete si jej koupit jako přídavný modul, pokud to vaše základní deska podporuje. Modul TPM generuje šifrovací klíče a ponechává si část klíče pro sebe. Pokud tedy používáte šifrování BitLocker nebo šifrování zařízení v počítači s modulem TPM, je část klíče uložena v samotném modulu TPM, nikoli pouze na disku. To znamená, že útočník nemůže jen vyjmout disk z počítače a pokusit se získat přístup k jeho souborům jinde.

Tento čip poskytuje hardwarovou autentizaci a detekci neoprávněné manipulace, takže se útočník nemůže pokusit čip odebrat a umístit jej na jinou základní desku, ani manipulovat se základní deskou sám, aby se pokusil obejít šifrování - alespoň teoreticky.

Šifrování, šifrování, šifrování

Pro většinu lidí bude nejdůležitějším případem použití šifrování. Moderní verze systému Windows používají čip TPM transparentně. Stačí se přihlásit pomocí účtu Microsoft na moderním počítači, který je dodáván s povoleným „šifrováním zařízení“, a bude používat šifrování. Povolte šifrování disku pomocí nástroje BitLocker a systém Windows použije k uložení šifrovacího klíče čip TPM.

Za normálních okolností získáte přístup k šifrované jednotce zadáním přihlašovacího hesla systému Windows, ale je chráněn delším šifrovacím klíčem. Tento šifrovací klíč je částečně uložen v modulu TPM, takže k získání přístupu skutečně potřebujete přihlašovací heslo systému Windows a stejný počítač, ze kterého je disk. Proto je „klíč pro obnovení“ nástroje BitLocker o dost delší - tento delší klíč pro obnovení potřebujete pro přístup k datům, pokud přesunete disk do jiného počítače.

To je jeden z důvodů, proč starší technologie šifrování EFS systému Windows není tak dobrá. Nemá způsob, jak ukládat šifrovací klíče do TPM. To znamená, že musí ukládat své šifrovací klíče na pevný disk a je mnohem méně zabezpečený. BitLocker může fungovat na discích bez čipů TPM, ale společnost Microsoft tuto možnost skryla, aby zdůraznila, jak důležitý je čip TPM pro zabezpečení.

Proč se TrueCrypt vyhýbá TPM

SOUVISEJÍCÍ: 3 alternativy k nyní zaniklé TrueCrypt pro vaše potřeby šifrování

TPM samozřejmě není jedinou proveditelnou možností šifrování disku. Časté dotazy TrueCrypt - nyní odstraněny - byly použity ke zdůraznění toho, proč TrueCrypt nepoužíval a nikdy nepoužíval TPM. Slammed TPM-based solutions as giving a false sense of security. Web TrueCrypt samozřejmě nyní uvádí, že samotný TrueCrypt je zranitelný, a doporučuje místo toho použít nástroj BitLocker - který používá TPM. V zemi TrueCrypt je to tedy trochu matoucí nepořádek.

Tento argument je však stále k dispozici na webových stránkách společnosti VeraCrypt. VeraCrypt je aktivní vidlice TrueCrypt. Často kladené dotazy společnosti VeraCrypt trvají na tom, aby nástroj BitLocker a další nástroje, které spoléhají na čip TPM, zabránil útokům, které vyžadují, aby útočník měl přístup správce nebo fyzický přístup k počítači. „Jedinou věcí, kterou TPM téměř zaručuje, je falešný pocit bezpečí,“ říká FAQ. Říká, že TPM je v nejlepším případě „nadbytečný“.

Je na tom trochu pravdy. Žádná bezpečnost není zcela absolutní. TPM je pravděpodobně spíše pohodlná funkce. Uložení šifrovacích klíčů v hardwaru umožňuje počítači automaticky dešifrovat disk nebo jej dešifrovat pomocí jednoduchého hesla. Je to bezpečnější než pouhé uložení tohoto klíče na disk, protože útočník nemůže disk jednoduše vyjmout a vložit jej do jiného počítače. Je to spojeno s tímto konkrétním hardwarem.

Nakonec TPM není něco, na co musíte hodně myslet. Váš počítač buď má TPM, nebo nemá - a moderní počítače obecně ano. Šifrovací nástroje, jako je Microsoft BitLocker a „šifrování zařízení“, automaticky používají TPM k transparentnímu šifrování vašich souborů. To je lepší než vůbec nepoužívat žádné šifrování a je to lepší než jednoduše ukládat šifrovací klíče na disk, jak to dělá EFS (Encrypting File System) společnosti Microsoft.

Pokud jde o řešení založená na TPM vs. jiných než TPM, nebo BitLocker vs. TrueCrypt a podobná řešení - je to složité téma, na které zde opravdu nemáme kvalifikaci.

Image Credit: Paolo Attivissimo na Flickru