A TPM a "Trusted Platform Module" kifejezést jelenti. Ez egy chip a számítógép alaplapján, amely segít a tamper-rezisztens teljes lemezes titkosításnak anélkül, hogy rendkívül hosszú jelszavakra lenne szükség.
Mi az, pontosan?
A TPM egy chip, ami része a számítógép alaplapjának - ha vásárolt egy PC-t, akkor forrasztva az alaplapra. Ha saját számítógépet készítettél, akkor egy kiegészítő modulként vásárolhatsz, ha az alaplap támogatja. A TPM titkosítási kulcsokat generál, miközben a kulcsot magának tartja. Tehát, ha BitLocker titkosítást vagy eszköz titkosítást használ a számítógépen a TPM segítségével, a kulcs egy része a TPM-ben tárolódik, nem csak a lemezen. Ez azt jelenti, hogy egy támadó nem csak eltávolíthatja a meghajtót a számítógépről, és megpróbálhatja elérni a fájlokat máshol.
Ez a chip biztosítja a hardveralapú hitelesítést és a szabotázs felismerést, így a támadó nem kísérelheti meg eltávolítani a chipet, és azt egy másik alaplapra helyezni, vagy magát az alaplapot meghamisítani, hogy megpróbálja megkerülni a titkosítást - legalábbis elméletileg.
Titkosítás, Titkosítás, Titkosítás
A legtöbb ember számára itt a legmegfelelőbb felhasználási eset a titkosítás. A Windows modern verziói átlátható módon használják a TPM-et. Csak jelentkezzen be egy Microsoft-fiókkal egy modern számítógépen, amely az "eszköz titkosítása" engedélyezett, és titkosítást fog használni. Engedélyezze a BitLocker lemez titkosítását, és a Windows TPM segítségével tárolja a titkosítási kulcsot.
Normál esetben csak titkosított meghajtót érhet el a Windows bejelentkezési jelszavának beírásával, de hosszabb titkosítási kulcs védi. Ez a titkosítási kulcs részben tárolódik a TPM-ben, így valóban szüksége van a Windows bejelentkezési jelszóra, és arra a számítógépre, ahonnan a meghajtó hozzáférést kap. Éppen ezért a BitLocker "helyreállítási kulcs" egy kicsit hosszabb - szükséged van a hosszabb helyreállítási kulcsra az adatok eléréséhez, ha áthelyezi a meghajtót egy másik számítógépre.
Ez az egyik oka annak, hogy a régebbi Windows EFS titkosítási technológia nem olyan jó. Nem lehet titkosítási kulcsokat tárolni egy TPM-ben. Ez azt jelenti, hogy a titkosítási kulcsokat a merevlemezen tárolja, és sokkal kevésbé biztonságossá teszi. A BitLocker TPM nélküli meghajtókkal működhet, de a Microsoft elhagyta a módját, hogy elrejtse ezt az opciót, hogy hangsúlyozza, mennyire fontos a TPM a biztonságért.
Miért mentette el a TrueCrypt TPM-ket
Természetesen a TPM nem az egyetlen működőképes lehetőség a lemezes titkosításhoz. A TrueCrypt gyakran letöltött kérdései arra hívják fel a figyelmet, hogy miért nem használta a TrueCrypt, és soha nem használna TPM-t. A TPM-alapú megoldásokat a hamis biztonságérzetet nyújtotta. A TrueCrypt honlapja természetesen azt állítja, hogy maga a TrueCrypt sebezhető, és azt javasolja, hogy a BitLocker-ot használja, amely TPM-t használ. Így ez egy kicsit zavaros rendetlenség a TrueCrypt földön.
Ez az érv azonban továbbra is elérhető a VeraCrypt honlapján. A VeraCrypt a TrueCrypt aktív villa. A VeraCrypt GYIK-je ragaszkodik ahhoz, hogy a BitLocker és a TPM-t használó egyéb segédprogramok használják, hogy megakadályozzák azokat a támadásokkal szemben, amelyek a támadók számára rendszergazdai hozzáférést vagy fizikai hozzáférést biztosítanak a számítógéphez. "Az egyetlen dolog, amit a TPM majdnem garantál, hamis biztonságérzet" - mondja a GYIK. Azt mondja, hogy a TPM a legjobb esetben "redundáns".
Van egy kis igazság. Nincs biztonság teljesen abszolút. A TPM vitathatatlanul inkább kényelmi funkció. A hardveren található titkosítási kulcsok tárolása lehetővé teszi a számítógép számára, hogy automatikusan dekódolja a meghajtót, vagy egyszerű jelszóval visszafejtse. Biztonságosabb, mint egyszerűen tárolni a kulcsot a merevlemezen, mivel a támadó nem tudja egyszerűen eltávolítani a lemezt és beilleszteni egy másik számítógépbe. Ez az adott hardverhez kötődik.
Végső soron a TPM nem olyan, amire sokat kell gondolnia. A számítógép vagy rendelkezik TPM-del, vagy nem - és a modern számítógépek általában. A titkosítási eszközök, például a Microsoft BitLocker és az "eszköz titkosítása" automatikusan TPM-t használnak a fájlok átlátható titkosításához. Ez jobb, mintha egyáltalán nem használna titkosítást, és jobb, mint egyszerűen tárolni a titkosítási kulcsokat a lemezen, ahogyan a Microsoft EFS (Encrypting File System) is.
Ami a TPM és a nem TPM alapú megoldásokat illeti, vagy a BitLocker-TrueCrypt és hasonló megoldások - nos, ez egy bonyolult téma, amivel nem igazán tudunk foglalkozni ezzel.
