Шта је ТПМ, и зашто Виндовс треба једно за шифровање диска?
БитЛоцкер шифровање диска обично захтева ТПМ у Виндовсу. Мицрософтова ЕФС енкрипција никада не може да користи ТПМ. Нова функција „шифровања уређаја“ на Виндовс 10 и 8.1 такође захтева модеран ТПМ, због чега је омогућен само на новом хардверу. Али шта је ТПМ?
ТПМ значи "Трустед Платформ Модуле". То је чип на матичној плочи вашег рачунара који помаже у омогућавању потпуног шифровања читавог диска без употребе екстремно дугих лозинки.
Шта је то??
ТПМ је чип који је део матичне плоче рачунара - ако сте купили оригинални рачунар, он је лемљен на матичну плочу. Ако сте направили сопствени рачунар, можете га купити као додатни модул ако га ваша матична плоча подржава. ТПМ генерише кључеве за шифровање, чувајући део кључа за себе. Дакле, ако користите БитЛоцкер шифровање или енкрипцију уређаја на рачунару са ТПМ-ом, део кључа се чува у самом ТПМ-у, а не само на диску. То значи да нападач не може само да уклони диск са рачунара и покуша да приступи својим датотекама негде другде.
Овај чип обезбеђује аутентификацију засновану на хардверу и детекцију неовлашћеног приступа, тако да нападач не може да покуша да уклони чип и постави га на другу матичну плочу, или да неовлашћено мења саму матичну плочу како би покушао да заобиђе енкрипцију - барем у теорији.
Шифровање, шифровање, шифровање
За већину људи, најрелевантнији случај употребе ће бити кодирање. Модерне верзије оперативног система Виндовс користе ТПМ транспарентно. Само се пријавите са Мицрософт налогом на модерном рачунару који има омогућено шифровање уређаја и користиће шифровање. Омогући БитЛоцкер шифровање диска и Виндовс ће користити ТПМ за складиштење кључа за шифровање.
Обично само приступате енкриптованом диску уписивањем лозинке за пријављивање на Виндовс, али је заштићен дуљим кључем за шифровање. Тај кључ за шифровање је делимично ускладиштен у ТПМ-у, тако да вам је потребна лозинка за пријављивање на Виндовс и исти рачунар са којег је диск јединица за приступ. Зато је кључ за опоравак за БитЛоцкер доста дужи - потребан вам је дужи кључ за опоравак да бисте приступили подацима ако преместите диск на други рачунар.
Ово је један од разлога зашто старија Виндовс ЕФС технологија шифровања није тако добра. Нема шифре за шифровање у ТПМ-у. То значи да мора да чува своје кључеве за шифровање на чврстом диску и чини га много мање безбедним. БитЛоцкер може да функционише на диск јединицама без ТПМ-ова, али Мицрософт је изашао из начина да сакрије ову опцију да би нагласио колико је ТПМ важан за безбедност.
Зашто је ТруеЦрипт одбио ТПМ
Наравно, ТПМ није једина функционална опција за шифровање диска. ТруеЦрипт ФАК - који је сада скинут - користи да нагласи зашто ТруеЦрипт није користио и никада не би користио ТПМ. То је сламало решења заснована на ТПМ-у као пружање лажног осећаја сигурности. Наравно, вебсајт ТруеЦрипт-а сада каже да је ТруеЦрипт сам по себи рањив и препоручује да користите БитЛоцкер - који користи ТПМ-ове. Дакле, то је помало збуњујући неред у ТруеЦрипт земљи.
Овај аргумент је још увијек доступан на веб страници ВераЦрипт-а. ВераЦрипт је активна форма ТруеЦрипт-а. ВераЦрипт ФАК тражи од БитЛоцкер-а и других услужних програма који се ослањају на ТПМ да га спријече против напада који захтијевају да нападач има администраторски приступ или физички приступ рачуналу. „Једина ствар коју ТПМ скоро гарантује је лажни осећај сигурности“, каже ФАК. Каже да је ТПМ у најбољем случају "сувишан".
Има мало истине у овоме. Ниједна сигурност није апсолутна. ТПМ је вероватно више погодност. Чување кључева за шифровање у хардверу омогућава да рачунар аутоматски дешифрује диск јединицу или је дешифрује једноставном лозинком. То је сигурније него једноставно складиштење тог кључа на диску, јер нападач не може једноставно уклонити диск и уметнути га у други рачунар. Везана је за тај специфични хардвер.
На крају, ТПМ није нешто о чему морате много да размишљате. Рачунар или има ТПМ или не и модерни компјутери ће то и учинити. Алати за шифровање као што је Мицрософтов БитЛоцкер и „шифровање уређаја“ аутоматски користе ТПМ за транспарентно шифровање датотека. То је боље него да уопште не користите шифровање, а боље је него једноставно складиштити кључеве за шифровање на диску, као што Мицрософтов ЕФС (шифрирни систем датотека) ради.
Што се тиче решења ТПМ у односу на не-ТПМ, или БитЛоцкер наспрам ТруеЦрипт и сличних решења - то је компликована тема коју заиста нисмо квалификовани да се овде позабавимо.
Имаге: Паоло Аттивиссимо на Флицкр-у