Apa itu TPM, dan Mengapa Windows Memerlukan Satu Untuk Penyulitan Disk?
Penyulitan cakera BitLocker biasanya memerlukan TPM pada Windows. Penyulitan EFS Microsoft tidak boleh menggunakan TPM. Ciri "enkripsi peranti" baru pada Windows 10 dan 8.1 juga memerlukan TPM moden, sebab itulah ia hanya diaktifkan pada perkakasan baru. Tetapi apa itu TPM?
TPM adalah singkatan dari "Trusted Platform Module". Ia adalah cip pada papan induk komputer anda yang membantu membolehkan penyulitan cakera penuh tahan gangguan tanpa memerlukan frasa laluan yang sangat panjang.
Apa Itu, Tepat?
BERKAITAN: Cara Menyiapkan Penyulitan BitLocker pada Windows
TPM adalah cip yang merupakan bahagian dari papan induk komputer anda - jika anda membeli PC di luar rak, ia disolder ke papan induk. Sekiranya anda membina komputer anda sendiri, anda boleh membelinya sebagai modul tambahan jika motherboard anda menyokongnya. TPM menghasilkan kunci penyulitan, menyimpan sebahagian daripada kunci itu sendiri. Oleh itu, jika anda menggunakan enkripsi BitLocker atau enkripsi peranti pada komputer dengan TPM, sebahagian daripada kunci disimpan dalam TPM itu sendiri, dan bukan hanya pada cakera. Ini bermaksud penyerang tidak boleh melepaskan pemacu dari komputer dan cuba mengakses failnya di tempat lain.
Cip ini memberikan pengesahan berasaskan perkakasan dan pengesanan gangguan, jadi penyerang tidak dapat mencuba mengeluarkan cip tersebut dan meletakkannya di papan induk lain, atau merusak papan induk itu sendiri untuk cuba memintas penyulitan - sekurang-kurangnya secara teori.
Penyulitan, Penyulitan, Penyulitan
Bagi kebanyakan orang, kes penggunaan yang paling relevan di sini adalah penyulitan. Windows versi moden menggunakan TPM secara telus. Cukup log masuk dengan akaun Microsoft pada PC moden yang dihantar dengan "enkripsi peranti" yang diaktifkan dan ia akan menggunakan penyulitan. Aktifkan penyulitan cakera BitLocker dan Windows akan menggunakan TPM untuk menyimpan kunci penyulitan.
Anda biasanya mendapat akses ke pemacu yang disulitkan dengan mengetik kata laluan masuk Windows anda, tetapi dilindungi dengan kunci penyulitan yang lebih lama daripada itu. Kunci penyulitan itu sebahagiannya disimpan dalam TPM, jadi anda benar-benar memerlukan kata laluan masuk Windows anda dan komputer yang sama dengan pemacu untuk mendapatkan akses. Itulah sebabnya "kunci pemulihan" untuk BitLocker agak lama - anda memerlukan kunci pemulihan yang lebih lama untuk mengakses data anda jika anda memindahkan pemacu ke komputer lain.
Ini adalah salah satu sebab mengapa teknologi penyulitan Windows EFS yang lebih lama tidak begitu bagus. Tidak ada cara untuk menyimpan kunci penyulitan dalam TPM. Ini bermakna ia harus menyimpan kunci penyulitannya pada cakera keras, dan menjadikannya kurang selamat. BitLocker dapat berfungsi pada pemacu tanpa TPM, tetapi Microsoft berusaha untuk menyembunyikan pilihan ini untuk menekankan betapa pentingnya TPM untuk keselamatan.
Mengapa TrueCrypt Dihindari TPM
BERKAITAN: 3 Alternatif untuk TrueCrypt yang Kini Tidak berfungsi untuk Keperluan Penyulitan Anda
Sudah tentu, TPM bukan satu-satunya pilihan yang boleh digunakan untuk penyulitan cakera. Soalan Lazim TrueCrypt - sekarang dihapus - digunakan untuk menekankan mengapa TrueCrypt tidak menggunakan dan tidak akan pernah menggunakan TPM. Ia membantah penyelesaian berasaskan TPM sebagai memberikan rasa aman yang salah. Sudah tentu, laman web TrueCrypt sekarang menyatakan bahawa TrueCrypt itu sendiri terdedah dan mengesyorkan anda menggunakan BitLocker - yang menggunakan TPM - sebagai gantinya. Jadi sedikit kekacauan di tanah TrueCrypt.
Hujah ini masih terdapat di laman web VeraCrypt. VeraCrypt adalah garpu TrueCrypt aktif. Soalan Lazim VeraCrypt menegaskan BitLocker dan utiliti lain yang bergantung pada TPM menggunakannya untuk mencegah serangan yang memerlukan penyerang mempunyai akses pentadbir, atau mempunyai akses fizikal ke komputer. "Satu-satunya perkara yang hampir dijamin oleh TPM adalah rasa aman yang salah," kata FAQ. Ia mengatakan bahawa TPM, paling tidak, "berlebihan".
Ada sedikit kebenaran untuk ini. Tiada keselamatan sepenuhnya mutlak. TPM boleh dikatakan lebih merupakan ciri kemudahan. Menyimpan kunci penyulitan dalam perkakasan membolehkan komputer menyahsulitkan pemacu secara automatik, atau menyahsulitkannya dengan kata laluan mudah. Lebih selamat daripada hanya menyimpan kunci itu pada cakera, kerana penyerang tidak boleh mengeluarkan cakera dan memasukkannya ke komputer lain. Ini berkaitan dengan perkakasan khusus itu.
Pada akhirnya, TPM bukanlah sesuatu yang perlu anda fikirkan. Komputer anda mempunyai TPM atau tidak - dan komputer moden umumnya akan. Alat penyulitan seperti BitLocker Microsoft dan "penyulitan peranti" secara automatik menggunakan TPM untuk menyulitkan fail anda secara telus. Itu lebih baik daripada tidak menggunakan enkripsi sama sekali, dan lebih baik daripada sekadar menyimpan kunci penyulitan pada cakera, seperti yang dilakukan oleh EFS (Sistem Fail Penyulitan) Microsoft.
Sejauh penyelesaian berasaskan TPM vs bukan TPM, atau penyelesaian BitLocker vs. TrueCrypt dan serupa - baiklah, itu adalah topik rumit yang tidak benar-benar layak kita bahas di sini.
Kredit Gambar: Paolo Attivissimo di Flickr
