מהו TPM ומדוע Windows זקוק לכדי הצפנת דיסק?

הצפנת הדיסק של BitLocker דורשת בדרך כלל TPM ב- Windows. הצפנת ה- EFS של מיקרוסופט לעולם לא יכולה להשתמש ב- TPM. התכונה החדשה "הצפנת מכשירים" ב- Windows 10 ו- 8.1 דורשת גם TPM מודרני, ולכן היא מופעלת רק בחומרה חדשה. אבל מה זה TPM?

TPM מייצג "מודול פלטפורמה מהימנה". זהו שבב בלוח האם של המחשב שלך המסייע בהצפנת דיסק מלא מלא עמיד בפני חבלה ללא צורך בביטויי סיסמה ארוכים במיוחד.

מה זה בדיוק?

קשורים: כיצד להגדיר הצפנת BitLocker ב- Windows

ה- TPM הוא שבב שהוא חלק מלוח האם של המחשב - אם קניתם מחשב מדף, הוא מולחם על לוח האם. אם בנית מחשב משלך, אתה יכול לקנות אחד כמודול תוספת אם לוח האם שלך תומך בו. ה- TPM מייצר מפתחות הצפנה ושומר על עצמו חלק מהמפתח. לכן, אם אתה משתמש בהצפנת BitLocker או בהצפנת מכשיר במחשב עם ה- TPM, חלק מהמפתח נשמר ב- TPM עצמו, ולא רק בדיסק. המשמעות היא שתוקף לא יכול פשוט להסיר את הכונן מהמחשב ולנסות לגשת לקבצים שלו במקום אחר.

שבב זה מספק אימות וזיהוי טמבל מבוסס חומרה, כך שתוקף אינו יכול לנסות להסיר את השבב ולהניח אותו על לוח אם אחר, או להתעסק בלוח האם עצמו בכדי לנסות לעקוף את ההצפנה - לפחות בתיאוריה.

הצפנה, הצפנה, הצפנה

עבור רוב האנשים, מקרה השימוש הרלוונטי ביותר כאן יהיה הצפנה. גרסאות מודרניות של Windows משתמשות בשקיפות ב- TPM. פשוט היכנס באמצעות חשבון מיקרוסופט במחשב מודרני שנשלח עם אפשרות "הצפנת מכשירים" והוא ישתמש בהצפנה. אפשר הצפנת דיסק BitLocker ו- Windows ישתמש ב- TPM לאחסון מפתח ההצפנה.

בדרך כלל אתה פשוט מקבל גישה לכונן מוצפן על ידי הקלדת סיסמת הכניסה שלך ל- Windows, אך הוא מוגן באמצעות מפתח הצפנה ארוך מזה. מפתח ההצפנה מאוחסן בחלקו ב- TPM, כך שלמעשה אתה זקוק לסיסמת הכניסה שלך ל- Windows ולאותו מחשב שממנו נמצא הכונן כדי לקבל גישה. לכן "מפתח השחזור" עבור BitLocker ארוך למדי - אתה זקוק למפתח השחזור הארוך יותר כדי לגשת לנתונים שלך אם אתה מעביר את הכונן למחשב אחר.

זו אחת הסיבות לכך שטכנולוגיית ההצפנה הישנה יותר של Windows EFS אינה כל כך טובה. אין שום דרך לאחסן מפתחות הצפנה ב- TPM. זה אומר שהוא צריך לאחסן את מפתחות ההצפנה בכונן הקשיח, והופך אותו להרבה פחות מאובטח. BitLocker יכול לתפקד בכוננים ללא TPM, אך מיקרוסופט יצאה מגדרתה כדי להסתיר אפשרות זו כדי להדגיש עד כמה TPM חשוב לאבטחה.

מדוע TPM מנותק מסוג TrueCrypt

קשורים: 3 אלטרנטיבות ל- TrueCrypt שהושבת כעת לצורך הצפנתך

כמובן, TPM אינו האפשרות היחידה לביצוע להצפנת הדיסק. השאלות הנפוצות של TrueCrypt - שהורדו כעת - נהגו להדגיש מדוע TrueCrypt לא השתמש ולעולם לא ישתמש ב- TPM. זה הטיח פתרונות מבוססי TPM כמספקים תחושת ביטחון כוזבת. כמובן, באתר TrueCrypt מצוין כעת כי TrueCrypt עצמו פגיע וממליץ להשתמש במקום זאת ב- BitLocker - המשתמשת ב- TPM. אז זה קצת בלגן מבלבל בארץ TrueCrypt.

טענה זו עדיין זמינה באתר האינטרנט של VeraCrypt. VeraCrypt הוא מזלג פעיל של TrueCrypt. השאלות הנפוצות של VeraCrypt מתעקשות ש- BitLocker וכלי עזר אחרים המסתמכים על TPM משתמשים בו כדי למנוע התקפות הדורשות מהתוקף גישה למנהל, או שיש לו גישה פיזית למחשב. "הדבר היחיד ש- TPM כמעט מובטח הוא תחושת ביטחון כוזבת", אומר השאלות הנפוצות. זה אומר כי TPM הוא, במקרה הטוב, "מיותר".

יש בזה קצת אמת. שום ביטחון אינו מוחלט לחלוטין. ניתן לטעון ש- TPM הוא יותר תכונת נוחות. אחסון מפתחות ההצפנה בחומרה מאפשר למחשב לפענח את הכונן באופן אוטומטי, או לפענח אותו באמצעות סיסמה פשוטה. זה בטוח יותר מאשר פשוט לאחסן את המפתח הזה בדיסק, מכיוון שתוקף לא יכול פשוט להסיר את הדיסק ולהכניס אותו למחשב אחר. זה קשור לחומרה הספציפית הזו.

בסופו של דבר, TPM הוא לא משהו שאתה צריך לחשוב עליו הרבה. למחשב שלך יש TPM או שהוא לא - ובדרך כלל מחשבים מודרניים. כלי הצפנה כמו BitLocker של מיקרוסופט ו"הצפנת מכשירים "משתמשים באופן אוטומטי ב- TPM כדי להצפין את הקבצים שלך באופן שקוף. זה טוב יותר מאשר לא להשתמש בהצפנה כלשהי, ועדיף פשוט לאחסן את מפתחות ההצפנה בדיסק, כפי שעושה EFS (מערכת קבצים הצפנה) של מיקרוסופט.

בכל הקשור לפתרונות TPM לעומת פתרונות שאינם מבוססי TPM, או פתרונות BitLocker לעומת TrueCrypt ופתרונות דומים - ובכן, זה נושא מסובך שאנחנו לא ממש כשירים להתייחס אליו כאן.

קרדיט תמונה: פאולו אטיביסימו בפליקר