Hemsida » hur » Vad är en TPM, och varför behöver Windows en för diskkryptering?

    Vad är en TPM, och varför behöver Windows en för diskkryptering?

    BitLocker-skivkryptering kräver normalt en TPM på Windows. Microsofts EFS-kryptering kan aldrig använda en TPM. Den nya funktionen "enhetskryptering" på Windows 10 och 8.1 kräver också en modern TPM, varför den bara är aktiverad på ny maskinvara. Men vad är en TPM??

    TPM står för "Trusted Platform Module". Det är ett chip på datorns moderkort som hjälper till att möjliggöra manipulationsbeständig fullständig diskkryptering utan att kräva extremt långa passfraser.

    Vad är det, exakt?

    TPM är ett chip som är en del av datorns moderkort - om du köpte en bärbar dator, löds den på moderkortet. Om du byggt din egen dator kan du köpa en som tilläggsmodul om ditt moderkort stöder det. TPM genererar krypteringsnycklar och håller en del av nyckeln till sig själv. Så om du använder BitLocker-kryptering eller enhetskryptering på en dator med TPM, sparas en del av nyckeln i TPM själv, i stället för bara på disken. Det betyder att en angripare inte bara kan ta bort enheten från datorn och försöka få åtkomst till dess filer på annat håll.

    Detta chip tillhandahåller maskinvarubaserad autentisering och manipulationsdetektering, så en angripare kan inte försöka ta bort chipet och placera det på ett annat moderkort eller manipulera moderkortet själv för att försöka kringgå krypteringen - åtminstone teoretiskt.

    Kryptering, Kryptering, Kryptering

    För de flesta är det mest relevanta användningsfallet här kryptering. Moderna versioner av Windows använder TPM öppet. Bara logga in med ett Microsoft-konto på en modern dator som skickas med "enhetskryptering" aktiverat och det kommer att använda kryptering. Aktivera BitLocker-skivkryptering och Windows använder en TPM för att lagra krypteringsnyckeln.

    Du brukar bara få tillgång till en krypterad enhet genom att skriva in ditt Windows-inloggnings lösenord, men det är skyddat med en längre krypteringsnyckel än det. Den krypteringsnyckeln lagras delvis i TPM, så du behöver faktiskt ditt Windows-inloggningslösenord och samma dator som enheten är från för att få åtkomst. Det är därför "återhämtningsnyckeln" för BitLocker är ganska lite längre - du behöver den längre återställningsnyckeln för att komma åt dina data om du flyttar enheten till en annan dator.

    Detta är en anledning till att den äldre Windows EFS-krypteringstekniken inte är lika bra. Det har ingen möjlighet att lagra krypteringsnycklar i en TPM. Det betyder att den måste lagra dess krypteringsnycklar på hårddisken och gör den mycket mindre säker. BitLocker kan fungera på enheter utan TPM, men Microsoft gick ut ur sin väg för att dölja det här alternativet för att betona hur viktigt en TPM är för säkerhet.

    Varför TrueCrypt Shunned TPMs

    Naturligtvis är en TPM inte det enda användbara alternativet för diskkryptering. TrueCrypts FAQ - nu nedtaget - brukade betona varför TrueCrypt inte använde och aldrig skulle använda en TPM. Det slog in TPM-baserade lösningar som en falsk känsla av säkerhet. Naturligtvis anger TrueCrypts hemsida nu att TrueCrypt själv är sårbar och rekommenderar att du använder BitLocker - som använder TPM - istället. Så det är lite av en förvirrande röra i TrueCrypt land.

    Detta argument är fortfarande tillgängligt på VeraCrypts hemsida, dock. VeraCrypt är en aktiv gaffel av TrueCrypt. VeraCrypts FAQ insisterar på BitLocker och andra verktyg som är beroende av att TPM använder det för att förhindra attacker som kräver att en angripare har administratörsbehörighet eller fysisk åtkomst till en dator. "Det enda som TPM nästan garanterat tillhandahåller är en falsk känsla av säkerhet", säger FAQ. Det står att en TPM i bästa fall är "överflödig".

    Det här är lite sanning. Ingen säkerhet är helt absolut. En TPM är förmodligen mer en bekväm funktion. Om du lagrar krypteringsnycklarna i maskinvara kan en dator automatiskt dekryptera enheten eller dekryptera den med ett enkelt lösenord. Det är säkrare än att bara lagra den här tangenten på skivan, eftersom en angripare inte bara kan ta bort skivan och sätta in den i en annan dator. Det är knutet till den specifika hårdvaran.


    I slutändan är en TPM inte något du måste tänka på mycket. Din dator har antingen en TPM eller inte - och moderna datorer brukar göra det. Krypteringsverktyg som Microsofts BitLocker och "enhetskryptering" använder automatiskt en TPM för att kryptera dina filer transparent. Det är bättre än att inte använda någon kryptering alls, och det är bättre än att bara lagra krypteringsnycklarna på disken, eftersom Microsofts EFS (Encrypting File System) gör.

    När det gäller TPM vs icke-TPM-baserade lösningar, eller BitLocker vs TrueCrypt och liknande lösningar - ja, det är ett komplicerat ämne som vi inte är kvalificerade att adressera här.

    Bildkrediter: Paolo Attivissimo på Flickr