Hjemmeside » hvordan » Hvad er en TPM, og hvorfor har Windows brug for en til diskkryptering?

    Hvad er en TPM, og hvorfor har Windows brug for en til diskkryptering?

    BitLocker-diskkryptering kræver normalt en TPM på Windows. Microsofts EFS-kryptering kan aldrig bruge en TPM. Den nye funktion "Enhedskryptering" på Windows 10 og 8.1 kræver også en moderne TPM, hvorfor den kun er aktiveret på ny hardware. Men hvad er en TPM?

    TPM står for "Trusted Platform Module". Det er en chip på computerens bundkort, der hjælper med at muliggøre manipulationsresistent fulddisk-kryptering uden at kræve ekstremt lange passfraser.

    Hvad er det, præcist?

    TPM er en chip, der er en del af computerens bundkort - hvis du har købt en hylde-pc, er den loddet på bundkortet. Hvis du har bygget din egen computer, kan du købe en som et tillægsmodul, hvis dit bundkort understøtter det. TPM genererer krypteringsnøgler og holder en del af nøglen til sig selv. Så hvis du bruger BitLocker-kryptering eller enheds kryptering på en computer med TPM, gemmes en del af nøglen i selve TPM'en, i stedet for bare på disken. Det betyder, at en hacker ikke blot kan fjerne drevet fra computeren og forsøge at få adgang til sine filer andre steder.

    Denne chip leverer hardwarebaseret godkendelse og manipulationsdetektering, så en angriber kan ikke forsøge at fjerne chippen og placere den på et andet bundkort eller manipulere bundkortet selv for at forsøge at omgå krypteringen - i det mindste i teorien.

    Kryptering, kryptering, kryptering

    For de fleste er det mest relevante brugssag her kryptering. Moderne versioner af Windows bruger TPM gennemsigtigt. Bare log ind med en Microsoft-konto på en moderne pc, der leveres med "enheds kryptering" aktiveret, og det vil bruge kryptering. Aktivér BitLocker-diskkryptering, og Windows bruger en TPM til at gemme krypteringsnøglen.

    Du får normalt adgang til et krypteret drev ved at indtaste dit Windows-loginadgangskode, men det er beskyttet med en længere krypteringsnøgle end det. Denne krypteringsnøgle er delvist gemt i TPM'en, så du har faktisk brug for din Windows-loginadgangskode og den samme computer, som drevet er fra, for at få adgang. Derfor er "Recovery-nøglen" til BitLocker ret lidt længere - du har brug for den længere genoprettingsnøgle for at få adgang til dine data, hvis du flytter drevet til en anden computer.

    Dette er en grund til, at den ældre Windows EFS-krypteringsteknologi ikke er så god. Det har ingen måde at gemme krypteringsnøgler i en TPM. Det betyder at den skal gemme dens krypteringsnøgler på harddisken og gør den meget mindre sikker. BitLocker kan fungere på drev uden TPM'er, men Microsoft gik ud af sin måde for at skjule denne mulighed for at understrege, hvor vigtigt en TPM er for sikkerhed.

    Hvorfor TrueCrypt Shunned TPMs

    Selvfølgelig er en TPM ikke den eneste anvendelige mulighed for diskkryptering. TrueCrypts FAQ - nu taget ned - bruges til at understrege, hvorfor TrueCrypt ikke brugte og aldrig ville bruge en TPM. Det smadrede TPM-baserede løsninger som en falsk følelse af sikkerhed. Selvfølgelig hedder TrueCrypts websted nu, at TrueCrypt i sig selv er sårbart og anbefaler, at du bruger BitLocker - der bruger TPM'er - i stedet. Så det er lidt af et forvirrende rod i TrueCrypt-land.

    Dette argument er stadig tilgængeligt på VeraCrypts hjemmeside, dog. VeraCrypt er en aktiv gaffel af TrueCrypt. VeraCrypts FAQ insisterer på, at BitLocker og andre værktøjer, der er afhængige af TPM, bruger det til at forhindre mod angreb, der kræver, at en hacker har administratoradgang eller fysisk adgang til en computer. "Det eneste, som TPM næsten garanterer at levere, er en falsk følelse af sikkerhed," siger FAQ. Det siger, at en TPM i bedste fald er "overflødig".

    Der er en smule sandhed til dette. Ingen sikkerhed er helt absolut. En TPM er uden tvivl mere af en bekvemmelighedsfunktion. Hvis du lagrer krypteringsnøglerne i hardware, kan en computer automatisk dekryptere drevet eller dekryptere det med et simpelt kodeord. Det er mere sikkert end blot at gemme nøglen på disken, da en hacker ikke blot kan fjerne disken og indsætte den i en anden computer. Det er bundet til den specifikke hardware.


    I sidste ende er en TPM ikke noget, du skal tænke over meget. Din computer har enten en TPM eller det gør det ikke - og moderne computere vil generelt. Krypteringsværktøjer som Microsofts BitLocker og "device encryption" bruger automatisk en TPM til at kryptere dine filer transparent. Det er bedre end slet ikke at bruge kryptering, og det er bedre end blot at gemme krypteringsnøglerne på disken, da Microsofts EFS (Encrypting File System) gør.

    Hvad angår TPM vs ikke-TPM-baserede løsninger, eller BitLocker vs TrueCrypt og lignende løsninger - ja, det er et kompliceret emne, vi er ikke rigtig kvalificerede til at adressere her.

    Billedkredit: Paolo Attivissimo på Flickr