TPM คืออะไรและทำไม Windows ถึงต้องการหนึ่งสำหรับการเข้ารหัสดิสก์
การเข้ารหัสดิสก์ BitLocker โดยปกติต้องใช้ TPM บน Windows การเข้ารหัส EFS ของ Microsoft ไม่สามารถใช้ TPM ได้ คุณลักษณะ "การเข้ารหัสอุปกรณ์" ใหม่ใน Windows 10 และ 8.1 ยังต้องใช้ TPM ที่ทันสมัยด้วยเหตุนี้จึงเปิดใช้งานบนฮาร์ดแวร์ใหม่เท่านั้น แต่ TPM คืออะไร?
TPM ย่อมาจาก“ Trusted Platform Module” เป็นชิปบนเมนบอร์ดคอมพิวเตอร์ของคุณที่ช่วยให้สามารถเข้ารหัสแบบเต็มดิสก์ที่ป้องกันการงัดแงะได้โดยไม่ต้องใช้รหัสผ่านที่ยาวมาก
มันคืออะไรกันแน่?
ที่เกี่ยวข้อง: วิธีตั้งค่าการเข้ารหัส BitLocker บน Windows
TPM เป็นชิปที่เป็นส่วนหนึ่งของแผงวงจรหลักของคอมพิวเตอร์ของคุณหากคุณซื้อพีซีนอกชั้นวางระบบจะบัดกรีเข้ากับเมนบอร์ด หากคุณสร้างคอมพิวเตอร์ของคุณเองคุณสามารถซื้อคอมพิวเตอร์เป็นโมดูลเสริมได้หากเมนบอร์ดของคุณรองรับ TPM สร้างคีย์การเข้ารหัสโดยรักษาส่วนหนึ่งของคีย์ไว้กับตัวเอง ดังนั้นหากคุณใช้การเข้ารหัส BitLocker หรือการเข้ารหัสอุปกรณ์บนคอมพิวเตอร์ที่มี TPM ส่วนหนึ่งของคีย์จะถูกเก็บไว้ใน TPM เองแทนที่จะอยู่ในดิสก์ ซึ่งหมายความว่าผู้โจมตีไม่เพียงแค่ลบไดรฟ์ออกจากคอมพิวเตอร์และพยายามเข้าถึงไฟล์ที่อื่น
ชิปนี้มีการตรวจสอบความถูกต้องโดยใช้ฮาร์ดแวร์และการตรวจจับการงัดแงะดังนั้นผู้โจมตีจึงไม่สามารถพยายามถอดชิปและวางไว้บนเมนบอร์ดอื่นหรือยุ่งเกี่ยวกับเมนบอร์ดเพื่อพยายามหลีกเลี่ยงการเข้ารหัส - อย่างน้อยก็ในทางทฤษฎี
การเข้ารหัสการเข้ารหัสการเข้ารหัส
สำหรับคนส่วนใหญ่กรณีการใช้งานที่เกี่ยวข้องมากที่สุดคือการเข้ารหัส Windows รุ่นใหม่ใช้ TPM อย่างโปร่งใส เพียงลงชื่อเข้าใช้ด้วยบัญชี Microsoft บนพีซีสมัยใหม่ที่มาพร้อมกับ "การเข้ารหัสอุปกรณ์" ที่เปิดใช้งานและจะใช้การเข้ารหัส เปิดใช้งานการเข้ารหัสดิสก์ BitLocker และ Windows จะใช้ TPM เพื่อจัดเก็บคีย์การเข้ารหัส
โดยปกติคุณสามารถเข้าถึงไดรฟ์ที่เข้ารหัสได้โดยพิมพ์รหัสผ่านเข้าสู่ระบบ Windows ของคุณ แต่ได้รับการป้องกันด้วยคีย์เข้ารหัสที่ยาวกว่า คีย์การเข้ารหัสนั้นถูกเก็บไว้บางส่วนใน TPM ดังนั้นคุณต้องใช้รหัสผ่านเข้าสู่ระบบ Windows ของคุณและคอมพิวเตอร์เครื่องเดียวกับที่ไดรฟ์ใช้ในการเข้าถึง นั่นเป็นเหตุผลว่าทำไม "คีย์การกู้คืน" สำหรับ BitLocker จึงค่อนข้างนานคุณต้องใช้คีย์การกู้คืนที่ยาวขึ้นเพื่อเข้าถึงข้อมูลของคุณหากคุณย้ายไดรฟ์ไปยังคอมพิวเตอร์เครื่องอื่น
นี่เป็นสาเหตุหนึ่งที่เทคโนโลยีการเข้ารหัส Windows EFS รุ่นเก่าไม่ดีเท่า ไม่มีวิธีจัดเก็บคีย์การเข้ารหัสใน TPM นั่นหมายความว่าต้องเก็บคีย์เข้ารหัสไว้ในฮาร์ดไดรฟ์และทำให้ปลอดภัยน้อยลงมาก BitLocker สามารถทำงานบนไดรฟ์ที่ไม่มี TPM ได้ แต่ Microsoft ก็พยายามซ่อนตัวเลือกนี้เพื่อเน้นว่า TPM มีความสำคัญต่อความปลอดภัยเพียงใด
ทำไม TrueCrypt จึงปฏิเสธ TPM
ที่เกี่ยวข้อง: 3 ทางเลือกสำหรับ TrueCrypt ตอนนี้ที่เลิกใช้แล้วสำหรับความต้องการในการเข้ารหัสของคุณ
แน่นอน TPM ไม่ใช่ตัวเลือกเดียวที่ใช้งานได้สำหรับการเข้ารหัสดิสก์ คำถามที่พบบ่อยของ TrueCrypt - ถูกลบออกไปแล้ว - เคยเครียดว่าทำไม TrueCrypt ไม่ใช้และจะไม่ใช้ TPM มันกระแทกโซลูชันที่ใช้ TPM ว่าให้ความรู้สึกปลอดภัยที่ผิดพลาด แน่นอนว่าตอนนี้เว็บไซต์ของ TrueCrypt ระบุว่า TrueCrypt นั้นมีช่องโหว่และแนะนำให้คุณใช้ BitLocker ซึ่งใช้ TPM แทน ดังนั้นจึงค่อนข้างสับสนใน TrueCrypt land
อย่างไรก็ตามข้อโต้แย้งนี้ยังคงมีอยู่ในเว็บไซต์ของเวราคริปต์ เวราคริปต์เป็นทางแยกที่ใช้งานอยู่ของ TrueCrypt คำถามที่พบบ่อยของเวราคริปต์ยืนยันว่า BitLocker และยูทิลิตี้อื่น ๆ ที่อาศัย TPM ใช้เพื่อป้องกันการโจมตีที่ต้องการให้ผู้โจมตีมีสิทธิ์เข้าถึงของผู้ดูแลระบบหรือมีการเข้าถึงคอมพิวเตอร์ทางกายภาพ “ สิ่งเดียวที่ TPM เกือบจะรับประกันได้คือความปลอดภัยที่ผิดพลาด” FAQ กล่าว มันบอกว่า TPM นั้น“ ซ้ำซ้อน” อย่างดีที่สุด
มีความจริงเล็กน้อยสำหรับเรื่องนี้ ไม่มีการรักษาความปลอดภัยอย่างสมบูรณ์ TPM เป็นคุณสมบัติที่อำนวยความสะดวกมากกว่า การจัดเก็บคีย์การเข้ารหัสในฮาร์ดแวร์ช่วยให้คอมพิวเตอร์สามารถถอดรหัสไดรฟ์โดยอัตโนมัติหรือถอดรหัสด้วยรหัสผ่านง่ายๆ มีความปลอดภัยมากกว่าการเก็บคีย์นั้นไว้ในดิสก์เนื่องจากผู้โจมตีไม่สามารถถอดดิสก์และใส่ลงในคอมพิวเตอร์เครื่องอื่นได้ มันเชื่อมโยงกับฮาร์ดแวร์เฉพาะนั้น
ท้ายที่สุดแล้ว TPM ไม่ใช่สิ่งที่คุณต้องคิดมาก คอมพิวเตอร์ของคุณมี TPM หรือไม่มี - และคอมพิวเตอร์สมัยใหม่โดยทั่วไปจะ เครื่องมือเข้ารหัสเช่น BitLocker ของ Microsoft และ“ การเข้ารหัสอุปกรณ์” จะใช้ TPM โดยอัตโนมัติเพื่อเข้ารหัสไฟล์ของคุณอย่างโปร่งใส ดีกว่าการไม่ใช้การเข้ารหัสใด ๆ เลยและดีกว่าการจัดเก็บคีย์การเข้ารหัสไว้ในดิสก์อย่างที่ EFS (Encrypting File System) ของ Microsoft ทำ
เท่าที่ TPM เทียบกับโซลูชันที่ไม่ใช้ TPM หรือ BitLocker เทียบกับ TrueCrypt และโซลูชันที่คล้ายกันนั่นเป็นหัวข้อที่ซับซ้อนซึ่งเราไม่มีคุณสมบัติเพียงพอที่จะกล่าวถึงที่นี่
เครดิตรูปภาพ: Paolo Attivissimo บน Flickr