TPM là gì và tại sao Windows cần một mã hóa đĩa?
Mã hóa đĩa BitLocker thường yêu cầu TPM trên Windows. Mã hóa EFS của Microsoft không bao giờ có thể sử dụng TPM. Tính năng mã hóa thiết bị mới của Cameron trên Windows 10 và 8.1 cũng yêu cầu TPM hiện đại, đó là lý do tại sao nó chỉ được kích hoạt trên phần cứng mới. Nhưng TPM là gì?
TPM là viết tắt của mô-đun nền tảng đáng tin cậy. Đó là một con chip trên bo mạch chủ của máy tính của bạn, giúp kích hoạt mã hóa toàn bộ đĩa chống giả mà không yêu cầu cụm mật khẩu cực dài.
Chính xác nó là cái gì?
TPM là một con chip là một phần của bo mạch chủ máy tính của bạn - nếu bạn mua một máy tính có sẵn, nó sẽ được hàn vào bo mạch chủ. Nếu bạn xây dựng máy tính của riêng mình, bạn có thể mua một cái như một mô-đun bổ trợ nếu bo mạch chủ của bạn hỗ trợ nó. TPM tạo khóa mã hóa, giữ một phần khóa cho chính nó. Vì vậy, nếu bạn đang sử dụng mã hóa BitLocker hoặc mã hóa thiết bị trên máy tính có TPM, một phần của khóa được lưu trữ trong chính TPM, thay vì chỉ trên đĩa. Điều này có nghĩa là kẻ tấn công không thể gỡ ổ đĩa khỏi máy tính và cố gắng truy cập các tệp của nó ở nơi khác.
Con chip này cung cấp xác thực dựa trên phần cứng và phát hiện giả mạo, vì vậy kẻ tấn công không thể cố gắng loại bỏ chip và đặt nó trên một bo mạch chủ khác hoặc giả mạo chính bo mạch chủ để cố gắng vượt qua mã hóa - ít nhất là trên lý thuyết.
Mã hóa, mã hóa, mã hóa
Đối với hầu hết mọi người, trường hợp sử dụng phù hợp nhất ở đây sẽ là mã hóa. Các phiên bản hiện đại của Windows sử dụng TPM trong suốt. Chỉ cần đăng nhập bằng tài khoản Microsoft trên PC hiện đại có cài đặt mã hóa thiết bị của chế độ trực tuyến và nó sẽ sử dụng mã hóa. Kích hoạt mã hóa đĩa BitLocker và Windows sẽ sử dụng TPM để lưu trữ khóa mã hóa.
Bạn thường chỉ có quyền truy cập vào ổ đĩa được mã hóa bằng cách nhập mật khẩu đăng nhập Windows của mình, nhưng nó được bảo vệ bằng khóa mã hóa dài hơn thế. Khóa mã hóa đó được lưu trữ một phần trong TPM, vì vậy bạn thực sự cần mật khẩu đăng nhập Windows của mình và cùng một máy tính mà ổ đĩa được truy cập. Đó là lý do tại sao khóa khôi phục của Hồi giáo, dành cho BitLocker dài hơn một chút - bạn cần khóa khôi phục dài hơn đó để truy cập dữ liệu của mình nếu bạn di chuyển ổ đĩa sang máy tính khác.
Đây là một lý do tại sao công nghệ mã hóa Windows EFS cũ không tốt bằng. Nó không có cách nào để lưu trữ khóa mã hóa trong TPM. Điều đó có nghĩa là nó phải lưu trữ các khóa mã hóa của nó trên ổ cứng và làm cho nó kém an toàn hơn nhiều. BitLocker có thể hoạt động trên các ổ đĩa mà không cần TPM, nhưng Microsoft đã cố gắng che giấu tùy chọn này để nhấn mạnh tầm quan trọng của TPM đối với bảo mật.
Tại sao TrueCrypt bị hủy bỏ TPM
Tất nhiên, TPM không phải là tùy chọn khả thi duy nhất để mã hóa đĩa. Câu hỏi thường gặp của TrueCrypt - hiện đã bị gỡ xuống - được sử dụng để nhấn mạnh lý do tại sao TrueCrypt không sử dụng và sẽ không bao giờ sử dụng TPM. Nó đánh sập các giải pháp dựa trên TPM là cung cấp một cảm giác an toàn sai lầm. Tất nhiên, trang web của TrueCrypt hiện tuyên bố rằng chính TrueCrypt dễ bị tấn công và khuyên bạn nên sử dụng BitLocker - sử dụng TPM - thay vào đó. Vì vậy, đó là một chút hỗn độn khó hiểu trong vùng đất TrueCrypt.
Tuy nhiên, đối số này vẫn có sẵn trên trang web của VeraCrypt. VeraCrypt là một nhánh hoạt động của TrueCrypt. Câu hỏi thường gặp của VeraCrypt khẳng định BitLocker và các tiện ích khác dựa trên TPM sử dụng nó để ngăn chặn các cuộc tấn công yêu cầu kẻ tấn công có quyền truy cập của quản trị viên hoặc có quyền truy cập vật lý vào máy tính. Điều duy nhất mà TPM gần như được đảm bảo để cung cấp là cảm giác an toàn sai lầm, ông nói câu hỏi thường gặp. Nó nói rằng một TPM là, tốt nhất, là dự phòng.
Có một chút sự thật về điều này. Không có bảo mật là hoàn toàn tuyệt đối. Một TPM được cho là nhiều hơn một tính năng tiện lợi. Lưu trữ các khóa mã hóa trong phần cứng cho phép máy tính tự động giải mã ổ đĩa hoặc giải mã nó bằng mật khẩu đơn giản. Nó an toàn hơn đơn giản là lưu trữ khóa đó trên đĩa, vì kẻ tấn công không thể gỡ đĩa ra và đưa nó vào máy tính khác. Nó gắn liền với phần cứng cụ thể đó.
Cuối cùng, một TPM không phải là điều bạn phải suy nghĩ nhiều. Máy tính của bạn có TPM hoặc không - và các máy tính hiện đại thường sẽ như vậy. Các công cụ mã hóa như BitLocker và mã hóa thiết bị của Microsoft, Tự động sử dụng TPM để mã hóa trong suốt các tệp của bạn. Điều đó tốt hơn là không sử dụng bất kỳ mã hóa nào cả, và tốt hơn là chỉ lưu trữ các khóa mã hóa trên đĩa, như EFS (Hệ thống tệp mã hóa) của Microsoft.
Theo như các giải pháp TPM so với các giải pháp không dựa trên TPM, hoặc BitLocker so với TrueCrypt và các giải pháp tương tự - tốt, đó là một chủ đề phức tạp mà chúng tôi không thực sự đủ điều kiện để giải quyết ở đây.
Tín dụng hình ảnh: Paolo Attivissimo trên Flickr