Què és un TPM i per què el Windows en necessita un per al xifratge de disc?

El xifratge de disc BitLocker normalment requereix un TPM a Windows. El xifratge EFS de Microsoft mai no pot utilitzar un TPM. La nova funció de "xifratge de dispositius" a Windows 10 i 8.1 també requereix un TPM modern, motiu pel qual només està habilitat en maquinari nou. Però, què és un TPM?

TPM significa "Trusted Platform Module". És un xip de la placa base de l’ordinador que us permet activar el xifratge de disc complet resistent a la manipulació sense necessitar frases de contrasenya extremadament llargues.

Què és, exactament?

RELACIONATS:Com configurar el xifratge BitLocker al Windows

El TPM és un xip que forma part de la placa base del vostre ordinador; si heu comprat un ordinador de venda lliure, es soldarà a la placa base. Si heu creat el vostre propi ordinador, en podeu comprar un com a mòdul complement si la vostra placa base ho admet. El TPM genera claus de xifratge, mantenint una part de la clau per si mateixa. Per tant, si utilitzeu xifratge BitLocker o xifratge de dispositius en un ordinador amb el TPM, part de la clau s’emmagatzema al mateix TPM, en lloc de només al disc. Això significa que un atacant no pot treure la unitat de l'ordinador i intentar accedir als seus fitxers en qualsevol altre lloc.

Aquest xip proporciona autenticació basada en maquinari i detecció de manipulacions, de manera que un atacant no pot intentar eliminar el xip i col·locar-lo en una altra placa base, ni manipular la pròpia placa base per intentar evitar el xifratge, almenys en teoria.

Xifratge, xifratge, xifratge

Per a la majoria de la gent, el cas d’ús més rellevant aquí serà el xifratge. Les versions modernes de Windows utilitzen el TPM de forma transparent. Només heu d’iniciar la sessió amb un compte de Microsoft en un PC modern que s’inclou amb el “xifratge del dispositiu” activat i que utilitzarà el xifratge. Activeu el xifratge de disc BitLocker i Windows utilitzarà un TPM per emmagatzemar la clau de xifratge.

Normalment, només teniu accés a una unitat xifrada escrivint la contrasenya d’inici de sessió de Windows, però està protegida amb una clau de xifratge més llarga que aquesta. Aquesta clau de xifratge s’emmagatzema parcialment al TPM, de manera que necessiteu la vostra contrasenya d’inici de sessió de Windows i el mateix ordinador de la unitat per accedir-hi. Per això, la "clau de recuperació" per a BitLocker és bastant més llarga: necessiteu aquesta clau de recuperació més llarga per accedir a les vostres dades si moveu la unitat a un altre equip.

Aquesta és una de les raons per les quals la tecnologia de xifratge Windows EFS més antiga no és tan bona. No té manera d'emmagatzemar les claus de xifratge en un TPM. Això significa que ha d'emmagatzemar les seves claus de xifratge al disc dur i que el fa molt menys segur. BitLocker pot funcionar en unitats sense TPM, però Microsoft va fer tot el possible per amagar aquesta opció per emfatitzar la importància que té un TPM per a la seguretat.

Per què TrueCrypt ha evitat els TPM

RELACIONATS:3 alternatives al TrueCrypt ja desaparegut per a les vostres necessitats de xifratge

Per descomptat, un TPM no és l’única opció viable per al xifratge de disc. Les preguntes més freqüents de TrueCrypt (ara eliminades) s’utilitzaven per subratllar per què TrueCrypt no l’utilitzava i no utilitzaria mai un TPM. Va criticar les solucions basades en TPM que proporcionaven una falsa sensació de seguretat. Per descomptat, el lloc web de TrueCrypt ara indica que TrueCrypt és vulnerable i us recomana que utilitzeu BitLocker (que utilitza TPM). Per tant, és un embolic una mica confús a la terra de TrueCrypt.

Tanmateix, aquest argument encara està disponible al lloc web de VeraCrypt. VeraCrypt és una forquilla activa de TrueCrypt. Les preguntes més freqüents de VeraCrypt insisteixen que BitLocker i altres utilitats que depenen de TPM l’utilitzen per evitar atacs que requereixen que un atacant tingui accés d’administrador o que tingui accés físic a un ordinador. "L'únic que gairebé es garanteix que TPM proporciona és una falsa sensació de seguretat", diu les PMF. Diu que un TPM és, en el millor dels casos, "redundant".

Hi ha una mica de veritat en això. Cap seguretat és completament absoluta. Sens dubte, un TPM és més una característica de conveniència. Emmagatzemar les claus de xifratge al maquinari permet a un ordinador desxifrar automàticament la unitat o desxifrar-la amb una simple contrasenya. És més segur que simplement emmagatzemar aquesta clau al disc, ja que un atacant no pot eliminar el disc i inserir-lo en un altre ordinador. Està lligat a aquest maquinari específic.

En definitiva, un TPM no és una cosa que hagi de pensar molt. El vostre equip té un TPM o no, i en general els ordinadors moderns. Les eines de xifratge com el BitLocker de Microsoft i el "xifratge de dispositius" utilitzen automàticament un TPM per xifrar de manera transparent els vostres fitxers. És millor que no fer servir cap xifratge, i és millor que simplement emmagatzemar les claus de xifratge al disc, tal com fa EFS (Sistema de fitxers de xifratge) de Microsoft.

Quant a solucions basades en TPM o no basades en TPM, o BitLocker vs. TrueCrypt i solucions similars, bé, aquest és un tema complicat que no estem realment capacitats per tractar aquí.

Crèdit de la imatge: Paolo Attivissimo a Flickr


$config[zx-auto] not found$config[zx-overlay] not found