O que é um TPM e por que o Windows precisa de um para criptografia de disco?

Índice:

O que é um TPM e por que o Windows precisa de um para criptografia de disco?
O que é um TPM e por que o Windows precisa de um para criptografia de disco?

Vídeo: O que é um TPM e por que o Windows precisa de um para criptografia de disco?

Vídeo: O que é um TPM e por que o Windows precisa de um para criptografia de disco?
Vídeo: Como ativar e gerenciar sua privacidade na Amazon Alexa - YouTube 2024, Marcha
Anonim
A criptografia de disco do BitLocker normalmente requer um TPM no Windows. A criptografia EFS da Microsoft nunca pode usar um TPM. O novo recurso de "criptografia de dispositivo" no Windows 10 e 8.1 também requer um TPM moderno, e é por isso que ele é ativado apenas em um novo hardware. Mas o que é um TPM?
A criptografia de disco do BitLocker normalmente requer um TPM no Windows. A criptografia EFS da Microsoft nunca pode usar um TPM. O novo recurso de "criptografia de dispositivo" no Windows 10 e 8.1 também requer um TPM moderno, e é por isso que ele é ativado apenas em um novo hardware. Mas o que é um TPM?

TPM significa “Trusted Platform Module”. É um chip na placa-mãe de seu computador que ajuda a ativar a criptografia de disco completo inviolável sem exigir senhas extremamente longas.

O que é isso exatamente?

O TPM é um chip que faz parte da placa-mãe do seu computador. Se você comprou um PC pronto para uso, ele está soldado na placa-mãe. Se você construiu seu próprio computador, você pode comprar um como módulo adicional se a sua placa-mãe o suportar. O TPM gera chaves de criptografia, mantendo parte da chave para si mesmo. Portanto, se você estiver usando a criptografia ou a criptografia de dispositivo do BitLocker em um computador com o TPM, parte da chave será armazenada no próprio TPM, em vez de apenas no disco. Isso significa que um invasor não pode simplesmente remover a unidade do computador e tentar acessar seus arquivos em outro lugar.

Este chip fornece autenticação baseada em hardware e detecção de adulteração, portanto, um invasor não pode tentar remover o chip e colocá-lo em outra placa-mãe, ou adulterar a própria placa-mãe para tentar ignorar a criptografia - pelo menos em teoria.

Criptografia, Criptografia, Criptografia

Para a maioria das pessoas, o caso de uso mais relevante aqui será a criptografia. Versões modernas do Windows usam o TPM de forma transparente. Basta fazer login com uma conta da Microsoft em um PC moderno que vem com a "criptografia de dispositivo" ativada e usar criptografia. Habilite a criptografia de disco do BitLocker e o Windows usará um TPM para armazenar a chave de criptografia.

Normalmente, você só obtém acesso a uma unidade criptografada digitando sua senha de login do Windows, mas ela é protegida por uma chave de criptografia mais longa que essa. Essa chave de criptografia é parcialmente armazenada no TPM, portanto, você realmente precisa da sua senha de login do Windows e do mesmo computador da unidade para obter acesso. É por isso que a "chave de recuperação" do BitLocker é um pouco mais longa. Você precisa dessa chave de recuperação mais longa para acessar seus dados, se mover a unidade para outro computador.

Esse é um dos motivos pelos quais a tecnologia de criptografia mais antiga do Windows EFS não é tão boa. Não tem como armazenar chaves de criptografia em um TPM. Isso significa que ele precisa armazenar suas chaves de criptografia no disco rígido e torná-lo muito menos seguro. O BitLocker pode funcionar em unidades sem TPMs, mas a Microsoft se esforçou para ocultar essa opção para enfatizar a importância de um TPM para a segurança.

Image
Image

Por que TrueCrypt rejeitou os TPMs?

Naturalmente, um TPM não é a única opção viável para criptografia de disco. As perguntas frequentes do TrueCrypt, agora retiradas, costumavam enfatizar por que o TrueCrypt não usava e nunca usaria um TPM. Ele criticou as soluções baseadas em TPM como fornecendo uma falsa sensação de segurança. É claro que o site da TrueCrypt agora afirma que o próprio TrueCrypt é vulnerável e recomenda usar o BitLocker - que usa TPMs - em seu lugar. Então é uma bagunça confusa na terra TrueCrypt.

Este argumento ainda está disponível no site da VeraCrypt, no entanto. VeraCrypt é uma bifurcação ativa de TrueCrypt. A seção de perguntas frequentes do VeraCrypt insiste que o BitLocker e outros utilitários que dependem do TPM o utilizam para evitar ataques que exigem que um invasor tenha acesso de administrador ou tenha acesso físico a um computador. “A única coisa que o TPM é praticamente garantido é uma falsa sensação de segurança”, diz o FAQ. Ele diz que um TPM é, na melhor das hipóteses, "redundante".

Há um pouco de verdade nisso. Nenhuma segurança é completamente absoluta. Um TPM é possivelmente mais um recurso de conveniência. Armazenar as chaves de criptografia no hardware permite que um computador descriptografe automaticamente a unidade ou decodifique-a com uma senha simples. É mais seguro do que simplesmente armazenar essa chave no disco, pois um invasor não pode simplesmente remover o disco e inseri-lo em outro computador. Está ligado a esse hardware específico.

Por fim, um TPM não é algo em que você precisa pensar muito. Seu computador tem um TPM ou não - e os computadores modernos geralmente o fazem. Ferramentas de criptografia como o BitLocker da Microsoft e a "criptografia de dispositivo" usam automaticamente um TPM para criptografar seus arquivos de maneira transparente. Isso é melhor do que não usar nenhuma criptografia, e é melhor do que simplesmente armazenar as chaves de criptografia no disco, como faz o EFS (Sistema de arquivos com criptografia) da Microsoft.

No que diz respeito às soluções baseadas em TPM e não em TPM, ou BitLocker vs. TrueCrypt e soluções semelhantes - bem, esse é um assunto complicado que não estamos realmente qualificados para abordar aqui.

Recomendado: