TPM이란 무엇이며 Windows에서 디스크 암호화를 필요로하는 이유는 무엇입니까?
BitLocker 디스크 암호화에는 일반적으로 Windows에서 TPM이 필요합니다. Microsoft의 EFS 암호화는 절대로 TPM을 사용할 수 없습니다. Windows 10 및 8.1의 새로운 "장치 암호화"기능에는 최신 TPM이 필요하기 때문에 새로운 하드웨어에서만 활성화됩니다. 하지만 TPM이란 무엇입니까??
TPM은 "신뢰할 수있는 플랫폼 모듈"의 약자입니다. 극도로 긴 암호 구문을 요구하지 않고 변조 방지 전체 디스크 암호화를 가능하게하는 컴퓨터 마더 보드상의 칩입니다.
정확히 무엇입니까??
TPM은 컴퓨터 마더 보드의 일부인 칩으로, 기성품 PC를 구입하면 마더 보드에 납땜됩니다. 컴퓨터를 직접 만든 경우 마더 보드가 지원하는 경우 추가 모듈로 구입할 수 있습니다. TPM은 자체 키의 일부를 유지하면서 암호화 키를 생성합니다. 따라서 TPM이있는 컴퓨터에서 BitLocker 암호화 또는 장치 암호화를 사용하는 경우 키의 일부는 디스크가 아닌 TPM 자체에 저장됩니다. 이는 공격자가 컴퓨터에서 드라이브를 제거하고 다른 위치에서 파일에 액세스하려고 시도 할 수 없다는 것을 의미합니다..
이 칩은 하드웨어 기반의 인증 및 변조 감지 기능을 제공하므로 공격자는 칩을 제거하여 다른 마더 보드에 놓거나 마더 보드 자체를 변조하여 암호화를 우회하려고 시도 할 수 없습니다. 적어도 이론적으로는.
암호화, 암호화, 암호화
대부분의 사람들에게 가장 관련있는 유스 케이스는 암호화입니다. 최신 버전의 Windows는 TPM을 투명하게 사용합니다. "장치 암호화"가 활성화 된 상태로 제공되는 최신 PC에서 Microsoft 계정으로 로그인하면 암호화가 사용됩니다. BitLocker 디스크 암호화 사용 및 Windows에서 TPM을 사용하여 암호화 키 저장.
일반적으로 Windows 로그인 암호를 입력하여 암호화 된 드라이브에 액세스 할 수 있지만 그보다 긴 암호화 키로 보호됩니다. 암호화 키는 부분적으로 TPM에 저장되므로 실제로 Windows 로그인 암호와 드라이브가 액세스 할 수있는 컴퓨터가 필요합니다. BitLocker의 "복구 키"가 상당히 오래 걸리는 이유입니다. 드라이브를 다른 컴퓨터로 옮기면 데이터에 액세스하는 데 더 긴 복구 키가 필요합니다.
이것이 이전 Windows EFS 암호화 기술이 그리 좋지 않은 이유 중 하나입니다. TPM에 암호화 키를 저장할 수있는 방법이 없습니다. 즉, 암호화 키를 하드 드라이브에 저장해야하므로 보안이 훨씬 약합니다. BitLocker는 TPM이없는 드라이브에서 작동 할 수 있지만 Microsoft는 TPM이 보안을 위해 얼마나 중요한지 강조하기 위해이 옵션을 숨기려했습니다..
TrueCrypt가 TPM을 피한 이유
물론 TPM 만 디스크 암호화를위한 실행 가능한 옵션이 아닙니다. TrueCrypt의 FAQ (지금은 삭제되었습니다)는 TrueCrypt가 왜 TPM을 사용하지 않았고 사용하지 않았는지 강조하는 데 사용되었습니다. TPM 기반 솔루션은 보안에 대한 잘못된 인식을 제공하는 것으로 판명났습니다. 물론 TrueCrypt의 웹 사이트에는 TrueCrypt 자체가 취약하고 대신 TPM을 사용하는 BitLocker를 사용하는 것이 좋습니다. TrueCrypt 토지에서 약간 혼란 스럽습니다..
그러나이 인수는 VeraCrypt의 웹 사이트에서 계속 사용할 수 있습니다. VeraCrypt는 TrueCrypt의 액티브 포크입니다. VeraCrypt의 FAQ에 따르면 TPM에 의존하는 BitLocker 및 기타 유틸리티는 공격자가 관리자 액세스 권한을 갖거나 컴퓨터에 물리적으로 액세스해야하는 공격을 차단합니다. "TPM이 제공하는 것이 거의 보장되는 유일한 방법은 보안에 대한 잘못된 인식입니다."라고 FAQ는 말합니다. TPM은 기껏해야 "중복".
이것에 약간의 진실이 있습니다. 완벽한 보안은 절대 존재하지 않습니다. TPM은 논란의 여지가없는 편의 기능입니다. 암호화 키를 하드웨어에 저장하면 컴퓨터가 자동으로 드라이브의 암호를 해독하거나 간단한 암호로 해독 할 수 있습니다. 공격자가 단순히 디스크를 제거하고 다른 컴퓨터에 삽입 할 수 없기 때문에 단순히 해당 키를 디스크에 저장하는 것보다 안전합니다. 특정 하드웨어에 묶여 있습니다..
궁극적으로 TPM은 많이 생각해야하는 것이 아닙니다. 귀하의 컴퓨터는 TPM을 가지고 있거나 그렇지 않습니다 - 그리고 현대 컴퓨터는 일반적으로합니다. Microsoft의 BitLocker 및 "장치 암호화"와 같은 암호화 도구는 자동으로 TPM을 사용하여 파일을 투명하게 암호화합니다. 그것은 전혀 암호화를 사용하지 않는 것보다 낫습니다. Microsoft의 EFS (Encrypting File System)는 암호화 키를 단순히 디스크에 저장하는 것보다 낫습니다..
TPM과 비 TPM 기반 솔루션, BitLocker 대 TrueCrypt 및 이와 유사한 솔루션에 이르기까지 여기에 언급 할 수있는 복잡한 주제가 있습니다..
이미지 크레디트 : Flickr의 Paolo Attivissimo