TPM a Bitlocker

BitLocker

Principen funkce vychází Microsoft BitLocker z předchozích systémů EFS. Základní funkcí Microsoft BitLocker je úzká integrace operačního systému s vlastním zabezpečovacím prvkem. Oproti předchozímu šifrovacímu systému EFS přináší BitLocker nové funkce a zvýšení bezpečnosti za použití speciálně designovaných prvků hardwarové ochrany. Ve verzi Windows Vista vyžadovala funkce BitLocker spolupráci s modulem důvěryhodné platformy, tzv. TPM čipem. V pozdějších verzích jako je Windows 7 a další je systém ochrany dat BitLocker možno užívat i bez této důvěryhodné platformy, tedy v méně bezpečným režimu používání, ale snadno dostupném širokým masám uživatelů.


TPM

Trusted Platform Modul je bezpečnostní čip založený na průmyslových standardech skupiny TCG a je vestavěn do naprosté většiny počítačů a notebooků. Od roku 2005 dosáhla jeho produkce do stolních a přenosných počítačů jedné miliardy kusů. Vlastní funkce TPM čipu je ve spojení kryptofunkce a bezpečného úložiště nejen pro privátní klíče certifikátů. Ve své podstatě integruje funkci přenosné čipové karty a samotného výpočetního zařízení. Tím eliminuje možnosti její ztráty a dalšího případného zneužití.


BitLocker + TPM = vysoká úroveň bezpečnosti

Základní funkcí bezpečnostního prvku BitLocker je využití principu Encrypted File System (EFS) pro zašifrování obsahu disku za pomocí klíčů PKI. Vlastní generování certifikátu je z pohledu softwarové vrstvy řešeno prostřednictvím MSCAPI, které privátní klíč tohoto certifikátu ponechávají dostupný pro filesystem. I když je vlastní privátní klíč označen jako "neexportovatelný" reálná bezpečnost těchto "neexportovatelných" klíčů se rovná nule. Především díky metodám jako je MSCAPI poisoning (http://blog.gentilkiwi.com/mimikatz). Ponechání EFS certifikátu v nebezpečném file-system prostředí představuje bezpečnostní hrozbu a navíc nesplňuje bezpečnostní požadavky pro standardy FIPS 140-2 konkrétně požadavek bezpečného uložení šifrovacích klíčů. Čip TPM tak představuje jasnou volbu pro uchovávání šifrovacích klíčů s odpovídající úrovní zabezpečení jskou Microsoft navrhl prostřednictvím skupiny TCG: (TPM Specification v1.2/2005)