Startpagina » hoe » Wat is een TPM en waarom heeft Windows Need One nodig voor schijfversleuteling?

    Wat is een TPM en waarom heeft Windows Need One nodig voor schijfversleuteling?

    BitLocker-schijfversleuteling vereist normaal een TPM op Windows. De EFS-codering van Microsoft kan nooit een TPM gebruiken. De nieuwe "apparaatencryptie" -functie op Windows 10 en 8.1 vereist ook een moderne TPM, daarom is deze alleen op nieuwe hardware ingeschakeld. Maar wat is een TPM?

    TPM staat voor "Trusted Platform Module". Het is een chip op het moederbord van uw computer die helpt om fraudebestendige volledige schijfversleuteling mogelijk te maken zonder extreem lange wachtzinnen te vereisen.

    Wat is het precies?

    De TPM is een chip die deel uitmaakt van het moederbord van uw computer - als u een standaard-pc hebt gekocht, is deze op het moederbord gesoldeerd. Als u uw eigen computer hebt gebouwd, kunt u er een kopen als een add-onmodule als uw moederbord dit ondersteunt. De TPM genereert coderingssleutels en bewaart een deel van de sleutel voor zichzelf. Dus als u BitLocker-codering of apparaatencryptie gebruikt op een computer met de TPM, wordt een deel van de sleutel opgeslagen in de TPM zelf, in plaats van alleen op de schijf. Dit betekent dat een aanvaller de schijf niet zomaar van de computer kan verwijderen en elders toegang tot de bestanden kan krijgen.

    Deze chip biedt op hardware gebaseerde authenticatie en sabotagedetectie, dus een aanvaller kan niet proberen de chip te verwijderen en op een ander moederbord te plaatsen, of knoeien met het moederbord zelf om te proberen de codering te omzeilen - tenminste in theorie.

    Versleuteling, versleuteling, versleuteling

    Voor de meeste mensen is de meest relevante use case hier encryptie. Moderne versies van Windows gebruiken de TPM op transparante wijze. U hoeft alleen in te loggen met een Microsoft-account op een moderne pc waarop 'Apparaatcodering' is ingeschakeld en codering gebruikt. Schakel BitLocker-schijfversleuteling in en Windows gebruikt een TPM om de coderingssleutel op te slaan.

    Normaal gesproken krijgt u gewoon toegang tot een gecodeerd station door uw Windows-inlogwachtwoord in te voeren, maar het is beveiligd met een langere coderingssleutel dan dat. Die coderingssleutel is gedeeltelijk opgeslagen in de TPM, dus je hebt eigenlijk je Windows-inlogwachtwoord nodig en dezelfde computer waar de schijf vandaan komt om toegang te krijgen. Daarom is de "herstelsleutel" voor BitLocker behoorlijk wat langer - je hebt die langere herstelsleutel nodig om toegang te krijgen tot je gegevens als je de schijf naar een andere computer verplaatst.

    Dit is een reden waarom de oudere Windows EFS-coderingstechnologie niet zo goed is. Het heeft geen mogelijkheid om coderingssleutels op te slaan in een TPM. Dat betekent dat het zijn coderingssleutels op de harde schijf moet opslaan en het veel minder veilig maakt. BitLocker kan werken op schijven zonder TPM's, maar Microsoft heeft zijn best gedaan om deze optie te verbergen om te benadrukken hoe belangrijk een TPM is voor beveiliging.

    Waarom TrueCrypt TBM's heeft gemeden

    Natuurlijk is een TPM niet de enige werkbare optie voor schijfversleuteling. De veelgestelde vragen van TrueCrypt - nu verwijderd - werden gebruikt om te benadrukken waarom TrueCrypt geen TPM heeft gebruikt en nooit zou gebruiken. Het sloeg op TPM gebaseerde oplossingen als een vals gevoel van veiligheid. Natuurlijk stelt TrueCrypt's website nu dat TrueCrypt zelf kwetsbaar is en beveelt het aan om BitLocker - die TPM's gebruikt - te gebruiken. Het is dus een beetje een verwarrende puinhoop in het TrueCrypt-land.

    Dit argument is echter nog steeds beschikbaar op de website van VeraCrypt. VeraCrypt is een actieve vork van TrueCrypt. De FAQ van VeraCrypt benadrukt dat BitLocker en andere hulpprogramma's die afhankelijk zijn van TPM deze gebruiken om te voorkomen dat aanvallen waarbij een aanvaller beheerderstoegang nodig heeft of fysieke toegang hebben tot een computer, worden voorkomen. "Het enige dat TBM bijna gegarandeerd biedt, is een vals gevoel van veiligheid", zegt de FAQ. Er staat dat een TBM op zijn best "overbodig" is.

    Hier zit een beetje waarheid in. Geen enkele beveiliging is volkomen absoluut. Een TPM is aantoonbaar meer een gemaksfunctie. Door de coderingssleutels in hardware op te slaan, kan een computer de schijf automatisch decoderen of decoderen met een eenvoudig wachtwoord. Het is veiliger dan alleen het opslaan van die sleutel op de schijf, omdat een aanvaller de schijf niet eenvoudig kan verwijderen en op een andere computer kan invoegen. Het is gekoppeld aan die specifieke hardware.


    Uiteindelijk is een TPM niet iets waar je veel over na moet denken. Uw computer heeft ofwel een TPM of niet - en moderne computers zullen dat over het algemeen doen. Versleutelingshulpmiddelen zoals BitLocker van Microsoft en "apparaatversleuteling" gebruiken automatisch een TPM om uw bestanden op transparante wijze te versleutelen. Dat is beter dan helemaal geen encryptie gebruiken, en het is beter dan simpelweg het opslaan van de coderingssleutels op de schijf, zoals Microsoft's EFS (Encrypting File System).

    Wat betreft TPM versus niet op TPM gebaseerde oplossingen, of BitLocker versus TrueCrypt en soortgelijke oplossingen - nou, dat is een gecompliceerd onderwerp, we zijn niet echt gekwalificeerd om hier iets aan te doen.

    Image Credit: Paolo Attivissimo op Flickr