什麼是tpm？為什麼windows需要tpm進行磁碟加密？

BitLocker磁碟加密通常需要Windows上的TPM。Microsoft的EFS加密永遠不能使用TPM。Windows10和8.1上新的“裝置加密”功能還需要一個現代化的TPM，這就是為什麼它只在新硬體上啟用的原因。但是什麼是TPM？...

BitLocker磁碟加密通常需要Windows上的TPM。Microsoft的EFS加密永遠不能使用TPM。Windows10和8.1上新的“裝置加密”功能還需要一個現代化的TPM，這就是為什麼它只在新硬體上啟用的原因。但是什麼是TPM？

TPM代表“可信平臺模組”。它是計算機主機板上的一個晶片，可以幫助實現防篡改的全磁碟加密，而不需要非常長的密碼。

什麼是是的，沒錯(it, exactly)？

相關：如何在Windows上設定BitLocker加密

TPM是一個晶片，它是你電腦主機板的一部分——如果你買了一臺現成的電腦，它就會焊接在主機板上。如果你自己造了一臺電腦，如果你的主機板支援的話，你可以買一臺作為附加模組。TPM生成加密金鑰，將金鑰的一部分保留給自己。因此，如果您在帶有TPM的計算機上使用BitLocker加密或裝置加密，則部分金鑰儲存在TPM本身中，而不僅僅儲存在磁碟上。這意味著攻擊者不能僅從計算機中刪除驅動器並嘗試在其他地方訪問其檔案。

該晶片提供基於硬體的身份驗證和篡改檢測，因此攻擊者不能試圖移除該晶片並將其放置在另一個主機板上，也不能篡改主機板本身以試圖繞過加密——至少在理論上是這樣。

加密，加密，加密

對於大多數人來說，這裡最相關的用例是加密。現代版本的Windows透明地使用TPM。只需在啟用“裝置加密”的現代PC上使用Microsoft帳戶登入，它將使用加密。啟用BitLocker磁碟加密，Windows將使用TPM儲存加密金鑰。

你通常只需要輸入你的Windows登入密碼就可以訪問加密的驅動器，但是它的加密金鑰比這個要長。加密金鑰部分儲存在TPM中，因此您實際上需要Windows登入密碼和驅動器所在的計算機才能訪問。這就是為什麼BitLocker的“恢復金鑰”要長得多的原因—如果將驅動器移動到另一臺計算機，則需要更長的恢復金鑰才能訪問資料。

這就是為什麼舊的Windows EFS加密技術沒有那麼好的原因之一。它無法在TPM中儲存加密金鑰。這意味著它必須將加密金鑰儲存在硬碟上，從而降低了安全性。BitLocker可以在沒有TPM的驅動器上執行，但微軟特意隱藏了這個選項，以強調TPM對安全性的重要性。

為什麼truecrypt迴避tpms

相關：為滿足您的加密需求，有3種TrueCrypt替代方案

當然，TPM並不是唯一可行的磁碟加密選項。TrueCrypt的常見問題-現在被刪除-用來強調為什麼TrueCrypt沒有使用，也永遠不會使用TPM。它抨擊基於TPM的解決方案提供了錯誤的安全感。當然，TrueCrypt的網站現在宣告TrueCrypt本身是易受攻擊的，並建議您使用BitLocker—它使用TPMs—代替。所以在TrueCrypt land有點混亂。

然而，VeraCrypt的網站上仍然可以找到這個論點。VeraCrypt是TrueCrypt的一個活動分支。VeraCrypt的FAQ堅持認為，BitLocker和其他依賴於TPM的實用程式使用它來防止需要攻擊者具有管理員訪問許可權或物理訪問計算機的攻擊。“TPM幾乎可以保證提供的唯一一件事就是錯誤的安全感，”常見問題解答說。它說TPM充其量是“冗餘的”。

這有點道理。沒有安全是絕對的。TPM可以說是更方便的特性。將加密金鑰儲存在硬體中可以讓計算機自動解密驅動器，或者用簡單的密碼解密。它比簡單地將金鑰儲存在磁碟上更安全，因為攻擊者不能簡單地取出磁碟並將其**另一臺計算機。它與特定的硬體有關。

歸根結底，TPM並不是你需要考慮的事情。你的電腦要麼有TPM要麼沒有—現代電腦一般都會有。像微軟的BitLocker和“裝置加密”這樣的加密工具會自動使用TPM對檔案進行透明加密。這比完全不使用任何加密要好，也比像微軟的EFS（Encrypting File System）那樣簡單地將加密金鑰儲存在磁碟上要好。

至於TPM與非基於TPM的解決方案，或者BitLocker與TrueCrypt以及類似的解決方案——好吧，這是一個複雜的話題，我們在這裡沒有資格討論。

圖片來源：保羅·阿提維西莫