ホームページ » の仕方 » TPMとは何ですか。また、Windowsにディスク暗号化のためのものが必要なのはなぜですか?

    TPMとは何ですか。また、Windowsにディスク暗号化のためのものが必要なのはなぜですか?

    BitLockerディスク暗号化には通常、Windows上のTPMが必要です。 MicrosoftのEFS暗号化ではTPMを使用できません。 Windows 10および8.1の新しい「デバイス暗号化」機能にも最新のTPMが必要です。そのため、新しいハードウェアでのみ有効になります。しかし、TPMとは何ですか?

    TPMは「Trusted Platform Module」の略です。非常に長いパスフレーズを必要とせずに耐タンパーフルディスク暗号化を可能にするのを助けるあなたのコンピュータのマザーボード上のチップです。.

    正確には?

    TPMはあなたのコンピュータのマザーボードの一部であるチップです - あなたが市販のPCを購入した場合、それはマザーボードにはんだ付けされています。あなたがあなた自身のコンピュータを作ったなら、あなたのマザーボードがそれをサポートするならば、あなたはアドオンモジュールとしてそれを買うことができます。 TPMは暗号化キーを生成し、キーの一部をそれ自体に保持します。そのため、TPMを搭載したコンピューターでBitLocker暗号化またはデバイス暗号化を使用している場合、キーの一部はディスクに保存されるのではなく、TPM自体に保存されます。これは、攻撃者がコンピュータからドライブを取り外して他の場所にあるファイルにアクセスしようとすることができないことを意味します。.

    このチップはハードウェアベースの認証と改ざん検出を提供するため、攻撃者はチップを取り外して別のマザーボードに配置したり、マザーボード自体を改ざんして暗号化を回避することはできません - 少なくとも理論上は.

    暗号化、暗号化、暗号化

    ほとんどの人にとって、ここで最も関連性のあるユースケースは暗号化です。最近のバージョンのWindowsは、TPMを透過的に使用しています。 「デバイス暗号化」が有効になっている最新のPCにMicrosoftアカウントでサインインすると、暗号化が使用されます。 BitLockerディスク暗号化を有効にすると、WindowsはTPMを使用して暗号化キーを保存します.

    通常、Windowsのログインパスワードを入力して暗号化されたドライブにアクセスするだけですが、それよりも長い暗号化キーで保護されています。その暗号化キーはTPMに部分的に格納されているので、実際にはWindowsログインパスワードとドライブがアクセスするのと同じコンピュータが必要です。そのため、BitLockerの「回復キー」がかなり長くなります。ドライブを別のコンピュータに移動する場合、データにアクセスするには、その長い回復キーが必要です。.

    これが、古いWindows EFS暗号化テクノロジがそれほど良くない理由の1つです。暗号化キーをTPMに格納する方法はありません。つまり、暗号化キーをハードドライブに保存する必要があり、安全性が大幅に低下します。 BitLockerはTPMがなくてもドライブで機能することができますが、MicrosoftはTPMがセキュリティにとってどれほど重要であるかを強調するためにこのオプションを隠そうとはしませんでした。.

    TrueCryptがTPMを敬遠した理由

    もちろん、ディスク暗号化にTPMが唯一の有効な選択肢ではありません。 TrueCryptのFAQ - 現在は廃止 - はTrueCryptがTPMを使用しなかった理由と使用しない理由を強調していました。それは、TPMベースのソリューションを誤った安心感を提供するものとして非難した。もちろん、TrueCryptのWebサイトにはTrueCrypt自体が脆弱であると記載されており、代わりにBitLocker(TPMを使用する)を使用することをお勧めします。そのため、TrueCryptの土地では少し混乱しています。.

    しかしながら、この議論はVeraCryptのウェブサイトでまだ利用可能です。 VeraCryptはTrueCryptのアクティブフォークです。 VeraCryptのFAQは、TPMに頼っているBitLockerや他のユーティリティが、攻撃者に管理者アクセスを許可したり、コンピュータへの物理的アクセスを要求したりする攻撃を防ぐために使用すると主張しています。 「TPMが提供することがほぼ保証されている唯一のことは、誤った安心感です」とFAQは言います。 TPMはせいぜい「冗長」であると言います.

    これには少し真実があります。セキュリティは完全に絶対的なものではありません。 TPMは、おそらくもっと便利な機能です。ハードウェアに暗号化キーを保存すると、コンピュータは自動的にドライブを復号化したり、単純なパスワードでドライブを復号化したりできます。攻撃者は単純にディスクを取り出して別のコンピュータに挿入することはできないため、単純にそのキーをディスクに格納するよりも安全です。それはその特定のハードウェアに関係しています.


    結局のところ、TPMはあなたが多くについて考える必要があるものではありません。あなたのコンピュータはTPMを持っているか持っていない - そして現代のコンピュータは一般的に持っている。 MicrosoftのBitLockerや「デバイス暗号化」などの暗号化ツールは、自動的にTPMを使用してファイルを透過的に暗号化します。 MicrosoftのEFS(暗号化ファイルシステム)が行っているように、暗号化をまったく使用しないよりも優れています。暗号化キーを単にディスクに格納するよりも優れています。.

    TPMと非TPMベースのソリューション、またはBitLockerとTrueCryptなどのソリューションの間では、これは複雑なトピックであり、ここでは対処できません。.

    Image Credit:FlickrのPaolo Attivissimo