TPM이란 무엇이며 Windows에서 디스크 암호화를 위해 TPM이 필요한 이유는 무엇입니까?
BitLocker 디스크 암호화에는 일반적으로 Windows에서 TPM이 필요합니다. Microsoft의 EFS 암호화는 TPM을 사용할 수 없습니다. Windows 10 및 8.1의 새로운 "장치 암호화"기능에도 최신 TPM이 필요하므로 새 하드웨어에서만 활성화됩니다. 그러나 TPM이란 무엇입니까?
TPM은 "신뢰할 수있는 플랫폼 모듈"을 의미합니다. 매우 긴 암호를 요구하지 않고 변조 방지 전체 디스크 암호화를 지원하는 컴퓨터 마더 보드의 칩입니다.
정확히 무엇입니까?
관련 : Windows에서 BitLocker 암호화를 설정하는 방법
TPM은 컴퓨터 마더 보드의 일부인 칩입니다. 기성품 PC를 구입 한 경우 마더 보드에 납땜되어 있습니다. 자체 컴퓨터를 구축 한 경우 마더 보드에서 지원하는 경우 추가 모듈로 구입할 수 있습니다. TPM은 암호화 키를 생성하여 키의 일부를 자체적으로 유지합니다. 따라서 TPM이있는 컴퓨터에서 BitLocker 암호화 또는 장치 암호화를 사용하는 경우 키의 일부가 디스크가 아닌 TPM 자체에 저장됩니다. 이는 공격자가 컴퓨터에서 드라이브를 제거하고 다른 곳에서 해당 파일에 액세스하려고 시도 할 수 없음을 의미합니다.
이 칩은 하드웨어 기반 인증 및 변조 감지 기능을 제공하므로 공격자는 적어도 이론적으로는 칩을 제거하여 다른 마더 보드에 배치하거나 마더 보드 자체를 변조하여 암호화를 우회 할 수 없습니다.
암호화, 암호화, 암호화
대부분의 사람들에게 가장 적합한 사용 사례는 암호화입니다. 최신 버전의 Windows는 TPM을 투명하게 사용합니다. "장치 암호화"가 활성화 된 최신 PC에서 Microsoft 계정으로 로그인하면 암호화가 사용됩니다. BitLocker 디스크 암호화를 활성화하면 Windows는 TPM을 사용하여 암호화 키를 저장합니다.
일반적으로 Windows 로그인 암호를 입력하여 암호화 된 드라이브에 액세스 할 수 있지만 그보다 긴 암호화 키로 보호됩니다. 해당 암호화 키는 TPM에 부분적으로 저장되므로 실제로 Windows 로그인 암호와 드라이브가 액세스 할 수있는 동일한 컴퓨터가 필요합니다. 이것이 BitLocker의 "복구 키"가 훨씬 더 긴 이유입니다. 드라이브를 다른 컴퓨터로 이동하는 경우 데이터에 액세스하려면 더 긴 복구 키가 필요합니다.
이것이 이전 Windows EFS 암호화 기술이 좋지 않은 이유 중 하나입니다. TPM에 암호화 키를 저장할 방법이 없습니다. 즉, 암호화 키를 하드 드라이브에 저장해야하며 보안 수준이 훨씬 낮아집니다. BitLocker는 TPM이없는 드라이브에서도 작동 할 수 있지만 Microsoft는 TPM이 보안에 얼마나 중요한지 강조하기 위해이 옵션을 숨기려고했습니다.
TrueCrypt가 TPM을 종료 한 이유
관련 : 암호화 요구를 위해 현재 정의 된 TrueCrypt의 3 가지 대안
물론 TPM이 디스크 암호화를위한 유일한 옵션은 아닙니다. TrueCrypt의 FAQ (현재 삭제됨)는 TrueCrypt가 TPM을 사용하지 않았고 절대 사용하지 않는 이유를 강조하는 데 사용되었습니다. TPM 기반 솔루션이 잘못된 보안 감각을 제공한다고 비난했습니다. 물론 TrueCrypt의 웹 사이트는 이제 TrueCrypt 자체가 취약하다고 명시하고 대신 TPM을 사용하는 BitLocker를 사용할 것을 권장합니다. 따라서 TrueCrypt 땅에서는 약간 혼란 스럽습니다.
그러나이 주장은 VeraCrypt의 웹 사이트에서 여전히 사용할 수 있습니다. VeraCrypt는 TrueCrypt의 활성 포크입니다. VeraCrypt의 FAQ는 BitLocker 및 TPM에 의존하는 기타 유틸리티가이를 사용하여 공격자가 관리자 액세스 권한을 갖거나 컴퓨터에 물리적으로 액세스해야하는 공격을 방지 할 수 있다고 주장합니다. "TPM이 거의 보장 할 수있는 유일한 것은 잘못된 보안 감각입니다."라고 FAQ는 말합니다. TPM은 기껏해야 "중복"이라고 말합니다.
이것에 대한 약간의 진실이 있습니다. 완전한 보안은 없습니다. TPM은 틀림없이 더 편리한 기능입니다. 하드웨어에 암호화 키를 저장하면 컴퓨터가 드라이브를 자동으로 해독하거나 간단한 암호로 해독 할 수 있습니다. 공격자가 단순히 디스크를 제거하고 다른 컴퓨터에 삽입 할 수 없기 때문에 단순히 해당 키를 디스크에 저장하는 것보다 더 안전합니다. 특정 하드웨어에 연결되어 있습니다.
궁극적으로 TPM은 많이 생각할 필요가 없습니다. 컴퓨터에 TPM이 있든 없든 상관없이 최신 컴퓨터는 일반적으로 가능합니다. Microsoft의 BitLocker 및 "장치 암호화"와 같은 암호화 도구는 자동으로 TPM을 사용하여 파일을 투명하게 암호화합니다. 암호화를 전혀 사용하지 않는 것보다 낫고 Microsoft의 EFS (파일 시스템 암호화)처럼 암호화 키를 디스크에 저장하는 것보다 낫습니다.
TPM 대 비 TPM 기반 솔루션 또는 BitLocker 대 TrueCrypt 및 이와 유사한 솔루션에 관한 한-음, 이것은 우리가 여기서 다룰 자격이없는 복잡한 주제입니다.
이미지 크레디트 : Flickr의 Paolo Attivissimo