2

Мой вопрос может быть глупым, но я не нашел подтверждений по теме

Улучшает ли использование доверенного платформенного модуля производительность Windows BitLocker, а не полагается только на проверку подлинности с помощью PIN/USB/ токена?

В моем случае мне нужно сменить материнскую плату, чтобы получить поддержку TPM, но я не буду менять ЦП, то есть AMD Phenom II.

Насколько я помню, ответ должен быть простым НЕТ, потому что TPM действует только как криптографическое хранение ключей, а криптографические операции с данными диска выполняются ЦП с производительностью, основанной на аппаратном ускорении шифрования.

Это означает, что снижение производительности зависит от способности Phenom (или любого другого процессора) быстро выполнять шифрование.

Этот вопрос явно не о безопасности. А задержка аутентификации перед загрузкой (например, время для ввода PIN-кода) не считается для меня производительностью.

1 ответ1

5

TPM не используется во время обычных операций доступа к зашифрованным данным.

BitLocker не использует TPM для хранения ключа, используемого для выполнения операций дешифрования / шифрования на лету, которые защищают данные на томе, зашифрованном с помощью BitLocker. Это немного сложно, но вот краткое объяснение того, как используются соответствующие ключи:

  1. Данные, записанные на том, защищенный BitLocker, шифруются с помощью ключа шифрования полного тома (FVEK). Этот ключ не изменяется до тех пор, пока BitLocker не будет полностью удален из тома.
  2. FVEK шифруется главным ключом тома (VMK), а затем сохраняется (в зашифрованном виде) в метаданных тома.
  3. VMK, в свою очередь, шифруется одним или несколькими защитными устройствами, такими как TPM или ключ восстановления.

Вы можете объединить TPM с цифровым PIN-кодом или с частичным ключом, хранящимся на USB-накопителе, для повышения безопасности. Каждый из них является формой двухфакторной аутентификации. Если на вашем компьютере нет совместимого чипа TPM и BIOS, BitLocker может быть настроен на полное сохранение ключа на USB-накопителе. Это называется ключом запуска. BitLocker может быть отключен без расшифровки данных; в этом случае VMK защищен только новым средством защиты ключей, которое хранится в незашифрованном виде. Обратите внимание, что этот прозрачный ключ позволяет системе получить доступ к диску, как если бы он был незащищенным.

На следующем рисунке показан обратный процесс, который происходит, когда пользователь проходит проверку подлинности с помощью BitLocker (обратите внимание, что проверка подлинности обычно означает аттестацию оборудования с TPM)

Схема расшифровки диска

Понятно, что роль TPM состоит в том, чтобы просто "хранить" зашифрованную копию VMK, которая, в свою очередь, используется для расшифровки FVEK. Именно FVEK используется в реальном процессе шифрования / дешифрования, который используется при доступе к данным на диске.

Более подробную информацию об этом процессе можно найти на TechNet.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .