Beranda » bagaimana » Apa itu TPM, dan Mengapa Windows Membutuhkan Satu Untuk Enkripsi Disk?

    Apa itu TPM, dan Mengapa Windows Membutuhkan Satu Untuk Enkripsi Disk?

    Enkripsi disk BitLocker biasanya memerlukan TPM di Windows. Enkripsi Microsoft EFS tidak pernah dapat menggunakan TPM. Fitur "enkripsi perangkat" baru pada Windows 10 dan 8.1 juga memerlukan TPM modern, itulah sebabnya mengapa hanya diaktifkan pada perangkat keras baru. Tapi apa itu TPM?

    TPM adalah singkatan dari "Modul Platform Tepercaya". Ini adalah chip pada motherboard komputer Anda yang membantu mengaktifkan enkripsi cakram penuh tahan-tamper tanpa memerlukan kata sandi yang sangat panjang.

    Apa Artinya, Tepat?

    TPM adalah chip yang merupakan bagian dari motherboard komputer Anda - jika Anda membeli PC yang tidak tersedia, itu disolder ke motherboard. Jika Anda membuat komputer sendiri, Anda dapat membeli satu sebagai modul tambahan jika motherboard Anda mendukungnya. TPM menghasilkan kunci enkripsi, menjaga bagian dari kunci itu sendiri. Jadi, jika Anda menggunakan enkripsi BitLocker atau enkripsi perangkat di komputer dengan TPM, bagian dari kunci disimpan di TPM itu sendiri, bukan hanya di disk. Ini berarti penyerang tidak bisa hanya menghapus drive dari komputer dan mencoba mengakses file-nya di tempat lain.

    Chip ini menyediakan otentikasi berbasis perangkat keras dan deteksi kerusakan, sehingga penyerang tidak dapat mencoba untuk menghapus chip dan meletakkannya di motherboard lain, atau merusak motherboard itu sendiri untuk mencoba memotong enkripsi - setidaknya dalam teori.

    Enkripsi, Enkripsi, Enkripsi

    Bagi kebanyakan orang, use case yang paling relevan di sini adalah enkripsi. Versi Windows modern menggunakan TPM secara transparan. Cukup masuk dengan akun Microsoft di PC modern yang dikirimkan dengan "enkripsi perangkat" yang diaktifkan dan itu akan menggunakan enkripsi. Aktifkan enkripsi disk BitLocker dan Windows akan menggunakan TPM untuk menyimpan kunci enkripsi.

    Anda biasanya hanya mendapatkan akses ke drive terenkripsi dengan mengetik kata sandi login Windows Anda, tetapi dilindungi dengan kunci enkripsi yang lebih lama dari itu. Kunci enkripsi itu sebagian disimpan di TPM, jadi Anda benar-benar memerlukan kata sandi login Windows Anda dan komputer yang sama dari drive untuk mendapatkan akses. Itu sebabnya "kunci pemulihan" untuk BitLocker sedikit lebih lama - Anda memerlukan kunci pemulihan yang lebih lama untuk mengakses data Anda jika Anda memindahkan drive ke komputer lain.

    Ini adalah salah satu alasan mengapa teknologi enkripsi Windows EFS yang lebih lama tidak sebagus ini. Ia tidak memiliki cara untuk menyimpan kunci enkripsi di TPM. Itu berarti harus menyimpan kunci enkripsi pada hard drive, dan membuatnya jauh lebih tidak aman. BitLocker dapat berfungsi pada drive tanpa TPM, tetapi Microsoft berusaha menyembunyikan opsi ini untuk menekankan betapa pentingnya TPM untuk keamanan.

    Mengapa TrueCrypt Dijauhi TPM

    Tentu saja, TPM bukan satu-satunya pilihan yang bisa diterapkan untuk enkripsi disk. TrueCrypt's FAQ - sekarang dihapus - digunakan untuk menekankan mengapa TrueCrypt tidak menggunakan dan tidak akan pernah menggunakan TPM. Ini mengecam solusi berbasis TPM sebagai memberikan rasa aman palsu. Tentu saja, situs web TrueCrypt sekarang menyatakan bahwa TrueCrypt sendiri rentan dan merekomendasikan Anda menggunakan BitLocker - yang menggunakan TPM - sebagai gantinya. Jadi ini sedikit kekacauan yang membingungkan di tanah TrueCrypt.

    Argumen ini masih tersedia di situs web VeraCrypt. VeraCrypt adalah garpu aktif TrueCrypt. FAQ VeraCrypt menegaskan BitLocker dan utilitas lain yang mengandalkan TPM menggunakannya untuk mencegah serangan yang membutuhkan penyerang untuk memiliki akses administrator, atau memiliki akses fisik ke komputer. "Satu-satunya hal yang hampir dijamin TPM untuk berikan adalah rasa aman yang salah," kata FAQ. Dikatakan bahwa TPM adalah, paling-paling, "berlebihan".

    Ada sedikit kebenaran dalam hal ini. Tidak ada keamanan yang sepenuhnya mutlak. TPM bisa dibilang lebih sebagai fitur kenyamanan. Menyimpan kunci enkripsi di perangkat keras memungkinkan komputer untuk secara otomatis mendekripsi drive, atau mendekripsi dengan kata sandi sederhana. Ini lebih aman daripada hanya menyimpan kunci itu di disk, karena penyerang tidak bisa hanya menghapus disk dan memasukkannya ke komputer lain. Itu terkait dengan perangkat keras tertentu.


    Pada akhirnya, TPM bukanlah sesuatu yang harus Anda pikirkan banyak. Komputer Anda memiliki TPM atau tidak - dan komputer modern umumnya akan melakukannya. Alat enkripsi seperti Microsoft BitLocker dan "enkripsi perangkat" secara otomatis menggunakan TPM untuk mengenkripsi file Anda secara transparan. Itu lebih baik daripada tidak menggunakan enkripsi sama sekali, dan itu lebih baik daripada hanya menyimpan kunci enkripsi pada disk, seperti yang dilakukan Microsoft EFS (Encrypting File System).

    Sejauh TPM vs solusi non-TPM, atau BitLocker vs TrueCrypt dan solusi serupa - well, itu topik rumit yang tidak benar-benar memenuhi syarat untuk kita bahas di sini.

    Kredit Gambar: Paolo Attivissimo di Flickr