Šifrování disku pomocí BitLockeru s čipem TPM

Šifrování disku pomocí BitLockeru s čipem TPM | Kapitola 4

Seznam kapitol

1. Šifrování systémového disku 2. Šifrování systémového disku BEZ použití čipu TPM 3. Šifrování systémového oddílu s klíčem na čipu TPM 4. TPM a šifrování disku 5. Moduly TPM 6. Správa TPM modulu v setupu BIOS (UEFI) 7. Update firmware TPM modulu 8. Správa modulu TPM z Windows

9. TPM z příkazové řádky 10. Příprava na zašifrování systémového disku 11. Reinstalace Windows – přenastavení BIOS (UEFI/GPT) 12. Utility pro práci s BitLockerem 13. Řešení problémů s BitLockerem – složitější věci 14. Ruční zapnutí BitLockeru z příkazové řádky 15. Další tipy

Dnes se podrobněji podíváme na šifrování systémového disku (disku s Windows) pomocí BitLocker a na řešení obvyklých problémů. Budeme si povídat o využití čipu TPM (Trusted Platform Module) a vysvětlíme si, jak nám poslouží pro uložení klíče k disku pro BitLocker a jak ho koupíme nebo nastavíme.

Zvolte nejlepší hry roku 2023 a vyhrajte herní hardware

Reklama

TPM a šifrování disku

Abychom mohli celý problém vyřešit, je potřeba malinko porozumět TPM čipu.

Pokud je disk šifrovaný heslem zadávaným z klávesnice, je šance na prolomení krátkých hesel reálná. Naopak hodně dlouhé heslo se špatně pamatuje a jeho zadávání obtěžuje. To právě řeší TPM čip, klíč může být v něm.

TPM čip = trezor na klíče

TPM čip obsahuje vlastní paměť, která slouží jako trezor.
Klíč je schovaný v TPM čipu a pokud se s počítačem manipuluje, TPM se naštve a zamkne se nebo smaže. Nemusíte pořád psát heslo, ale jak se TPM naštve, musíte zadat obnovovací klíč. Dělá svou práci. Má znepřístupnit svůj obsah, když se s počítačem děje něco podezřelého.

Kdy je ochrana TPM čipem dostatečná

Představte si situaci, kdy je šifrovací klíč uložený v TPM čipu, vy zapnete počítač, Windows nastartují a automaticky se přihlásíte. Taková ochrana je k ničemu. A teď jinak, klíč je uložený v TPM čipu, vy zapnete počítač a Windows nastartují a požadují heslo pro přihlášení k nějakém účtu do Windows. Ochrana funguje. Bez hesla s tím nikdo nic neudělá.

Disk můžete vyjmout z počítače, připojit k jinému PC, ale bez TPM čipu disk zůstane zamčený.

Co se přesně stane: Počítač se spustí, BitLocker si řekne TPM čipu o heslo, odšifruje disk a Windows pokračují ve startu. Zloděj skončí na přihlašovací obrazovce, ale to není tak úplně bez šance prolomit. Na počítači může být víc účtů, někdo může mít nastavenou nápovědu hesla, prolomit to může i obyčejný zloděj. Pokud není správně nastavený Secure Boot, poradí si s tím i lepší ajťák.

TPM čip můžete chránit i pomocí PIN, to si ukážeme dále

Můžeme nastavit, aby TPM čip vydal BitLockeru heslo až po zadání PIN (ještě před startem Windows). PIN může být krátký, protože na jeho zadání máte 6 pokusů, pak se TPM zablokuje nebo smaže.

Tahle možnost je docela dobrá, pin může být i krátký a počítač je přesto dobře chráněný. Zjednodušeně to funguje tak, že BitLocker pošle TPM čipu PIN, pokud je PIN v pořádku, TPM čip vrátí BitLockeru správné heslo a pokračujeme ve startu.

TPM

Fyzický TPM modul je poměrně komplexní čip, mimo jiné obsahuje trvalou paměť, se kterou může pracovat například BitLocker nebo VeraCrypt. Dále obsahuje generátor náhodných čísel, generátor SHA-1/SHA-256, atd.