Szyfrowanie bitlockerem z TPM - na ile solidne?


(maew) #1

Witam, mam taką zagwozdkę, pierwszy raz zaszyfrowałem cały dysk bitlockerem z wykrorzystaniem TPM (nowy komp) i generalnie nie muszę wpisywać żadnego hasła poza tym do systemu. I tutaj pojawia się moje pytanie - czy hasłem, które odblokowuje dysk jest właśnie to hasło do systemu czy dysk jest zaszyfrowany ale bez hasła? Na ile takie domyślne rozwiązanie jest bezpieczne?

Chodzi mi o to, że hasło do systemu jest w miarę łatwo złamać i czy nie byłoby bezpieczniej wyłączyć moduł TPM i zaszyfrować w trybie bez TPM z hasłem, które pojawia się jeszcze przed zalogowaniem do systemu? Tak mam zrobione na służbowym kompie.


(sadaj72) #2

Ja bym nie ufał TPM.

W PC mam zablokowany TPM i wymuszone szyfrowanie dysku bez użycia tego modułu w gpedit.
Monit o podanie hasła pojawia się jeszcze przed rozpoczęciem uruchamiania systemu.


(bachus) #3

Pokaż mi jak w miarę prosto złamać (oczywiście pomijając sytuację, gdy masz hasło: Passw0rd123! ). Tak, TPM jest wystarczająco bezpieczny do standardowych zastosowań zarówno domowych jak i komercyjnych - oczywiście trzeba uważać, aby klucza odzyskiwania nie trzymać w łatwo dostępnym miejscu, tj. np. na dysku OneDrive :wink:


(bachus) #4

Czemu byś nie ufał TPM?


(fakvat) #5

Jak ustawiłeś TPM? Masz moduł w laptopie czy koputerze stacjonarnym?

Stosuje szyfrowanie z TPM w laptopach HP - seria probook i elitebook. Moge powiedziec , że jest to bardzo skuteczna metoda. Jak nie masz oddzielnego hasła do bitlockera to najpier proponuje sprawdzić czy szyfrowanie przebiegło prawidłowo.


(bachus) #6

To jest właśnie plus szyfrowania w ten sposób, że nie potrzeba dwóch haseł a TPM działa prawidłowo.


(maew) #7

@fakvat mam tpm w laptopie. Hmm jak ustawiałem? Właściwie nic jakoś szczególnie nie ustawiałem (lub nie pamiętam) po prostu wybrałem opcje szyfrowania dysku systemowego (mam jedną partycję C), zapisałem sobie klucz odzyskiwania gdzieś na penie i tyle. Po prostu trochę mnie zdziwiło to, że podaje tylko hasło do systemu i tyle. Wcześniej miałem szyfrowany dysk na Debianie i tam pierwsze co się pojawiało po wgraniu biosu to właśnie hasło, dlatego trochę mnie zdziwiło to, że tutaj dochodzi do momentu logowania do systemu i dopiero wtedy podaje hasło, które jednocześnie odblokowuje dysk.

@bachus no np. za pomocą chntpw możesz zresetować hasło windowsa, jak rozumiem w tym przypadku nie dostane się wtedy do danych? :slight_smile:


(bachus) #8

Spróbuj :slight_smile: Na tym przecież polega zaszyfrowanie dysku, aby nie można się do niego było dostać bez hasła :wink: Na tym właśnie polega wygoda TPM - jedno hasło i to na poziomie OS. Jest to bardzo wygodne np. przy zdalnym restarcie komputera. Ja przykładowo bardzo często łączę się do domowego komputera i jak potrzebuję go zrestartować, to nie muszę się martwić, że przed uruchomieniem systemu operacyjnego pojawi się pytanie o hasło (równoznaczne z brakiem dostępu zdalnego).