TPM nedir ve disk şifreleme nasıl yapılır diye merak ediyorsanız, bilmeniz gereken tüm önemli detayları anlattık.
BitLocker disk şifrelemesi, normal şartlarda Windows’ta bir TPM gerektirir. Microsoft’un EFS şifrelemesi asla bir TPM kullanmaz. Windows 10 ve Windows 8.1’de yeni “cihaz şifreleme” özelliği de modern bir TPM gerektirir, bu nedenle sadece yeni donanımda etkinleştirilir… Peki TPM nedir?
TPM nedir?
TPM, trusted platform module yani “güvenilir platform modülü” anlamına gelir. Bilgisayarın ana kartında bulunan ve aşırı uzun parolalar gerektirmeden, kurcalamaya dayanıklı tam disk şifrelemesine yardımcı olan bir yongadır.
TPM, bilgisayarın ana kartının bir parçası olan yongayı ifade eder, hazır bir bilgisayar satın aldıysanız, ana karta bu modül lehimlenmiştir. Ancak kendi bilgisayarınızı kurduysanız, anakartınız destekliyorsa, eklenti modülü olarak bir tane satın alabilirsiniz. TPM, anahtarın bir kısmını kendine saklayarak şifreleme anahtarları üretir. Dolayısıyla, TPM’li bir bilgisayarda BitLocker şifrelemesi ya da cihaz şifrelemesi kullanıyorsanız, anahtarın bir kısmı sadece diskte değil, TPM’in kendisinde depolanır. Bu da bir saldırganın sadece sürücüyü bilgisayardan çıkaramayacağı ve dosyalara başka bir yerden erişmeye çalışamayacağı anlamına gelir.
Bu yonga, donanım tabanlı kimlik doğrulama ve algılama sağlar, bu nedenle bir saldırgan, yongayı kaldırıp başka bir ana karta yerleştirmeyi deneyemez. Teorik olarak, şifrelemeyi aşmak için ana kartın kendisini kurcalamaz.
- Yeni Windows Server sürümünde TPM 2.0 ve Secure Boot zorunlu oluyor
- Microsoft Pluton, gelecekteki Windows PC’lerin güvenliğini en üst seviyeye çıkaracak
- Windows’ta klasör şifreleme nasıl yapılır?
Şifrelemenin en önemli bileşenlerinden biri TPM
Birçok insan için TPM nedir sorusunun yanıtı, şifreleme olacaktır. Windows’un modern sürümleri, şeffaf bir şekilde TPM kullanır. Cihaz şifrelemesi etkin olarak gelen modern bir bilgisayarda, bir Microsoft hesabıyla oturum açtığınızda şifreleme kullanılır. BitLocker, disk şifrelemesini etkinleştirir, Windows ise şifreleme anahtarını depolamak için bir TPM kullanır.
Normalde, sadece Windows oturum açma parolanızı yazaran şifrelenmiş bir sürücüye erişim sağlayabilirsiniz. Ancak sunucu, bundan daha uzun bir şifreleme anahtarı ile korunur. Bu şifreleme anahtarı kısmen TPM’de saklanır, bu nedenle erişim elde etmek için Windows oturum açma parolanız ve sürücünün bağlı olduğu bilgisayara ihtiyacınız var. BitLocker için “kurtarma anahtarı”nın biraz daha uzun olmasının nedeni budur. Sürücüyü bir başka bilgisayara taşırsanız, verilerinize erişmek için bu daha uzun kurtarma anahtarına ihtiyacınız vardır.
Eski Windows EFS şifreleme teknolojisinin o kadar iyi olmamasının bir nedeni de budur. TPM’de şifreleme anahtarlarını saklamanın bir yolu yoktur. Bu, şifreleme anahtarlarını sabit sürücüde saklaması gerektiği anlamına gelir ve çok daha az güvenli hale getirir. BitLocker, TPM’siz sürücülerde çalışabilir ancak Microsoft, bir TPM’in güvenlik için ne kadar önemli olduğunu vurgulamak için bu seçeneği gizleme yolunu tercih etti.
TrueCrypt ve TPM: Eleştiriler
Disk şifreleme konusunda uygulanabilecek tek seçenek elbette ki TPM değil. TrueCrypt, şimdi kaldırılsa da bunlardan biriydi. Peki TrueCrypt neden TPM kullanmıyordu? Bu yapı, asla TPM kullanmadığını ve kullanmayacağını vurguluyordu. Yanlış bir güvenlik konsepti sağladığı için TPM tabanlı çözümleri şiddetle eleştirdi. Elbette TrueCrypt sitesine girince şirketin artık, TPM yerine BitLocker’ı kullanmanızı tavsiye ettiğini göreceksiniz. Yani onların da biraz kafası karışık gibi.
Bu argüman bugün VeraCrypt sitesinde de mevcut. VeraCrypt, TrueCrypt’in aktif bir versiyonu. VeraCrypt de, TPM’i bir saldırganın yönetici erişimine ya da bir bilgisayara fiziksel erişime sahip olmasını gerektiren saldırıları önlemek için istismar ile suçluyor. TPM’in garanti ettiği tek şeyin “yanlış bir güvenlik duygusu” olduğunu belirten VeraCrypt, TPM sistemini eleştirenlerden.
TPM’e yönelik eleştirilerin haklılık payı yok mu? Elbette olabilir. Hiçbir güvenlik çözümü mutlak bir önlem sağlamaz. Bir TPM muhtemelen kullanışlı bir özellik. Şifreleme anahtarlarının donanımda saklanması, bir bilgisayarın sürücü şifresini otomatik olarak çözmesine ya da basit bir parola ile şifresini çözmesine olanak tanır. Saldırgan diski çıkarıp başka bir bilgisayara takmaz ancak anahtarı diske saklamaktan daha güvenli olduğunu söyleyebiliriz.
Sonuç olarak TPM nedir sorusunun yanıtı, teknik olarak yukarıda bahsettiğimiz gibi. Modern bilgisayarların büyük kısmında TPM bulunur ve Microsoft’un BitLocker’ı ve “cihaz şifrelemesi” gibi araçları, dosyaları şeffaf bir şekilde şifrelemek için otomatik olarak TPM kullanır. Bu, hiçbir şifreleme kullanmamaktan daha iyidir ve Microsoft’un EFS’inin (şifreleme dosya sistemi) yaptığı gibi, şifreleme anahtarlarını diskte depolamaktan daha iyidir.