Влияет ли TPM на производительность Windows BitLocker?

2

Мой вопрос может быть глупым, но я не нашел подтверждений по теме

Улучшает ли использование TPM Windows BitLocker? спектакль чем полагаться только на аутентификацию по PIN / USB / токену?

В моем случае мне нужно сменить материнскую плату, чтобы получить поддержку TPM, но я не буду менять процессор, который является AMD Phenom II.

Насколько я помню, ответ должен быть простым НЕТ поскольку TPM действует только как криптографическое хранилище ключей, а криптографические операции с данными диска выполняются ЦП с производительностью, основанной на аппаратном ускорении шифрования.

Это означает, что снижение производительности зависит от способности Phenom (или любого другого процессора) быстро выполнять шифрование.

Этот вопрос не очевидно о безопасности. А задержка аутентификации перед загрузкой (например, время для ввода PIN-кода) не считается для меня производительностью.

performance bitlocker fde usr-local-ΕΨΗΕΛΩΝ
источник
Да, но при использовании PIN + TPM ключ удерживается в tpm. Когда только пин-код, в хранении и расшифровке ключей не задействовано оборудование.
usr-local-ΕΨΗΕΛΩΝ
Ну, я попытался сфокусировать область моего вопроса на производительности шифра данных. Меня просто не волнует фаза предзагрузочной аутентификации, но весь вопрос можно перефразировать следующим образом: «Получу ли я более точные тесты дискового ввода-вывода с TPM?
usr-local-ΕΨΗΕΛΩΝ

Ответы:

5

TPM не используется во время обычных операций доступа к зашифрованным данным.

BitLocker не использует TPM для хранения ключа, используемого для выполнения операций дешифрования / шифрования «на лету», которые защищают данные на томе с шифрованием BitLocker. Это немного сложно, но вот краткое объяснение того, как используются соответствующие ключи:

  1. Данные, записанные на том, защищенный BitLocker, шифруются с полный ключ шифрования (FVEK). Этот ключ не изменяется до тех пор, пока BitLocker не станет полностью удален из тома.
  2. FVEK шифруется с помощью главный ключ громкости (VMK) затем сохраняется (в зашифрованном виде) в метаданных тома.
  3. VMK, в свою очередь, шифруется одним или несколькими протекторы , например, TPM или ключ восстановления.

Вы можете объединить TPM с цифровым PIN-кодом или с частичным ключом, хранящимся на USB-накопителе, для повышения безопасности. Каждый из них является формой двухфакторной аутентификации. Если на вашем компьютере нет совместимого чипа TPM и BIOS, BitLocker может быть настроен на полное сохранение ключа на USB-накопителе. Это называется ключом запуска.   BitLocker может быть отключен без расшифровки данных; в этом случае VMK защищен только новым средством защиты ключей, которое хранится в незашифрованном виде. Обратите внимание, что этот прозрачный ключ позволяет системе получить доступ к диску, как если бы он был незащищенным.

На следующем рисунке показан обратный процесс, происходящий при аутентификации пользователя с помощью BitLocker (обратите внимание, что аутентификация обычно означает аттестацию оборудования от TPM)

Scheme of disk decryption

Понятно, что роль TPM состоит в том, чтобы просто «хранить» зашифрованную копию VMK, которая, в свою очередь, используется для расшифровки FVEK. Именно FVEK используется в реальном процессе шифрования / дешифрования, который используется при доступе к данным на диске.

Более подробную информацию об этом процессе можно найти на TechNet ,

Twisty Impersonator
источник
Я собираюсь отредактировать ответ и добавить некоторые выдержки из превосходной статьи TechNet, а затем принять его. Это было именно то, что я хотел знать, подтверждая мое понимание внутренней работы FDE
usr-local-ΕΨΗΕΛΩΝ