O TPM afeta o desempenho do Windows BitLocker?

Navegue suas respostas
2

Minha pergunta pode ser boba, mas não encontrei confirmações sobre o assunto

O uso de um TPM melhora o desempenho do Windows BitLocker do que depender apenas da autenticação por PIN / USB / token?

No meu caso, eu preciso mudar a placa-mãe para obter suporte ao TPM, mas não vou mudar a CPU, que é um AMD Phenom II.

Para minha lembrança, a resposta deve ser um simples NÃO porque o TPM atua apenas como armazenamento criptográfico de chaves e operações criptográficas nos dados do disco é feito pela CPU com desempenho baseado na aceleração da criptografia de hardware.

Isso significaria que o downgrade de desempenho depende da capacidade do Phenom (ou qualquer outro processador) de executar a codificação rapidamente.

Esta questão é não obviamente sobre segurança. E o atraso de autenticação de pré-inicialização (por exemplo, o tempo para digitar o PIN) não conta como desempenho para mim.

    
por usr-local-ΕΨΗΕΛΩΝ 07.11.2017 / 13:45

1 resposta

5

O TPM não é usado durante as operações normais de acesso a dados criptografados.

O BitLocker não usa o TPM para armazenar a chave usada para executar as operações de descriptografia / criptografia on-the-fly que protegem os dados em um volume criptografado pelo BitLocker. É um pouco complicado, mas aqui está uma breve explicação de como as chaves relevantes são usadas:

  1. Os dados gravados em um volume protegido pelo BitLocker são criptografados com uma chave de criptografia de volume completo (FVEK). Essa chave não muda até que o BitLocker seja completamente removido de um volume.
  2. A FVEK é criptografada com a chave mestra de volume (VMK) e depois armazenada (em sua forma criptografada) nos metadados do volume.
  3. A VMK, por sua vez, é criptografada com um ou mais protetores , como um TPM ou uma chave de Recuperação.

You can combine the TPM with a numeric PIN or with a partial key stored on a USB drive for increased security. Each of these is a form of two-factor authentication. If your computer does not have a compatible TPM chip and BIOS, BitLocker can be configured to store a key protector completely on a USB drive. This is called a startup key. BitLocker can be disabled without decrypting the data; in this case, the VMK is protected only by a new key protector that is stored unencrypted. Note that this clear key allows the system to access the drive as if it were unprotected.

A figura a seguir exibe o processo inverso que ocorre quando o usuário autentica com o BitLocker (observe que autenticação geralmente significa atestado de hardware do TPM)

ÉclaroqueopapeldoTPMésimplesmente"armazenar" uma cópia criptografada da VMK, que por sua vez é usada para descriptografar a FVEK. É a FVEK que é usada no processo real de criptografia / descriptografia usado quando os dados são acessados no disco.

Mais informações sobre esse processo podem ser encontradas em TechNet .

    
por 07.11.2017 / 20:14

Tags

Como leio cada arquivo e imprimo o nome do arquivo antes de lê-lo? macro que inverte números