Windows 11 требует TPM. Зачем?
Постараюсь коротко объяснить что это такое, зачем он нужен, какие преимущества он даёт и зачем Microsoft в принципе решили начать его требовать.
Что такое вообще TPM? Если коротко, то изначально TPM это специальный выделенный чип на материнской плате ноутбука или ПК. Его предназначение это хранение и работа с криптографическим материалом.
Если упростить, то типичный криптомодуль, которым является TPM, может делать всего несколько операций:
- Генерировать и хранить секретные ключи
- Шифровать и расшифровывать любые данные
- Подписывать и верифицировать запросы на электронную подпись
Отсюда следует, что подобные криптомодули не могут физически выдать вам секретный ключ или ключи.
Тут-то мы и получаем основное преимущество. Обычно все секретные ключи хранятся непосредственно в файловой системе вашего ПК, где-то на диске C:\, а в случае с TPM они генерируются и хранятся исключительно внутри него.
Отсюда следует простой вывод: любой софт, исполняемый с правами администратора может при желании украсть любые ключики с вашего ПК, о существовании, которых вы даже не подозреваете.
При использовании TPM такой трюк не пройдет. Что-то расшифровать, подписать -- пожалуйста, но сам ключ не отдаст.
Возможно кто-то из вас по работе встречался с красными "флешками" Рутокен. Это и есть типичный криптомодуль, правда переносной. Он обладает теми же качествами, что я перечислил выше.
Внимательный читатель может задаться вопросом: а зачем злоумышленику тогда сам секретный ключ, если он сможет просто просить модуль расшифровать или подписать что ему нужно?
Причин по сути две:
- Обладание ключом позволит производить операции с ним, даже когда ваш компьютер выключен или не подключен к интернету. Украл ключ, отправил куда надо и можно забыть о жертве, она уже в кармане.
- Современные TPM при запросе на операцию расшифровывания или подписи обычно требуют действие от пользователя. В Windows для этого предусмотрена технология Windows Hello. Таким образом как только какое-то приложение хочет к примеру расшифровать (или подписать) вашим ключом какое-то сообщение, Windows сначала запросит PIN, пароль или биометрическую информацию (отпечаток пальца или скан лица). Прошу заметить, что описанная защита реализована аппаратно на уровне TPM и её нельзя обойти на софтверном уровне.
Примеры использования
Хорошо, а на практике зачем этот TPM нужен? Жили без него раньше и не тужили.
Давайте приведу очевидный пример использования криптомодуля в современной технике. За пример я возьму современный смартфон, потому что практически во всех современных смартфонах есть выделенный для этого чип.
Все мы скорее всего, так или иначе пользуемся онлайн-банкингом и думаю все имели дело с биометрической авторизацией при входе в приложение.
Объясню на пальцах как работает механизм входа:
- Приложение делает запрос на сервер и просит прислать сервер случайную строку.
- Телефон делает запрос в криптомодуль с просьбой подписать электронной подписью эту случайную строку.
- Криптомодуль отвечает, что без биометрической авторизации никакой подписи не будет.
- Пользователь прикладывает палец / показывает лицо и в случае успеха криптомодуль возвращает готовую подпись.
- Приложение делает повторный запрос на сервер и прикладывает подпись.
- Сервер верифицирует, что подпись выписана именно вашим криптомодулем (который был зарегистрирован у них на сервере во время регистрации в приложении).
Как можно увидеть, приложение всё это время не имеет ни малейшего понятия о секретном ключе, хранимом внутри чипа. Безопасно? Безопасно. Кстати напомню, в Windows 11 можно будет запускать Android-приложения, которые скорее всего смогут также как и на смартфонах пользоваться TPM.
Второй пример: BitLocker. Эта технология позволяет полностью зашифровать системный раздел, при этом учитывая аппаратное ускорение AES-шифрования в современных процессорах и быстрые SSD диски, производительность в таких системах практически не падает. На многих современных ноутбуках с предустановленной Windows 10, BitLocker включен по умолчанию.
Как можно понять ключ для расшифровки хранится не в ФС вашего ПК, а опять же в TPM. Безопасно? Безопасно. Можно даже попросить BitLocker запрашивать PIN или пароль ещё до запуска операционной системы.
Третий пример: passwordless authentication или по-русски беспарольная аутентификация. То есть вход на необходимые ресурсы без пароля. В качестве механизма верификации, что вы это вы, используется механизм, похожий на описанный в первом примере с онлайн-банкингом.
WebAuthn позволит вам регистрироваться и входить на сайтах исключительно с помощью логина
На данный момент уже все браузеры поддерживают WebAuthn API для работы со стандартом FIDO2. Этот API позволит вам регистрироваться и входить на сайтах исключительно с помощью логина и секретных ключей, которые хранятся в TPM или на специальном аппаратном токене (как правило в виде USB-флешки). Разумеется не помешает поставить на учетную запись и классический пароль, но согласитесь, вход исключительно с помощью логина звучит весьма заманчиво? А самое интересное, что при использовании криптомодуля такой механизм авторизации куда безопасней любого пароля.
Проверить как работает технология WebAuthn можно прямо сейчас на демосайте. Для работы требуется настроенный Windows Hello с биометрией.
Кстати, современные ноутбуки сейчас вовсю оснащаются Windows Hello, а именно камерами с поддержкой распознавания лица и дактилоскопическими сканерами. Поэтому приход WebAuthn пришелся как раз кстати.
Требование TPM в новой версии Windows выглядит последовательным шагом со стороны Microsoft. Ведь они требуют TPM 2.0 на борту любой машины, на которую предустанавливается Windows 10 аж с июля 2016 года. По большому счету это касается всех ноутбуков, моноблоков и ПК с Windows 10 из коробки, которые были произведены позже этой даты. Спустя 5 лет релиз новой ОС выглядит как идеальный момент для этого изменения.
Остальным пользователям в большинстве случаев понадобится просто включить fTPM (Firmware TPM или Intel PTT). Это TPM, который эмулируется вашим процессором AMD или Intel. То есть ключи будут хранится не в специальном чипе, а где-то внутри микросхемы UEFI. И да, это всё ещё намного безопасней, чем где-то в файловой системе.
Поэтому отставить панику. Если ваш компьютер 2012-2013 года выпуска и позже, то с очень высокой вероятностью у вас всё в порядке и максимум потребуется пара манипуляций в BIOS в вашей материнской платы.
Надеюсь было интересно, спрашивайте вопросы, поправляйте, если где приврал или опечатался.
Ждём сборку от Васяна с удалённым хламом винды, отключенной телеметрией и без проверки TPM, как обычно
2021г: идёт
Marat Ibragimov: ждёт левую сборку винды
Попробуйте установить на 2 идентичные виртуалки оригинальный образ и обрезанную сборку. Попользуйтесь полчаса и той и той, и вы вксьма удивитесь, что по итогу потребление памяти будет идентичным, разница лишь в занимаемой ПЗУ, потребление ОЗУ будет примерно равным, а учитывая вероятность получить что-нибудь не работающее в итоге на порезанной сборке - оно вам надо?
При чем эти Васяны своего же "хлама" добавят
Так уже есть, просто на флешку в папку с образом закинь 1 файлик и всё
Комментарий недоступен
Пизда материнке - пизда данным
146% в комплекте идет процедура миграции с материнки на материнку.