Влияет ли TPM на производительность Windows BitLocker?

1551
usr-local-ΕΨΗΕΛΩΝ

Мой вопрос может быть глупым, но я не нашел подтверждений по теме

Улучшает ли использование доверенного платформенного модуля производительность Windows BitLocker, а не полагается только на проверку подлинности с помощью PIN / USB / токена?

В моем случае мне нужно сменить материнскую плату, чтобы получить поддержку TPM, но я не буду менять ЦП, то есть AMD Phenom II.

Насколько я помню, ответ должен быть простым НЕТ, потому что TPM действует только как криптографическое хранение ключей, а криптографические операции с данными диска выполняются ЦП с производительностью, основанной на аппаратном ускорении шифрования.

Это означает, что снижение производительности зависит от способности Phenom (или любого другого процессора) быстро выполнять шифрование.

Этот вопрос явно не о безопасности. А задержка аутентификации перед загрузкой (например, время для ввода PIN-кода) не считается для меня производительностью.

2
Да, но при использовании PIN + TPM ключ удерживается в tpm. Когда только пин-код, в хранении и расшифровке ключей не задействовано оборудование usr-local-ΕΨΗΕΛΩΝ 6 лет назад 0
Ну, я попытался сфокусировать область моего вопроса на производительности шифра данных. Меня просто не волнует фаза предзагрузочной аутентификации, но весь вопрос можно перефразировать следующим образом: «Получу ли я более точные тесты дискового ввода-вывода с TPM?» usr-local-ΕΨΗΕΛΩΝ 6 лет назад 0

1 ответ на вопрос

5
Twisty Impersonator

TPM не используется во время обычных операций доступа к зашифрованным данным.

BitLocker не использует TPM для хранения ключа, используемого для выполнения операций дешифрования / шифрования на лету, которые защищают данные на томе, зашифрованном с помощью BitLocker. Это немного сложно, но вот краткое объяснение того, как используются соответствующие ключи:

  1. Данные, записанные на том, защищенный BitLocker, шифруются с помощью ключа шифрования полного тома (FVEK). Этот ключ не изменяется до тех пор, пока BitLocker не будет полностью удален из тома.
  2. FVEK шифруется главным ключом тома (VMK), а затем сохраняется (в зашифрованном виде) в метаданных тома.
  3. VMK, в свою очередь, шифруется одним или несколькими защитными устройствами, такими как TPM или ключ восстановления.

Вы можете объединить TPM с цифровым PIN-кодом или с частичным ключом, хранящимся на USB-накопителе, для повышения безопасности. Каждый из них является формой двухфакторной аутентификации. Если на вашем компьютере нет совместимого чипа TPM и BIOS, BitLocker может быть настроен на полное сохранение ключа на USB-накопителе. Это называется ключом запуска. BitLocker может быть отключен без расшифровки данных; в этом случае VMK защищен только новым средством защиты ключей, которое хранится в незашифрованном виде. Обратите внимание, что этот прозрачный ключ позволяет системе получить доступ к диску, как если бы он был незащищенным.

На следующем рисунке показан обратный процесс, который происходит, когда пользователь проходит проверку подлинности с помощью BitLocker (обратите внимание, что проверка подлинности обычно означает аттестацию оборудования с TPM)

Схема расшифровки диска

Понятно, что роль TPM состоит в том, чтобы просто «хранить» зашифрованную копию VMK, которая, в свою очередь, используется для расшифровки FVEK. Именно FVEK используется в реальном процессе шифрования / дешифрования, который используется при доступе к данным на диске.

Более подробную информацию об этом процессе можно найти на TechNet .

Я собираюсь отредактировать ответ и добавить некоторые выдержки из превосходной статьи TechNet, а затем принять его. Это было именно то, что я хотел знать, подтверждая мое понимание внутренней работы FDE usr-local-ΕΨΗΕΛΩΝ 6 лет назад 0

Похожие вопросы