Enkripsi disk BitLocker biasanya membutuhkan TPM pada Windows. Enkripsi EFS Microsoft tidak pernah dapat menggunakan TPM. Fitur "enkripsi perangkat" baru pada Windows 10 dan 8.1 juga memerlukan TPM modern, yang karenanya hanya diaktifkan pada perangkat keras baru. Tapi apa itu TPM?
TPM adalah singkatan dari “Trusted Platform Module”. Ini adalah chip pada motherboard komputer Anda yang membantu mengaktifkan enkripsi full-disk tamper-resistant tanpa membutuhkan passphrase yang sangat panjang.
TPM adalah chip yang merupakan bagian dari motherboard komputer Anda - jika Anda membeli PC off-the-shelf, itu disolder ke motherboard. Jika Anda membuat komputer sendiri, Anda dapat membelinya sebagai modul pengaya jika motherboard Anda mendukungnya. TPM menghasilkan kunci enkripsi, menjaga bagian dari kunci itu sendiri. Jadi, jika Anda menggunakan enkripsi BitLocker atau enkripsi perangkat pada komputer dengan TPM, bagian dari kunci disimpan dalam TPM itu sendiri, bukan hanya pada disk. Ini berarti penyerang tidak dapat menghapus drive dari komputer dan mencoba mengakses file di tempat lain.
Chip ini menyediakan otentikasi berbasis hardware dan deteksi tamper, sehingga penyerang tidak dapat mencoba untuk menghapus chip dan meletakkannya di motherboard lain, atau mengutak-atik motherboard itu sendiri untuk mencoba mem-bypass enkripsi - setidaknya dalam teori.
Bagi kebanyakan orang, kasus penggunaan yang paling relevan di sini adalah enkripsi. Versi modern Windows menggunakan TPM secara transparan. Cukup masuk dengan akun Microsoft pada PC modern yang dikirimkan dengan "enkripsi perangkat" diaktifkan dan itu akan menggunakan enkripsi. Aktifkan enkripsi disk BitLocker dan Windows akan menggunakan TPM untuk menyimpan kunci enkripsi.
Anda biasanya hanya mendapatkan akses ke drive yang dienkripsi dengan mengetikkan kata sandi masuk Windows Anda, tetapi dilindungi dengan kunci enkripsi yang lebih panjang dari itu. Kunci enkripsi itu sebagian disimpan dalam TPM, jadi Anda benar-benar memerlukan kata sandi masuk Windows dan komputer yang sama dengan drive itu untuk mendapatkan akses. Itulah mengapa "kunci pemulihan" untuk BitLocker sedikit lebih lama - Anda memerlukan kunci pemulihan yang lebih lama untuk mengakses data Anda jika Anda memindahkan drive ke komputer lain.
Ini adalah salah satu alasan mengapa teknologi enkripsi Windows EFS yang lama tidak begitu bagus. Tidak ada cara untuk menyimpan kunci enkripsi dalam TPM. Itu berarti harus menyimpan kunci enkripsi pada hard drive, dan membuatnya kurang aman. BitLocker dapat berfungsi pada drive tanpa TPM, tetapi Microsoft keluar dari caranya untuk menyembunyikan opsi ini untuk menekankan betapa pentingnya TPM untuk keamanan.
Tentu saja, TPM bukan satu-satunya opsi yang bisa diterapkan untuk enkripsi disk. FAQ TrueCrypt - sekarang dihapus - digunakan untuk menekankan mengapa TrueCrypt tidak digunakan dan tidak akan pernah menggunakan TPM. Ini membanting solusi berbasis TPM sebagai memberikan rasa aman yang salah. Tentu saja, situs web TrueCrypt sekarang menyatakan bahwa TrueCrypt sendiri rentan dan menyarankan Anda menggunakan BitLocker - yang menggunakan TPM - sebagai gantinya. Jadi ini sedikit membingungkan di tanah TrueCrypt.
Argumen ini masih tersedia di situs web VeraCrypt. VeraCrypt adalah garpu aktif dari TrueCrypt. FAQ VeraCrypt menegaskan BitLocker dan utilitas lain yang mengandalkan TPM menggunakannya untuk mencegah serangan yang mengharuskan penyerang memiliki akses administrator, atau memiliki akses fisik ke komputer. "Satu-satunya hal yang TPM hampir pasti berikan adalah rasa aman yang salah," kata FAQ. Ia mengatakan bahwa TPM, paling banter, "berlebihan".
Ada sedikit kebenaran untuk ini. Tidak ada keamanan yang mutlak mutlak. TPM dapat dikatakan lebih sebagai fitur kenyamanan. Menyimpan kunci enkripsi dalam perangkat keras memungkinkan komputer untuk mendekripsi drive secara otomatis, atau mendekripsi dengan kata sandi sederhana. Ini lebih aman daripada hanya menyimpan kunci itu pada disk, sebagai penyerang tidak bisa hanya menghapus disk dan memasukkannya ke komputer lain. Ini terkait dengan perangkat keras khusus itu.
Pada akhirnya, TPM bukanlah sesuatu yang harus Anda pikirkan banyak. Komputer Anda memiliki TPM atau tidak - dan komputer modern umumnya akan. Alat enkripsi seperti BitLocker Microsoft dan "enkripsi perangkat" secara otomatis menggunakan TPM untuk secara transparan mengenkripsi file Anda. Itu lebih baik daripada tidak menggunakan enkripsi sama sekali, dan itu lebih baik daripada hanya menyimpan kunci enkripsi pada disk, seperti yang dilakukan oleh Microsoft EFS (Encrypting File System).
Sejauh solusi berbasis TPM vs. non-TPM, atau BitLocker vs. TrueCrypt dan solusi serupa - yah, itu adalah topik rumit yang tidak benar-benar memenuhi syarat untuk dibahas di sini.
Kredit Gambar: Paolo Attivissimo di Flickr
