Beeinflusst das TPM die Leistung von Windows BitLocker?

1621
usr-local-ΕΨΗΕΛΩΝ

Meine Frage könnte dumm sein, aber ich habe keine Bestätigungen zu diesem Thema gefunden

Ist mit einem TPM verbessern Windows BitLocker die Leistung nur auf PIN / USB / Token - Authentifizierung als Berufung?

In meinem Fall muss ich das Motherboard wechseln, um die TPM-Unterstützung zu erhalten, aber ich werde nicht die CPU, die eine AMD Phenom II ist, wechseln.

Zur Erinnerung sollte die Antwort ein einfaches NEIN sein, da das TPM nur als kryptografische Speicherung von Schlüsseln fungiert und kryptografische Operationen auf den Daten der Festplatte von der CPU mit einer auf der Hardwareverschlüsselungsbeschleunigung basierenden Leistung ausgeführt werden.

Dies würde bedeuten, dass die Leistungsabnahme von der Fähigkeit des Phenom (oder einer anderen CPU) abhängt, die Verschlüsselung schnell durchzuführen.

Bei dieser Frage geht es nicht offensichtlich um die Sicherheit. Die Verzögerung vor dem Start der Authentifizierung (z. B. die Zeit zum Eingeben der PIN) zählt für mich nicht als Leistung.

2
Ja, aber bei Verwendung von PIN + TPM enthält der TPM-Schlüssel die Taste. Wenn nur Pin vorhanden ist, ist beim Schlüsselspeicher und der Entschlüsselung keine Hardware beteiligt usr-local-ΕΨΗΕΛΩΝ vor 6 Jahren 0
Nun, ich habe versucht, den Umfang meiner Frage auf die Datenverschlüsselungsleistung zu konzentrieren. Ich interessiere mich nur für die Pre-Boot-Authentifizierungsphase, aber die ganze Frage könnte als "Erhalte ich bessere Platten-E / A-Benchmarks mit einem TPM?" usr-local-ΕΨΗΕΛΩΝ vor 6 Jahren 0

1 Antwort auf die Frage

5
Twisty Impersonator

Das TPM wird während normaler verschlüsselter Datenzugriffsvorgänge nicht verwendet.

BitLocker verwendet das TPM nicht zum Speichern des Schlüssels, der für die sofortige Entschlüsselung / Verschlüsselung von Daten zum Schutz von Daten auf einem mit BitLocker verschlüsselten Volume verwendet wird. Es ist etwas kompliziert, aber hier wird kurz erklärt, wie die relevanten Schlüssel verwendet werden:

  1. Daten, die auf ein mit BitLocker geschütztes Volume geschrieben werden, werden mit einem Full Volume-Verschlüsselungsschlüssel (FVEK) verschlüsselt . Dieser Schlüssel ändert sich nicht, bis BitLocker vollständig von einem Volume entfernt wurde.
  2. Der FVEK wird mit dem Volume Master Key verschlüsselt (VMK) verschlüsselt und dann (in verschlüsselter Form) in den Metadaten des Volumes gespeichert.
  3. Der VMK ist wiederum mit einem oder mehreren Protektoren wie einem TPM oder einem Wiederherstellungsschlüssel verschlüsselt .

Sie können das TPM mit einer numerischen PIN oder mit einem auf einem USB-Laufwerk gespeicherten Teilschlüssel kombinieren, um die Sicherheit zu erhöhen. Jede dieser Methoden ist eine Form der Zwei-Faktor-Authentifizierung. Wenn Ihr Computer nicht über einen kompatiblen TPM-Chip und ein kompatibles BIOS verfügt, kann BitLocker so konfiguriert werden, dass ein Schlüsselschutz vollständig auf einem USB-Laufwerk gespeichert wird. Dies wird als Startschlüssel bezeichnet. BitLocker kann deaktiviert werden, ohne die Daten zu entschlüsseln. In diesem Fall wird der VMK nur durch einen neuen Schlüsselschutz geschützt, der unverschlüsselt gespeichert wird. Beachten Sie, dass diese Taste den Zugriff auf das Laufwerk ermöglicht, als wäre es ungeschützt.

Das folgende Bild zeigt den umgekehrten Vorgang, wenn der Benutzer sich mit BitLocker authentifiziert (beachten Sie, dass Authentifizierung normalerweise eine Hardwarebescheinigung vom TPM bedeutet).

Scheme of disk decryption

Es ist klar, dass das TPM einfach eine verschlüsselte Kopie des VMK "speichert", die wiederum zum Entschlüsseln des FVEK verwendet wird. Es ist der FVEK, der beim eigentlichen Ver- / Entschlüsselungsprozess verwendet wird, wenn Daten auf der Festplatte abgerufen werden.

Weitere Informationen zu diesem Prozess finden Sie im TechNet .

Ich werde die Antwort bearbeiten und einige Auszüge aus dem ausgezeichneten TechNet-Artikel hinzufügen und dann akzeptieren. Genau das wollte ich wissen, um mein Verständnis von FDE-Innenfunktionen zu bestätigen usr-local-ΕΨΗΕΛΩΝ vor 6 Jahren 0

Verwandte Probleme