我的问题可能有点愚蠢,但我还没有找到关于这个话题的确认信息
使用 TPM 是否会改善 Windows BitLocker表现而不是仅仅依赖 PIN/USB/令牌身份验证?
就我而言,我需要更换主板才能获得 TPM 支持,但我不会更换 CPU,它是 AMD Phenom II。
我记得答案应该是不因为TPM仅仅作为密钥的加密存储,而对磁盘数据的加密操作是由CPU以基于硬件加密加速的性能完成的。
这意味着性能降级取决于 Phenom(或任何其他 CPU)快速执行加密的能力。
这个问题不是显然与安全性有关。而预启动身份验证延迟(例如输入 PIN 的时间)对我来说不算性能。
答案1
在正常的加密数据访问操作期间不使用 TPM。
BitLocker 不使用 TPM 来存储用于执行即时解密/加密操作(保护 BitLocker 加密卷上的数据)的密钥。这有点复杂,但这里简要说明一下相关密钥的使用方法:
- 写入受 BitLocker 保护的卷的数据使用全卷加密密钥(FVEK)。此密钥不会更改,直到 BitLocker完全地从卷中移除。
- FVEK 使用以下方式加密卷主密钥(VMK)然后以加密形式存储在卷的元数据中。
- VMK 又使用一个或多个保护者,例如 TPM 或恢复密钥。
您可以将 TPM 与数字 PIN 或存储在 USB 驱动器上的部分密钥结合使用,以提高安全性。这些都是双因素身份验证的一种形式。如果您的计算机没有兼容的 TPM 芯片和 BIOS,则可以将 BitLocker 配置为将密钥保护程序完全存储在 USB 驱动器上。这称为启动密钥。可以在不解密数据的情况下禁用 BitLocker;在这种情况下,VMK 仅受未加密存储的新密钥保护程序的保护。请注意,此明文密钥允许系统访问驱动器,就像它不受保护一样。
下图显示了用户使用 BitLocker 进行身份验证时发生的逆过程(请注意验证通常意味着来自 TPM 的硬件认证)
很明显,TPM 的作用只是“存储”VMK 的加密副本,而 VMK 又用于解密 FVEK。访问磁盘上的数据时,实际加密/解密过程中使用的是 FVEK。
有关此过程的更多信息,请访问科技网。