Шифрование через TPM: теперь и в Линуксе

Остаётся вопрос – а оно всегда будет по желанию? Или сначала просочится во все популярные дистрибутивы, потом отключение будет зарыто максимально глубоко, а потом и вообще исчезнет?

Как говорится, «вы находитесь здесь».

Нет, но, например, доступ к зашифрованному диску на твоей машине даёт тебе ОС после ввода пароля, а резервные ключи у МС.

Так же это может использовать организация, чтобы в случае чего ограничить доступ к данным на диске пользователю в ситуации, когда он имеет к диску физический доступ.

Собственно выше ответили

Так же это может использовать организация, чтобы в случае чего ограничить доступ к данным на диске пользователю в ситуации, когда он имеет к диску физический доступ.

Для этой цели давно существовали всякие аппаратные решения. Более того, от них никто не отказывается с появлением TPM и Win11. По крайней мере в серьезных компаниях, где действительно есть что защищать.

Не особо знаком с этими решениями, но tpm теперь есть везде и это можно делать из коробки. Так же там может хранить секреты какой-нибудь проприетарный софт и не выдавать его пользователю, для своего drm.

Так, а «плохо» тут в каком месте? Ты же понимаешь, что если мне админ даёт комп, а код восстановления только у него, у меня пропадает необходимость хранить этот код у себя?

Так, а «плохо» тут в каком месте? Ты же понимаешь, что если мне админ даёт комп, а код восстановления только у него, у меня пропадает необходимость хранить этот код у себя?

Плохо, когда это добровольно-принудительно внедряется на персональных машинах. А когда тебе рабочую машину админ даёт, то это не твоя забота.

Если шифрование можно отключить даже на win11, то сомневаюсь, что его пробьют гвоздями в Линуксе.

А я этого и не говорил, только показал разницу между применением TPM для удобства защиты секретов пользователя и защитой секретов от пользователя.

Ну в случае с шифрованным диском от пользователя данные не защищены. Он в любом случае может данные скопировать, пусть даже снять фотографию. А шифруют диски - чтобы защититься от Васяна, который ноут украл, и хочет данные заполучить.

Ну в случае с шифрованным диском от пользователя данные не защищены.

Если диск зашифрован а у пользователя нет доступа к ключу, то он не может получить данные в обход системы.

Если он не может получить данные в обход системы, значит он получает доступ к ним пока у него есть доступ к системе и согласно политикам безопасности в ней.

Доступ к системе и политики в этой ситуации часто контролируются удалённо.

А шифруют диски - чтобы защититься от Васяна, который ноут украл, и хочет данные заполучить.

Для этого TPM не нужен. Но можно с его помощью добавить еще один слой безопасности (правда это ненужное переусложнение для подобного юзкейса). Либо улучшить комфорт по разблокированию системы, но добавив кучу сложностей и, с высокой вероятностью, пожертвовав безопасностью.

TPM для персонального использования интересен в нишевых случаях.

Не понимаю шмона по поводу TPM.

Вполне нормальный способ сделать приватные ключи неизвлекаемыми, напр. на случай попадания малваря или хищения устройства.

Для важных данных на случай аппаратного дефекта (выхода из строя чипа TPM, писающего на материнку кота, падения телефона в сортир, кражи устройства, попадания в дом метеорита) нужно делать 🥁 барабанная дробь 🥁 бекапы (тоже зашифрованные, там уже своим ключом, паролем, как хочешь).

Если он не может получить данные в обход системы, значит он получает доступ к ним пока у него есть доступ к системе и согласно политикам безопасности в ней.

Да, и это то, что нужно при работе в офисе. С другой стороны, если ноут личный, что мешает забекапить все коды восстановления самостоятельно? Ты админ на своем лэптопе, и нет никаких других админов кроме тебя.

Видимо, не нравится, что в винде оно по умолчанию включено.

Не нравится, что оно не просто по умолчанию включено, а что юзеров загоняют под TPM и винда (11-я) в системных требованиях требует его наличия. Также как фактически и аккаунта MS, куда бекапит ключи (но не обязательно их еще оттуда восстановишь). В итоге легким движением руки защита пользователя превращается в «защиту» от пользователя, как уже давно в смартфонах.

Если под «загоняют по TPM» имеется ввиду «заставляют шифровать», то что в этом плохого? Это же хорошо.

С другой стороны, если ноут личный, что мешает забекапить все коды восстановления самостоятельно?

Если сам всё делал, то ничего. Но и смысла для защиты от кражи в этом нет.

Проблемы начинаются с навязанным TPM, когда приходят люди с ноутом на винде и им приходится объяснять, что их данные безвозвратно потеряны.

Когда кого-то хотят насильно осчастливить на самом деле его хотят, кхм, вежливо налюбить. Это универсальный принцип (исключение разве что родители и то не всегда). И как и в чем именно даже примерно понятно.

Проблемы начинаются с навязанным TPM, когда приходят люди с ноутом на винде и им приходится объяснять, что их данные безвозвратно потеряны.

Какой-то бред, даже 11 винда не требует полнодисковое шифрование

Там же fallback в виде пароля можно поставить ЕМНИП.

Если там есть такой «fallback» то, как бы это помягче сказать, хреновая схема и по сути вырождение TPM во «впаянную флэшку с ключами». У того же эппла, при всем моем к нему неуважении, оно сделано правильней - через их аналог TPM прокатывается всё и ключ неизвлекаемый (ну как минимум это декларируется).

Какой-то бред, даже 11 винда не требует полнодисковое шифрование

Шифрование на предустановленной винде на ноуте.

Проблемы начинаются с навязанным TPM, когда приходят люди с ноутом на винде и им приходится объяснять, что их данные безвозвратно потеряны.

И чьи это проблемы? Если пароль от гугломейла забыть, то тоже хреново будет.

И чьи это проблемы? Если пароль от гугломейла забыть, то тоже хреново будет.

Винда ключ после обновления потеряла, ключи есть только на учетке МС, о которой юзеры предустановленной винды и не задумывались. Про риск потерять данные они даже не в курсе были.

Если там есть такой «fallback» то, как бы это помягче сказать, хреновая схема и по сути вырождение TPM во «впаянную флэшку с ключами».

Свобода выбора жы есть! Хочешь максимально секурно - делай. Хочешь вырождать TPM во «впаянную флешку с ключами» - вырождай. Хочешь вообще не шифровать - не шифруй.

на учетке МС, о которой юзеры предустановленной винды и не задумывались

С какой это стати, если на новом ноуте при первом включении как раз явно и регистрируется микрософтовский е-мейл и этот их ID?

С какой это стати, если на новом ноуте при первом включении как раз явно и регистрируется микрософтовский е-мейл и этот их ID?

Еще там бывает уже зарегистрированная учетка, а пользователи по старше через год вообще про email забывают. О том, что там шифрование данных и какие риски оно создаёт типичный юзер не в курсе.

Ни разу не видел таких личных ноутов.

У эпла целый крипто-SoC, довольно производительный, в то время как tpm - простенький микроконтроллер. И то аппаратный tpm часто не делают, т.к. делать контроллер с шифрованной шиной слишком дорого.

Мне приносили такие с просьбой помочь вытащить данные. Видна просто по какой-то причине не смогла взять ключ из TPM, а юзеры ничего ни про учетку микрософта не знают, ни про шифрование диска.

Значит им кто-то всё таки настроил учётку, а о пароле не сообщил. Это обычный случай неготовности пользователя к использованию техникой. Встречается сплошь и рядом. Вот, например, если человек слишком стар для смартфона, он продолжает пользоваться кнопочными телефонами.

Ты хочешь сказать, что ноут, настроенный так чтобы при его краже посторонний человек не смог считать с него данные, не даёт постороннему человеку считать с него данные? 🤯 Вот это поворот.

Конечно плохо, что покупатель оказывается не в курсе про такой дефолт от поставщика. Но я бы расстроился если у меня в системе было полнодисковое шифрование, которое по факту обходится васяном-ремонтником за 5 минут.

Это обычный случай неготовности пользователя к использованию техникой.

Это обычный случай безответственного решения со стороны микрософт, последствия которого предугадать мог каждый.

Нет, тут надо чётко различать. Либо на купленном ноуте кто-то до покупки произвел начальную настройку, и тогда он уже фактически б/у (но можно в любом случае произвести сброс к заводским настройкам). Либо эту настройку выполнил кто-то из своих, и тогда обязан был сообщить все данные целевому пользователю (или быть готовым восстановить доступ к данным при случае). Т.е. кто-то сделал что-то не так на пользовательской стороне, а виноват разработчик системы, да? Нет, такая критика не катит.

Конечно плохо, что покупатель оказывается не в курсе про такой дефолт от поставщика.

В выбранном МС подходе и проблема. Это совсем не очевидный дефолт, типичный юзер ничего не знает про шифрование, ему про него никто не напоминает и не предупреждает о рисках, а потом он оказывается без своих данных.

Либо на купленном ноуте кто-то до покупки произвел начальную настройку

Возможно.

Либо эту настройку выполнил кто-то из своих

Возможно.

Т.е. кто-то сделал что-то не так на пользовательской стороне, а виноват разработчик системы, да?

Да, так как не эти люди включили шифрование и не знали о возможных последствиях.

ПЭКА – это сложный программно-аппаратный комплекс, которым надо учиться пользоваться.

Там же fallback в виде пароля можно поставить ЕМНИП.

Gemini по этому поводу говорит что

Когда вы используете TPM для автоматической разблокировки LUKS-зашифрованного диска, сам TPM не хранит ключ шифрования данных. Вместо этого, он содержит слот, который используется для автоматической расшифровки главного ключа диска, но только при определенных условиях (например, если состояние загрузки системы не было изменено).

Настоящей "резервной копией" является парольная фраза LUKS, которую вы установили при шифровании диска. TPM - это всего лишь дополнительный, удобный способ разблокировать диск без необходимости каждый раз вводить эту фразу.

Если это действительно так, то мне это нравится гораздо больше, чем единственный и неповторимый ключ в TPM чипе

к сожалению я уже в 3 раз встречаю как нефиг делать из trm читают, закрытые ключи.

У эппла это работает ровно так же. При включении File Vault (шифрование диска) тебе показывают ключ, который ты должен переписать на бумажку и положить в сейф. Далее с этим ключом ты всегда можешь расшифровать свой диск.

MS сделали наличие TPM рациональным

Может опциональным?

Да. Это чёртово автопополнение. Не всегда вижу подмену.

помнится, я ещё лет десять назад для одного частного заказчика писала код с TPM под онтопик. непонятно, что там надо «поддерживать», оно просто работает, и давно. это фича железа. другое дело, что эту фичу должны поддерживать процессор, материнка и прошивки для железа. но ещё полным полно железа, которое это просто не умеет.