od Sasar 18. 1. 2017 17:01
Motáš páté přes deváté.
Hesla a klíče, uložená v TPM můžeš zálohovat libovolně. Zálohovat TPM čipy lze hromadně za pomoci Active Directory Domain Services, nebo jednorázovými nástroji pro domácí, jednotlivé, uživatele. O data uložená v něm nepřijdeš. Podobný postup se týká nástroje Bitlocker, stačí si exportovat klíč na libovolné úložiště, nebo se podvolit Redmodskému standardu, který se neptá a klíč vám zálohuje na OneDrive.
Šifrování lze provádět dvojí technikou. Hardwarové šifrování, které musí podporovat disk v interních režimech AES-256-CBC, nebo starší AES-128-CBC. Disky se označují jako Self-Encypted, FDE, SED apod. Princip zůstává stejný, použije se funkce ATA PASSWORD a tím se disk interně a sám šifruje, zcela nezávisle na operačním systému. Softwarové šifrování lze aplikovat na jakýkoliv disk a médium, zvolí se vyhovující režim (ovlivňuje rychlost a nároky na systémové prostředky) a aplikuje se podle principu každého nástroje. V případě potřeby lze ukládat dešifrovací klíče opět v chráněném úložišti TPM. Nejinak tomu je v případě Bitlockeru, který ale dovede kompenzovat degradaci výkonu (specifikace IEEE-1667), známá pod obecnou zkratkou Microsoft eDrive. Disky, které podporují akceleraci s minimálním dopadem, jsou poté označovány jako OPAL2.
Kdy budete zadávat heslo je věc principu, v případě ATA Password, není jiná možnost a musí se zadat při inicializaci disku (bios), to se ověří, disky se odemknou a proces pokračuje dál. Výhodu je, že se hesla žádného disku nedostanou do adresního prostoru paměti. Mezi nevýhody patří laxní přístup výrobců, ceny a neochota aplikovat integrované nástroje, které vám jedním heslem (smartcard, tokenem, otiskem) odemknou disky, přihlásí do systému/domény, připojí vpn sítě apod. Většině výrobců se nechce aplikovat ani podpora long ata password - dlouhá hesla a už vůbec ne práce s více disky, nebo integrované utility. Bonusy, které získáte jen u některých konfigurací počítačů pro střední a velké sítě.
Doma šifruji v pohodlí Bitlockeru, oba disky Samsung 960 Evo a 850 Evo podporují OPAL2 (Bitlocker ztráta je asi 2-4%), tak interní šifrování (ATA Password). Mohu si vybrat oba principy a upřednostňuji Bitlocker. Pohodlnější a s MSI C236A WS neumí pořádně pracovat s ATA Password a více disky. Nebudu si komplikovat život, zbytečností, protože šifrování má chránit před ztrátou dat (zloději, zastavárny a reklamace). Všechny certifikáty a klíče jsou uloženy v TPM čipu (to co popisuješ je CMS, klíče jsou v EFI), do kterého není standardní přístup. K výhodám patří svoboda manipulace, mohu disk vyjmout a v libovolném počítači s Windows odemknout. Platné i pro externí a usb flashdisky.
Nekomplikuj si život. U jednoho počítače můžeš, ale já jich instaluji 48 současně (omezení rozvodů) a všechno centrálně. Vybalím, napálím do nich aktuální obrazy, klíče, nastavení, software a na místě se jen vybalí, vymění za staré a jsou připravené. S jedním počítačem si můžete vyhrát, ale s 500 počítači, které se musí stihnout za odpoledne vyměnit, už to nejde. Standardizované a centrálně spravovatelné, proto doporučuji jen věci, se kterými mám zkušenosti.