Citat:
Om du använder en TPM-modul sparas krypteringsnycklarna i TPM-modulen. Det innebär att en obehörig måste ha tillgång till både TPM-modulen och din hårddisk (d.v.s. sno hela datorn och inte bara skruva ur hårddisken). För att få ut krypteringsnycklarna måste man ange korrekt lösenord. TPM-modulen är designad på ett sådant sätt att det dröjer en kort stund innan krypteringsnycklarna ges ut, vilket gör det långsamt för en obehörig person att gissa lösenordet, t ex genom att testa alla lösenord i en ordlista. Det gör att TPM-moduler är användbara när ett kort lösenord används, t ex en PIN-kod.
Om du inte använder en TPM-modul sparas krypteringsnycklarna på hårdisken, krypterade med ditt lösenord. Det betyder att en obehörig måste lista ut ditt lösenord för att kunna dekyptera hårddisken. Så för att svara på din fråga: Nej, det är mycket svårt för en obehörig att få igång datorn, förutsatt att ditt lösenord är långt och komplicerat, och det blir varken lättare eller svårare om man flyttar hårddisken till en annan dator.
Jag skulle säga att huruvida en TPM är "säkrare" eller inte beror på vad man vill skydda sig emot. Vill man skydda sig mot en eventuell bakdörr som TPM-tillverkaren har byggt in åt NSA så bör man nog inte förlita sig på en TPM (fast då använder man nog inte heller BitLocker av samma anledning). Vill man skydda sig mot en obehörig som gissar ett kort lösenord (t ex för att lösenordet är en PIN-kod eller ett fingeravtryck) så bör man nog använda en TPM.
VeraCrypt stödjer inte TPM med följande motivering:
Citat:
Ursprungligen postat av Veracrypt FAQ
No [vi kommer inte använda oss av TPM]. Those programs [t ex BitLocker] use TPM to protect against attacks that require the attacker to have administrator privileges, or physical access to the computer, and the attacker needs you to use the computer after such an access. However, if any of these conditions is met, it is actually impossible to secure the computer (see below) and, therefore, you must stop using it (instead of relying on TPM).
If the attacker has administrator privileges, he can, for example, reset the TPM, capture the content of RAM (containing master keys) or content of files stored on mounted VeraCrypt volumes (decrypted on the fly), which can then be sent to the attacker over the Internet or saved to an unencrypted local drive (from which the attacker might be able to read it later, when he gains physical access to the computer).
If the attacker can physically access the computer hardware (and you use it after such an access), he can, for example, attach a malicious component to it (such as a hardware keystroke logger) that will capture the password, the content of RAM (containing master keys) or content of files stored on mounted VeraCrypt volumes (decrypted on the fly), which can then be sent to the attacker over the Internet or saved to an unencrypted local drive (from which the attacker might be able to read it later, when he gains physical access to the computer again).
The only thing that TPM is almost guaranteed to provide is a false sense of security (even the name itself, "Trusted Platform Module", is misleading and creates a false sense of security). As for real security, TPM is actually redundant (and implementing redundant features is usually a way to create so-called bloatware).
If the attacker has administrator privileges, he can, for example, reset the TPM, capture the content of RAM (containing master keys) or content of files stored on mounted VeraCrypt volumes (decrypted on the fly), which can then be sent to the attacker over the Internet or saved to an unencrypted local drive (from which the attacker might be able to read it later, when he gains physical access to the computer).
If the attacker can physically access the computer hardware (and you use it after such an access), he can, for example, attach a malicious component to it (such as a hardware keystroke logger) that will capture the password, the content of RAM (containing master keys) or content of files stored on mounted VeraCrypt volumes (decrypted on the fly), which can then be sent to the attacker over the Internet or saved to an unencrypted local drive (from which the attacker might be able to read it later, when he gains physical access to the computer again).
The only thing that TPM is almost guaranteed to provide is a false sense of security (even the name itself, "Trusted Platform Module", is misleading and creates a false sense of security). As for real security, TPM is actually redundant (and implementing redundant features is usually a way to create so-called bloatware).