Špeciálne funkcie – Ultra TPM
Gigabyte EP45-DS3R je vybavená čipom TPM – Trusted Platform Module. Čo ale ten TPM je a aké výhody prináša?On-line bankovníctvo, zaheslované dokumenty, zabezpečený vzdialený prístup k PC – to všetko a mnoho iného závisí v určitej miere na kryptovaní. Nechať ale celý zabezpečovací proces iba na softvér by sa dalo prirovnať k zahodeniu kľúča od vašich vchodových dverí niekde do vašej záhrady – môžete iba dúfať, že ich nikto nepovolaný nenájde. Každý softvér môže byť zmenený iným softvérom, nemôžete sa dokonca stopercentne spoľahnúť ani na bezpečnostný program, ktorý by vás mal varovať, pretože aj ten môže byť zmanipulovaný. Práve tu je potrebné zakomponovať nejaký hardvérový článok, ktorý nemôže byť infikovaný škodlivým softvérom. A tento hardvérový článok je práve TPM.
TPM má viacero funkcií, vrátane generátora náhodných čísel a generátora kľúčov, vďaka ktorým môže napríklad vytvárať digitálne podpisy či kľúče pre šifrovanie. Tieto kľúče sú ale na rozdiel od čisto softvérových riešení uložené v krytej časti čipu TPM, takže je ich oveľa ťažšie napadnúť. Vaše privátne kľúče (určené na dešifrovanie) ale nikdy neopúšťajú čip TPM, namiesto toho TPM porovnáva tieto kľúče a buď ich potvrdzuje alebo podpisuje kľúče verejné (určené na šifrovanie, odvodený z privátneho).
Infineon TPM čip na Gigabyte EP45-DS3R
Samotný čip TPM ale neobsahuje žiaden vlastný, interný softvér, je nutné mať nejaký špeciálne preň napísaný. Ak máte napríklad čítačku odtlačkov prstov na notebooku, všetky skeny a uložené heslá pomocou jej obslužného softvéru môžu byť chránené prostredníctvom TPM.
Podobne je cez TPM zabezpečené kompletné šifrovanie pevných diskov, buď nástrojom integrovaným vo Windows Vista Ultimate – BitLocker, alebo programami tretích strán (PGP Whole Disk Encryption, CompuSec FDE, Securstar DriveCrypt Plus Pack). Tieto programy zašifrujú celú diskovú jednotku a využívajú TPM pre kontrolu boot-ovacích komponentov, takže nebude možné nabootovať operačný systém, ak s ním niekto manipuloval, alebo ak niekto ukradne celý váš disk, nebude schopný dešifrovať jeho obsah. Rovnako napríklad aj súbor hibernácie je šifrovaný.
Ak si vytvoríte zálohu kľúča napríklad na flash USB disk, nebude pre vás problémom ani zlyhanie počítača – disk prečítate bez problému aj na inom PC.
TPM je teda hlavne o bezpečnosti a šifrovaní, a keďže v dnešnej dobe je cena dát omnoho vyššia ako cena hardvéru, je len pozitívne že sa takýto čip objavuje aj na základnej doske tejto triedy.
Čip TPM je nutné najprv inicializovať priamo v BIOSe, po naštartovaní operačného systému nasleduje inštalácia ovládačov.
Potom ešte nasleduje nastavenie priamo cez obslužný softvér od Infineon v týchto krokoch:
- inicializácia (na výber je aj obnovenie zo zálohy)
- zadanie primárneho hesla
- výber funkcií na konfiguráciu (Automatic Backup, PasswordR, BitLocker)
- umiestnenie automatických záloh
- vytvorenie tzv. Recovery Token-u, teda záložného kľúča napr. na USB flash disk, chránené vlastným heslom
- vytvorenie Password Reset Token na zmenu hesla, tento token je taktiež chránený vlastným heslom
- dokončenie
Po týchto krokoch je TPM plne aktivovaný a je možné nastaviť niektoré funkcie ktoré ponúka, a to napríklad zabezpečené e-mail-y, šifrovanie disku alebo vytvorenie PSD – Personal Secure Drive.
Posledne menovaná funkcia je veľmi užitočným doplnkom – vytvorí sa špeciálna partícia s vlastnoručne definovanou veľkosťou, kde dáta ktoré na ňu prekopírujete budú zašifrované. Po odpojení jednotky cez ovládací panel sa táto „stratí“ zo systému a ak chcete k nej zonva pristúpiť, je nutné zadať heslo. Ak by sa aj k dátam niekto bez hesla dostal, budú šifrované a teda nepoužiteľné.
Partícia PSD v systéme
Po vypnutí PSD a opätovnom zapnutí...
...je nutné zadať heslo.
Gigabyte pridáva k tejto funkcii aj malý nástroj, vďaka ktorému je práca s PSD ešte o niečo zaujímavejšia – na USB flash disk je možné uložiť kľúč, ktorý po zasunutí flash disku do USB konektora počítača automaticky inicializuje skrytú šifrovanú partíciu a po jeho vytiahnutí ju opäť „zneviditeľní“.
Komu sa ale nechce kopírovať dáta na novú partíciu, môže šifrovať súbory alebo celé zložky priamo z kontextovej ponuky v Prieskumníkovi Windows. Ich čítanie bude potom možné iba po zadaní hesla.
palee
crux2005
BurnerTom
MBG
mugwai
Gudas
rottenkiwi