ホームユーザーにとってのトラステッドプラットフォームモジュールの利点は?
私は、LinuxとWindows 10をデュアルブートする、かなりコンピューターに精通したユーザーです。ホームデスクトップでのマルウェア、リモートエクスプロイトなどに対するセキュリティに関心があります。少なくとも理論的には、 トラステッドプラットフォームモジュール (TPM)は、これらの脅威に対する保護を提供できますか?実際には?
私はTPMについて読むのにかなりの時間を費やしましたが、それが私(またはそのことについてはほとんどの人)にどれほど正確に役立つかについて明確な画像を得ることができません。フルディスク暗号化が必要な場合は明らかに利点がありますが、フルディスク暗号化以外のホームユーザーのTPMの用途は何ですか? TPMを使用してSSHキーを保護する方法についての情報はありますが、それがどのように役立つかはわかりません。
フルディスク暗号化についてはすでに理解しているようですので、ここでは説明しません。
正しく構成されたトラステッドプラットフォームモジュールは、特定の特殊なタイプのマルウェアからユーザーを保護できます。特に厄介なマルウェアは、次の2つの目的のいずれかでブートローダーを書き換えます。
- ウイルス対策アプリケーションがそれについて何かをする前に、悪いことをしてください。例: TLD4
- OS全体を仮想化して、通常の方法では検出できずにすべての操作をスパイできるようにします(つまり、オンラインシステムがそのようなことが起こっていることを検出するのは非常に困難です)。例: 青い錠剤
TPMは、信頼の連鎖を確立することで、これらからユーザーを保護できます。ブートローダーを検証すると、承認されたマルウェア対策ソリューション( Early Launch Anti-Malware )を開始して、通常のウイルスからユーザーを保護できます。ここで、「TrustedPlatformModule」という名前が付けられます。 TPMは、OSのプラットフォームが改ざんされていないことを確認します。
ブートローダーが変更されている場合(つまり、信頼できる機関によって署名されていない場合)、TPMはシステムの起動に必要な情報の提供を拒否する可能性があるため、OSのインストールを手動で修復する必要があります。この保護は、トラステッドブートと呼ばれます。
ただし、OSが起動して実行されたら、通常のマルウェア対策プログラムによって保護を提供する必要があります。 TPMは、通常のウイルスに感染するのを防ぐことはできません。
セキュアブート
UEFIには、同様のことを行うセキュアブートと呼ばれる機能があり、必ずしもTPMを必要としません( TechNetソース ):
セキュアブートには、トラステッドプラットフォームモジュール(TPM)は必要ありません。
セキュアブートとトラステッドブートは同じものではありません!トラステッドブートはOSにブートプロセスの詳細を提供しますが、セキュアブートは起動する前にブートローダーを検証するだけですそれ。最新のOS(Windows 8以降のWindows、ほとんどのLinuxディストリビューション)は、セキュアブートをサポートしています。セットアップ方法の詳細は、マシンのファームウェアとOSによって異なりますが、通常、マシンのセットアップ画面にはかなり明白な「セキュアブート」設定があります。
参照: Windows 8.1ブートセキュリティ 、 Windows 8でのセキュアブートの有効化 。 Windows 8.1ブートプロセス 、 EFIセキュアブートとTPM