Ainakaan tuo TPM2.0-vaatimus ei kalahda omaan nilkkaan, kun työläppäri, kotiläppäri ja kotidesktop tukevat suoraan. Oma "tiedostopalvelimeni" selviää myös tuosta vaatimuksesta, kun hommasin siihen aikoinaan erillisen TPM2.0 -moduulin emolevyn slottiin (olen kryptannut jokaisen laitteeni ja levyni). Enempi huolestuttaa tuo prossuvaatimus, jos se on noin kova niin sitten kotiläppäri ja palvelin jäävät W10-aikaan (molemmissa Skylake).
Tuo on kyllä yksi perkele jos rupeavat levyjä kryptaamaan. Meikäläinen ei sellaista sulata sitten yhtään. Levy pitää pystyä vaihtamaan toiseen koneeseen plug'n'playnä koska vain. Myös käyttislevy jotta sieltä saa pelastettua datan jos kone hajoaa.
Päivitykset on eri asia kuin levyn kryptaus. Kryptaus estää pääsyn omaan dataan.
Et voi laskea sen varaan, että levyn hajotessa se vain siirrettään toiseen koneeseen ja pelastetaan data. Suosittelen varmuuskopiointia. Kryptaus ei myöskään estä pääsyä omaan dataan, koska sinulla on kryptauksen avaava salasana tai palautusavain tallessa - vaatii toki inasen extranäppäilyä levyä siirrettäessä. Hajonnut kryptattu levy voi olla kinkkisempi pähkinä kuin kryptaamaton, mutta tässä palataan taas varmuuskopiointiin. Toisaalta en usko, että Windows kryptaisi automaattisesti mitään muuta, kuin käyttislevyn. Tätäkään se tuskin tekee muulloin kuin uusissa asennuksissa, ts. W10 -> W11 -päivitys tuskin tekee mitään kryptauksia omatoimisesti. Aika näyttää.
Moni valmistaja salaa jo nyt uusien toimitettavien koneiden kovalevyt valmiiksi Bitlockerilla. Kovo tulee salattuna Bitlocker suspend tilassa ja jos/kun koneeseen kirjaudutaan MS/M365 tilillä niin Bitlocker aktivoituu automaattisesti, palautusavain varmuuskopioidaan pilvitiliin ja salausavain sinetöidään TPM piiriin. Ihan Windowsin ominaisuus, tosin valmistaja tekee tuon valmistelun.
Myös puhdas W10-asennus voi nakata Bitlockerin päälle ilman erillistä komentoa. En ole päässyt jyvälle milloin ja miksi tuo tapahtuu, mutta homma on tullut monta kertaa vastaan. Jo Windows 8 saattoi kryptata levyn automaattisesti, kunhan laitteistossa oli tietyt asiat tuettuna
Windows 8.1 Will Start Encrypting Hard Drives By Default: Everything You Need to Know Tuo toimi jopa Home-versiossa. Eli oma veikkaus on se, että jatkossa kaikki laitteet ovat oletusarvoisesti kryptattuja. Tämä on pelkästään hyvä asia, jos ihmisille vain saadaan tehtyä tarpeeksi selväksi, mihin palautusavain tallentuu. Yrityspuolella tämä tuskin on ongelma kun IT-osasto hoitaa homman hallitusti, kotikäyttäjille nyt saattaa olla ties mitä random-humpuuki MS-tilejä, joille ei ole edes määritetty palautusvaihtoehtoja unohtuneen salasanan varalta. Sitten onkin kiva kun laite yhtäkkiä pyytää palautusavainta ja käyttäjä ei tiedä mitä MS-tiliä on käyttänyt tai mikä sen salasana on, hän muistaa ainoastaan Windows Hellon PIN-koodin tjms.
Tuo levyn kryptaus ei myöskään millään tavalla paranna tietoturvaa, jos edes salausavaimet eivät ole käyttäjän omissa käsissä, vaan jossain proprietary-sirulla emolevyllä. Nykyään suurin osa viruksista on ransomwarea ja sen voi toteuttaa ihan normikäyttäjän oikeuksilla toimivana userspace-ohjelmana, joka salaa käyttäjän tiedostot ja sen jälkeen alkaa vaatimaan lunnaita. Käyttäjän tarvitsee vain olla riittävän tyhmä, että suorittaa jonkun satunnaisen netistä ladatun .EXE-tiedoston. Pahimmassa tapauksessa ransomwaren kehittäjä hyödyntää jotain käyttöjärjestelmän privilege escalation -haavoittuvuutta ja varastaa sen avaimen sieltä TPM-sirulta ja muuttaa sen toiseksi, jolloin ei tarvitse edes aikaavievästi itse salata niitä käyttäjän tiedostoja millään omalla avaimellaan.
Ne palautusavaimet ovat käyttäjän Microsoft-tilillä, yrityspuolella Azuressa tai AD-palvelimella. Se ei toimi, että vain ja ainoastaan TPM voisi avata kryptauksen, koska TPM voi hajota tai tulla moka/bugi firmispäivitysten kanssa. En osaa sanoa onko TPM-sirun sisältöä mahdollista varastaa esim. käyttiksen puolelta, epäilen että ei. TPM:ään tallennetun avaimen vaihto toiseksi ei ymmärtääkseni myöskään toimi kuten sanoit, koska levyn data olisi tällöin kryptattava uudelleen. Lisäksi jälleen kerran: varmuuskopiointi.
.
