TPM
[image]
암호화 키 같은 보안정보를 저장하는데 쓰일 수 있는 모듈이다. Bitlocker등에서 이용된다. 이 모듈을 사용하면 패스워드 없이도 Bitlocker 암호화가 가능한데 모듈이 암호화 키를 대신 저장해 줘서 가능하다. TPM은 시스템이 시동되면 POST과정에서 시스템의 무결성을 검사한다. 검사하는 항목은 조금씩 다르지만 대부분 디스크, BIOS버전, 메인보드 정보, 하드디스크 등 시스템을 점검해서 시스템이 변조된 것으로 감지되면 잠겨 버리고 키를 내 놓는것을 거부하게 된다. [1] 옛날에는 일부 비즈니스용 노트북에나 들어가는 물건이었으나 요즘은 달려서 나오는 경우가 꽤 많다. 요즘 나오는 스마트폰에도 TPM이나 TPM과 비슷한 역할을 하는 보안칩이 달려서 나온다. 데스크탑 보드의 경우는 기본적으로 달려서 나오는 경우가 흔하지는 않다. 대신 TPM을 장착할 수 있도록 슬롯은 만들어 두는 경우가 꽤 있다. # 장착한 모습
다만 Skylake (6세대) 이후 Intel CPU인 경우 CPU level에서 Microsoft 정책에 따라 Windows OS 자체에서 fTPM을 지원한다.
애플의 경우 T시리즈 칩에서 유사한 기능을 제공한다. Apple Silicon 문서 참고
일반인이 활용할 수 있는 범위를 보자면 Windows에서 BitLocker을 사용하거나 Windows 10 OS (15063.413) 크리에이터 업데이터 이상 사용자는 Samsung Flow를 사용하여 모바일 생체 인증을 통한 Windows Hello를 이용할 수 있다.
TPM은 소프트웨어적인 복호화에서 그치지 않고 하드웨어적으로도 보안성을 한층 강화하는 방법이기 때문에 제대로만 관리한다면 매우 강력한 암호화 능력을 자랑한다. 공격자 입장에서 TPM으로 잠겨있는 암호화디스크는 TPM을 실제로 손에 넣지 않는 이상 복호화 작업을 하는 것이 거의 불가능해지기 때문에 방어자가 TPM을 분리해서 숨겨버리거나 파괴해버리면 엄청나게 골치가 아파진다.
1. Trusted Platform Module 신뢰 플랫폼 모듈
암호화 키 같은 보안정보를 저장하는데 쓰일 수 있는 모듈이다. Bitlocker등에서 이용된다. 이 모듈을 사용하면 패스워드 없이도 Bitlocker 암호화가 가능한데 모듈이 암호화 키를 대신 저장해 줘서 가능하다. TPM은 시스템이 시동되면 POST과정에서 시스템의 무결성을 검사한다. 검사하는 항목은 조금씩 다르지만 대부분 디스크, BIOS버전, 메인보드 정보, 하드디스크 등 시스템을 점검해서 시스템이 변조된 것으로 감지되면 잠겨 버리고 키를 내 놓는것을 거부하게 된다. [1] 옛날에는 일부 비즈니스용 노트북에나 들어가는 물건이었으나 요즘은 달려서 나오는 경우가 꽤 많다. 요즘 나오는 스마트폰에도 TPM이나 TPM과 비슷한 역할을 하는 보안칩이 달려서 나온다. 데스크탑 보드의 경우는 기본적으로 달려서 나오는 경우가 흔하지는 않다. 대신 TPM을 장착할 수 있도록 슬롯은 만들어 두는 경우가 꽤 있다. # 장착한 모습
다만 Skylake (6세대) 이후 Intel CPU인 경우 CPU level에서 Microsoft 정책에 따라 Windows OS 자체에서 fTPM을 지원한다.
애플의 경우 T시리즈 칩에서 유사한 기능을 제공한다. Apple Silicon 문서 참고
1.1. 활용 범위
일반인이 활용할 수 있는 범위를 보자면 Windows에서 BitLocker을 사용하거나 Windows 10 OS (15063.413) 크리에이터 업데이터 이상 사용자는 Samsung Flow를 사용하여 모바일 생체 인증을 통한 Windows Hello를 이용할 수 있다.
TPM은 소프트웨어적인 복호화에서 그치지 않고 하드웨어적으로도 보안성을 한층 강화하는 방법이기 때문에 제대로만 관리한다면 매우 강력한 암호화 능력을 자랑한다. 공격자 입장에서 TPM으로 잠겨있는 암호화디스크는 TPM을 실제로 손에 넣지 않는 이상 복호화 작업을 하는 것이 거의 불가능해지기 때문에 방어자가 TPM을 분리해서 숨겨버리거나 파괴해버리면 엄청나게 골치가 아파진다.
[1] 이렇게 되면 비트라커 복구용 암호를 입력해야 한다.