Du kannst dir das TPM stark vereinfacht wie einen Passwortmanager für Schlüssel vorstellen. Die Konfiguration des Systemstarts wird auch als Schlüssel gespeichert (PCRs nennen sich die Register dafür). Damit kann dann überprüft werden, ob das Gerät ordnungsgemäß gestartet ist und Zugriff auf andere Schlüssel gewährt werden darf.
Wird z.B. bei BitLocker (größtenteils zusätzlich zu einem Passwort) eingesetzt. Damit kommst du dann nicht an Daten, wenn du nur das Passwort und die Festplatte hast oder sich der Startvorgang aufgrund eines Angriffs auf das System verändert hat.
Vorteile wären:
Zusätzlicher Schutz zu Passwort
oder kein Passwort merken notwendig
Schlüssel war nie auf der Festplatte und konnte / kann nicht abgegriffen werden
Schutz, ohne dass der User das in seinem Alltag merkt (bei Verschlüsselung wie BitLocker und LUKS2 merkt man es nicht und es wird auch als “Schutz” für die Lizenz von Microsoft Produkten wie Office verwendet)
Nur bei technischen Defekten brauchst du dringend Backups bzw. einen weiteren Schlüssel für die verwendete Verschlüsselung, aber die sollten ja sowieso immer da sein…
Du kannst dir das TPM stark vereinfacht wie einen Passwortmanager für Schlüssel vorstellen. Die Konfiguration des Systemstarts wird auch als Schlüssel gespeichert (PCRs nennen sich die Register dafür). Damit kann dann überprüft werden, ob das Gerät ordnungsgemäß gestartet ist und Zugriff auf andere Schlüssel gewährt werden darf.
Wird z.B. bei BitLocker (größtenteils zusätzlich zu einem Passwort) eingesetzt. Damit kommst du dann nicht an Daten, wenn du nur das Passwort und die Festplatte hast oder sich der Startvorgang aufgrund eines Angriffs auf das System verändert hat. Vorteile wären:
Nur bei technischen Defekten brauchst du dringend Backups bzw. einen weiteren Schlüssel für die verwendete Verschlüsselung, aber die sollten ja sowieso immer da sein…