TPM 是否会影响 Windows BitLocker 的性能?
usr*_*ΛΩΝ 4 performance bitlocker fde
我的问题可能很愚蠢,但我还没有找到有关该主题的确认
与仅依赖 PIN/USB/令牌身份验证相比,使用 TPM 是否可以提高 Windows BitLocker 的性能?
就我而言,我需要更换主板以获得 TPM 支持,但我不会更换 CPU,它是 AMD Phenom II。
在我的记忆中,答案应该是否定的,因为 TPM 仅充当密钥的加密存储,磁盘数据上的加密操作由 CPU 完成,其性能基于硬件加密加速。
这意味着性能降级取决于 Phenom(或任何其他 CPU)快速执行加密的能力。
这个问题显然与安全无关。并且预启动身份验证延迟(例如输入 PIN 的时间)对我来说不算性能。
在正常的加密数据访问操作期间不使用 TPM。
BitLocker 不使用 TPM 来存储用于执行保护 BitLocker 加密卷上数据的动态解密/加密操作的密钥。有点复杂,但这里简要说明相关键的使用方法:
- 写入受 BitLocker 保护的卷的数据使用全卷加密密钥(FVEK) 进行加密。在从卷中完全删除BitLocker 之前,此密钥不会更改。
- FVEK 使用卷主密钥(VMK) 进行加密,然后(以其加密形式)存储在卷的元数据中。
- VMK 又使用一个或多个保护程序加密,例如 TPM 或恢复密钥。
您可以将 TPM 与数字 PIN 或存储在 USB 驱动器上的部分密钥结合使用,以提高安全性。其中每一个都是双因素身份验证的一种形式。如果您的计算机没有兼容的 TPM 芯片和 BIOS,则可以将 BitLocker 配置为将密钥保护程序完全存储在 USB 驱动器上。这称为启动密钥。可以在不解密数据的情况下禁用 BitLocker;在这种情况下,VMK 仅受未加密存储的新密钥保护程序的保护。请注意,此清除密钥允许系统访问驱动器,就像它不受保护一样。
下图显示了用户使用 BitLocker 进行身份验证时发生的反向过程(请注意,身份验证通常意味着来自 TPM 的硬件证明)
很明显,TPM 的作用是简单地“存储”VMK 的加密副本,而该副本又用于解密 FVEK。当访问磁盘上的数据时,它是在实际加密/解密过程中使用的 FVEK。
可以在TechNet上找到有关此过程的更多信息。