Un Módulo de plataforma segura (TPM) es una microcontroladora segura con capacidades criptográficas diseñadas para proporcionar
funciones básicas relacionadas con la seguridad que incluyen claves de cifrado. Se instala en la placa base del sistema y
se comunica con el resto del sistema mediante el bus del hardware. Puede establecer la propiedad del sistema y su TPM a través
de los comandos de configuración del BIOS.
TPM almacena la configuración de la plataforma como conjunto de valores en un conjunto de registros de configuración de la
plataforma (PCR). Por tanto, uno de esos registros puede almacenar, por ejemplo, el fabricante de la placa base; otro, el
fabricante del procesador; un tercero, la versión de firmware de la plataforma, etc. Los sistemas que incorporan un TPM crean
una clave sujeta a las mediciones de la plataforma. La clave sólo se puede abrir cuando dichas mediciones tienen los mismos
valores que tenían cuando se creó la clave. Este proceso se denomina
sellar la clave al TPM. El descifrado se denomina
quitar el sello. Cuando una clave sellada se crea por primera vez, el TPM registra una instantánea de los valores de configuración y los
hashes de archivo. A una clave sellada sólo se le
quita el sello o se libera cuando los valores actuales del sistema coinciden con los de la instantánea. BitLocker utiliza claves selladas
para detectar ataques contra la integridad del sistema. Los datos están bloqueados hasta que se cumplen las condiciones específicas
de hardware o software.
BitLocker mitiga el acceso no autorizado a los datos mediante la combinación de dos procedimientos principales de protección
de datos:
-
Cifrado de todo el volumen del sistema operativo Windows en el disco duro: BitLocker cifra todos los archivos de usuario y del sistema en el volumen del sistema operativo.
-
Comprobación de la integridad de los componentes de inicio temprano y de los datos de configuración de inicio: en sistemas que tienen la versión 1.2 de TPM, BitLocker aprovecha las capacidades de seguridad mejoradas del TPM y asegura
que los datos estén disponibles solo si los componentes de inicio del sistema no están alterados y el disco cifrado se ubica
en el sistema original.
BitLocker está diseñado para sistemas que tienen un microchip y un BIOS de TPM compatibles. Un TPM compatible se define como
un TPM versión 1.2. Un BIOS compatible admite TPM y la raíz estática de medición de confianza. BitLocker sella la clave de
cifrado maestra en el TPM y sólo permite que la clave se libere cuando las mediciones de código no hayan cambiado desde un
reinicio seguro anterior. Lo obliga a proporcionar una clave de recuperación para continuar con el inicio si alguna medición
ha cambiado. Un escenario de actualización del BIOS de uno a varios hace que BitLocker detenga la actualización y solicite
una clave de recuperación antes de completar el inicio.
BitLocker protege los datos almacenados en un sistema a través del
cifrado de volumen completo y del
inicio seguro. Garantiza que los datos almacenados en un sistema sigan cifrados aunque el sistema se fuerce cuando el sistema operativo
no esté en ejecución e impide que el sistema operativo se inicie y descifre la unidad hasta que presente la clave de BitLocker.
TPM interactúa con BitLocker para ofrecer protección al iniciar el sistema. TPM debe estar habilitado y activado antes de
que BitLocker lo utilice. Si ha cambiado la información de inicio, BitLocker entrará en modo de recuperación y necesitará
una contraseña de recuperación para volver a acceder a los datos.
-
NOTA: Para obtener información sobre cómo activar BitLocker, consulte el sitio web de Microsoft TechNet. Para obtener instrucciones
sobre cómo activar TPM, consulte la documentación incluida con el sistema. Un TPM no es necesario para BitLocker; sin embargo,
sólo un sistema con un TPM puede proporcionar la seguridad adicional de verificación de integridad del sistema de inicio.
Sin TPM, BitLocker se puede utilizar para cifrar volúmenes pero no un inicio seguro.
-
NOTA: La forma más segura de configurar BitLocker está en un sistema con TPM versión 1.2 y una implementación de BIOS compatible
con Trusted Computing Group (TCG), con una clave de inicio o un PIN. Estos métodos ofrecen autenticación adicional requiriendo
una clave física adicional (una unidad flash USB con clave legible por el sistema escrita en ella) o un PIN configurado por
el usuario.
-
NOTA: Para actualizaciones de BIOS masivas, cree una secuencia de comandos que deshabilite BitLocker, instale la actualización,
reinicie el sistema y, a continuación, vuelva a habilitar BitLocker. Para despliegues de Dell Update Package (DUP) uno a uno,
deshabilite manualmente BitLocker y, a continuación, vuelva a habilitarlo después de reiniciar el sistema.
-
NOTA: Además de los DUP del BIOS, se bloquea la ejecución de los DUP del firmware para las controladoras U320, Serial Attached SCSI
(SAS) 5, SAS 6, Expandable RAID Controller (PERC) 5, PERC 6 y Cost Effective RAID Controller (CERC) 6 en los sistemas que
tengan un chip de TPM versión 1.2, la
seguridad de TPM
activada con medición antes del inicio y la
activación de TPM
Activada, si se activa BitLocker (TPM, TPM con USB, o TPM con PIN).