BitLocker磁盘加密通常需要Windows上的TPM。Microsoft的EFS加密永远不能使用TPM。Windows10和8.1上新的“设备加密”功能还需要一个现代化的TPM，这就是为什么它只在新硬件上启用的原因。但是什么是TPM？

TPM代表“可信平台模块”。它是计算机主板上的一个芯片，可以帮助实现防篡改的全磁盘加密，而不需要非常长的密码。

什么是是的，没错(it, exactly)？

相关：如何在Windows上设置BitLocker加密

TPM是一个芯片，它是你电脑主板的一部分——如果你买了一台现成的电脑，它就会焊接在主板上。如果你自己造了一台电脑，如果你的主板支持的话，你可以买一台作为附加模块。TPM生成加密密钥，将密钥的一部分保留给自己。因此，如果您在带有TPM的计算机上使用BitLocker加密或设备加密，则部分密钥存储在TPM本身中，而不仅仅存储在磁盘上。这意味着攻击者不能仅从计算机中删除驱动器并尝试在其他地方访问其文件。

该芯片提供基于硬件的身份验证和篡改检测，因此攻击者不能试图移除该芯片并将其放置在另一个主板上，也不能篡改主板本身以试图绕过加密——至少在理论上是这样。

加密，加密，加密

对于大多数人来说，这里最相关的用例是加密。现代版本的Windows透明地使用TPM。只需在启用“设备加密”的现代PC上使用Microsoft帐户登录，它将使用加密。启用BitLocker磁盘加密，Windows将使用TPM存储加密密钥。

你通常只需要输入你的Windows登录密码就可以访问加密的驱动器，但是它的加密密钥比这个要长。加密密钥部分存储在TPM中，因此您实际上需要Windows登录密码和驱动器所在的计算机才能访问。这就是为什么BitLocker的“恢复密钥”要长得多的原因—如果将驱动器移动到另一台计算机，则需要更长的恢复密钥才能访问数据。

这就是为什么旧的Windows EFS加密技术没有那么好的原因之一。它无法在TPM中存储加密密钥。这意味着它必须将加密密钥存储在硬盘上，从而降低了安全性。BitLocker可以在没有TPM的驱动器上运行，但微软特意隐藏了这个选项，以强调TPM对安全性的重要性。

为什么truecrypt回避tpms

相关：为满足您的加密需求，有3种TrueCrypt替代方案

当然，TPM并不是唯一可行的磁盘加密选项。TrueCrypt的常见问题-现在被删除-用来强调为什么TrueCrypt没有使用，也永远不会使用TPM。它抨击基于TPM的解决方案提供了错误的安全感。当然，TrueCrypt的网站现在声明TrueCrypt本身是易受攻击的，并建议您使用BitLocker—它使用TPMs—代替。所以在TrueCrypt land有点混乱。

然而，VeraCrypt的网站上仍然可以找到这个论点。VeraCrypt是TrueCrypt的一个活动分支。VeraCrypt的FAQ坚持认为，BitLocker和其他依赖于TPM的实用程序使用它来防止需要攻击者具有管理员访问权限或物理访问计算机的攻击。“TPM几乎可以保证提供的唯一一件事就是错误的安全感，”常见问题解答说。它说TPM充其量是“冗余的”。

这有点道理。没有安全是绝对的。TPM可以说是更方便的特性。将加密密钥存储在硬件中可以让计算机自动解密驱动器，或者用简单的密码解密。它比简单地将密钥存储在磁盘上更安全，因为攻击者不能简单地取出磁盘并将其**另一台计算机。它与特定的硬件有关。

归根结底，TPM并不是你需要考虑的事情。你的电脑要么有TPM要么没有—现代电脑一般都会有。像微软的BitLocker和“设备加密”这样的加密工具会自动使用TPM对文件进行透明加密。这比完全不使用任何加密要好，也比像微软的EFS（Encrypting File System）那样简单地将加密密钥存储在磁盘上要好。

至于TPM与非基于TPM的解决方案，或者BitLocker与TrueCrypt以及类似的解决方案——好吧，这是一个复杂的话题，我们在这里没有资格讨论。

图片来源：保罗·阿提维西莫