Users Guide
7
Módulo de plataforma segura (TPM) y
compatibilidad con BitLocker
Un Módulo de plataforma segura (TPM) es una microcontroladora segura con capacidades criptográficas diseñadas para
proporcionar funciones básicas relacionadas con la seguridad que incluyen claves de cifrado. Se instala en la placa base del sistema y
se comunica con el resto del sistema mediante el bus del hardware. Puede establecer la propiedad del sistema y su TPM a través de
los comandos de configuración del BIOS.
TPM almacena la configuración de la plataforma como conjunto de valores en un conjunto de registros de configuración de la
plataforma (PCR). Por tanto, uno de esos registros puede almacenar, por ejemplo, el fabricante de la placa base; otro, el fabricante
del procesador; un tercero, la versión de firmware de la plataforma, etc. Los sistemas que incorporan un TPM crean una clave sujeta
a las mediciones de la plataforma. La clave sólo se puede abrir cuando dichas mediciones tienen los mismos valores que tenían
cuando se creó la clave. Este proceso se denomina sellar la clave al TPM. El descifrado se denomina quitar el sello. Cuando una clave
sellada se crea por primera vez, el TPM registra una instantánea de los valores de configuración y los hashes de archivo. A una clave
sellada sólo se le
quita el sello o se libera cuando los valores actuales del sistema coinciden con los de la instantánea. BitLocker utiliza
claves selladas para detectar ataques contra la integridad del sistema. Los datos están bloqueados hasta que se cumplen las
condiciones específicas de hardware o software.
BitLocker mitiga el acceso no autorizado a los datos mediante la combinación de dos procedimientos principales de protección de
datos:
• Cifrado de todo el volumen del sistema operativo Windows en el disco duro: BitLocker cifra todos los archivos de usuario y
del sistema en el volumen del sistema operativo.
• Comprobación de la integridad de los componentes de inicio temprano y de los datos de configuración de inicio: en
sistemas que tienen la versión 1.2 de TPM, BitLocker aprovecha las capacidades de seguridad mejoradas del TPM y asegura que
los datos estén disponibles solo si los componentes de inicio del sistema no están alterados y el disco cifrado se ubica en el
sistema original.
BitLocker está diseñado para sistemas que tienen un microchip y un BIOS de TPM compatibles. Un TPM compatible se define como
un TPM versión 1.2. Un BIOS compatible admite TPM y la raíz estática de medición de confianza. BitLocker sella la clave de cifrado
maestra en el TPM y sólo permite que la clave se libere cuando las mediciones de código no hayan cambiado desde un reinicio
seguro anterior. Lo obliga a proporcionar una clave de recuperación para continuar con el inicio si alguna medición ha cambiado. Un
escenario de actualización del BIOS de uno a varios hace que BitLocker detenga la actualización y solicite una clave de recuperación
antes de completar el inicio.
BitLocker protege los datos almacenados en un sistema a través del cifrado de volumen completo y del inicio seguro. Garantiza que
los datos almacenados en un sistema sigan cifrados aunque el sistema se fuerce cuando el sistema operativo no esté en ejecución e
impide que el sistema operativo se inicie y descifre la unidad hasta que presente la clave de BitLocker.
TPM interactúa con BitLocker para ofrecer protección al iniciar el sistema. TPM debe estar habilitado y activado antes de que
BitLocker lo utilice. Si ha cambiado la información de inicio, BitLocker entrará en modo de recuperación y necesitará una contraseña
de recuperación para volver a acceder a los datos.
NOTA: Para obtener información sobre cómo activar BitLocker, consulte el sitio web de Microsoft TechNet. Para
obtener instrucciones sobre cómo activar TPM, consulte la documentación incluida con el sistema. Un TPM no es
necesario para BitLocker; sin embargo, sólo un sistema con un TPM puede proporcionar la seguridad adicional de
verificación de integridad del sistema de inicio. Sin TPM, BitLocker se puede utilizar para cifrar volúmenes pero no
un inicio seguro.
36