Users Guide
9
Prise en charge du module de plateforme
sécurisé et de BitLocker
Le TPM (Trusted Platform Module, module de plateforme sécurisé) est un microcontrôleur sécurisé doté de fonctions de
cryptage, conçu pour fournir des fonctions de sécurité de base, notamment des clés de cryptage. Il est installé sur la
carte mère et communique avec le reste du système à l'aide d'un bus matériel.Vous pouvez définir le propriétaire du
système et de son TPM avec des commandes de configuration du BIOS.
Le TPM stocke la configuration de plateforme sous forme d'un ensemble de valeurs dans une série de PCR (Platform
Configuration Registers, registres de configuration de plateforme). Ainsi, l'un des registres peut stocker, par exemple, le
nom du fabricant de la carte mère. Un autre stockera le nom du fabricant du processeur, un troisième, la version du
micrologiciel de la plateforme, etc. Les systèmes qui intègrent un TPM créent une clé liée à des mesures de plateforme.
Cette clé ne peut être décompressée que lorsque ces mesures ont la même valeur que celle qu'elles avaient lors de la
création de la clé. Ce processus est appelé
scellement
de la clé dans le TPM. Le décryptage est appelé
descellement
.
Lors de la création initiale d'une clé scellée, le TPM enregistre un instantané des valeurs de configuration et des valeurs
de hachage de fichier. La clé scellée est uniquement
descellée
(libérée) lorsque les valeurs systèmes actuelles
correspondent à celles de l'instantané. BitLocker utilise des clés scellées pour détecter les attaques contre l'intégrité
du système. Les données sont verrouillées jusqu'à ce que des conditions matérielles et logicielles spécifiques soient
réunies.
BitLocker empêche l'accès non autorisé aux données en combinant deux procédures essentielles de protection des
données :
• Cryptage de l'ensemble du volume du système d'exploitation Windows sur le disque dur : BitLocker crypte tous
les fichiers utilisateur et système dans le volume du système d'exploitation.
• Vérification de l'intégrité des composants d'amorçage précoce et des données de configuration d'amorçage :
sur les systèmes disposant de la version 1.2 du TPM, BitLocker exploite les capacités de sécurité améliorées
du TPM et veille à ce que les données soient accessibles uniquement si les composants d'amorçage du
système ne sont pas altérés et si le disque crypté se trouve dans le système d'origine.
BitLocker est conçu pour les systèmes dotés d'une micropuce TPM compatible et un BIOS. Le TPM compatible est
défini comme étant la version 1.2 du TPM. Un BIOS compatible prend en charge le TPM et la mesure statique de la
racine de confiance (SRTM, Static Root of Trust Measurement). BitLocker scelle la clé de cryptage maîtresse dans
le TPM et autorise sa libération uniquement lorsque les mesures de code sont identiques à celles d'un amorçage
sécurisé précédent. Cela vous force à fournir une clé de restauration pour continuer l'amorçage si certaines mesures
ont changé. Dans un scénario de mise à jour du BIOS 1-à-n, BitLocker bloque la mise à jour et demande une clé de
restauration avant d'effectuer l'amorçage.
BitLocker protège les données stockées sur un système par
cryptage de l'ensemble du volume
et
démarrage sécurisé
.
Cela garantit que les données stockées sur un système restent cryptées même si un utilisateur modifie le système alors
que le système d'exploitation n'est pas en cours d'exécution, et interdit au système d'exploitation de s'amorcer et de
décrypter le lecteur tant que vous n'avez pas saisi la clé BitLocker.
Le TPM se combine à BitLocker pour fournir une protection au démarrage du système. Le TPM doit être installé et activé
pour que BitLocker puisse l'utiliser. Si les informations de démarrage ont changé, BitLocker passe en mode de
restauration et vous avez besoin d'un mot de passe de restauration pour accéder de nouveau aux données.
57