Users Guide
9
Módulo de plataforma segura (TPM) y
compatibilidad con BitLocker
Un Módulo de plataforma segura (TPM) es una microcontroladora segura con capacidades criptográficas diseñadas
para proporcionar funciones básicas relacionadas con la seguridad que incluyen claves de cifrado. Se instala en la
placa base del sistema y se comunica con el resto del sistema mediante el bus del hardware. Puede establecer la
propiedad del sistema y su TPM a través de los comandos de configuración del BIOS.
TPM almacena la configuración de la plataforma como conjunto de valores en un conjunto de registros de
configuración de la plataforma (PCR). Por tanto, uno de esos registros puede almacenar, por ejemplo, el fabricante de la
placa base; otro, el fabricante del procesador; un tercero, la versión de firmware de la plataforma, etc. Los sistemas que
incorporan un TPM crean una clave sujeta a las mediciones de la plataforma. La clave sólo se puede abrir cuando
dichas mediciones tienen los mismos valores que tenían cuando se creó la clave. Este proceso se denomina
sellar
la
clave al TPM. El descifrado se denomina
quitar el sello
. Cuando una clave sellada se crea por primera vez, el TPM
registra una instantánea de los valores de configuración y los hashes de archivo. A una clave sellada sólo se le
quita el
sello
o se libera cuando los valores actuales del sistema coinciden con los de la instantánea. BitLocker utiliza claves
selladas para detectar ataques contra la integridad del sistema. Los datos están bloqueados hasta que se cumplen las
condiciones específicas de hardware o software.
BitLocker mitiga el acceso no autorizado a los datos mediante la combinación de dos procedimientos principales de
protección de datos:
• Cifrado de todo el volumen del sistema operativo Windows en el disco duro: BitLocker cifra todos los archivos
de usuario y del sistema en el volumen del sistema operativo.
• Comprobación de la integridad de los componentes de inicio temprano y de los datos de configuración de inicio:
en sistemas que tienen la versión 1.2 de TPM, BitLocker aprovecha las capacidades de seguridad mejoradas del
TPM y asegura que los datos estén disponibles solo si los componentes de inicio del sistema no están alterados
y el disco cifrado se ubica en el sistema original.
BitLocker está diseñado para sistemas que tienen un microchip y un BIOS de TPM compatibles. Un TPM compatible se
define como un TPM versión 1.2. Un BIOS compatible admite TPM y la raíz estática de medición de confianza. BitLocker
sella la clave de cifrado maestra en el TPM y sólo permite que la clave se libere cuando las mediciones de código no
hayan cambiado desde un reinicio seguro anterior. Lo obliga a proporcionar una clave de recuperación para continuar
con el inicio si alguna medición ha cambiado. Un escenario de actualización del BIOS de uno a varios hace que
BitLocker detenga la actualización y solicite una clave de recuperación antes de completar el inicio.
BitLocker protege los datos almacenados en un sistema a través del
cifrado de volumen completo
y del
inicio seguro
.
Garantiza que los datos almacenados en un sistema sigan cifrados aunque el sistema se fuerce cuando el sistema
operativo no esté en ejecución e impide que el sistema operativo se inicie y descifre la unidad hasta que presente la
clave de BitLocker.
TPM interactúa con BitLocker para ofrecer protección al iniciar el sistema. TPM debe estar habilitado y activado antes
de que BitLocker lo utilice. Si ha cambiado la información de inicio, BitLocker entrará en modo de recuperación y
necesitará una contraseña de recuperación para volver a acceder a los datos.
47