봉래안녕하세요. TPM 모듈의 설치 및 사용에 관해서 질문드리고자 합니다. TPM에 대해서 대략적인 개념만 알고 실사용을 해보지 않다보니 자세히는 모릅니다. 일단 제가 궁금한 문제는 크게 두 가지로, 모듈 호환성 문제와, 모듈 사용 이후의 사후관리에 대한 것입니다.
1. 모듈 호환성
우선 제가 현재 사용중인 메인보드인 E3C224-4L에서는 TPM 해더가 있습니다. 그런데 TPM 모듈도 여러 다른 버전이 있고(현재 시중에는 v1.1, v2.0이 유통중이더군요), 또 개별 회사들이 모듈을 만들어 판매중인데, 이런 버전 및 제조사로 인한 메인보드 호환성 문제가 없나요? 메인보드 제조사의 매뉴얼을 확인해봐도 이에 대해 별 다른 언급이 없는 걸 보아, 호환성 문제도 없을거로 생각됩니다만, 제가 제대로 사용해본 적이 없다보니 여쭙습니다.
2. 사후관리
TPM 모듈을 실제 사용하면 보통은 비트로커 때문으로 압니다. 최근 윈도우 11이슈가 있긴한데, 메인보드가 4~5세대 물건인거만 봐도 아시겠지만 윈도우 11설치는 반 쯤 포기중입니다. 우회해서까지 설치가 가능하다지만... 윈도우 10 지원이 종료되는 4년 뒤까지 이 녀석을 쓸 지 모르겠고요.
현재 TPM 모듈을 고려하는 이유는, 고객정보가 저장된 사무실 스토리지의 하드디스크를 암호화하는게 목적입니다. 스토리지는 현재 윈도우 8.1 임베디드를 사용중으로 현재까지 큰 문제가 발생한 적은 없습니다만, 하드랙에서 바로 하드디스크를 빼가기만 하면 바로 데이터가 유출되기 쉬운 구조입니다.
그런데 제가 잘 모르는 (+ 걱정인) 부분이 여기서도 두 가지 있는데.. 첫 번째는 비트로커를 사용해도 스토리지를 통째로 들고 (또는 TPM모듈을 같이 들고) 가져가는 경우에는 복호화를 막을 방법이 없지 않은지? 하는 의문이 있습니다. 두 번째는 메인보드나 TPM 모듈 자체가 파손되어 하드디스크를 이전하는 경우엔 모듈이 없으니 아예 복호화가 불가능하여 아예 데이터가 망실되는게 아닌지 걱정이 되고요.
암호화란게.. 해독이 정말 안되야 하는데, 필요할 땐 또 쉽게 되어야 한다는 딜레마가 있다는걸 깨닫게 되네요.. ㅠㅠ
호환 안되는 모듈이 있긴 하겠지만 대부분은 될겁니다.
2. 스토리지 들고가도 복호화 사실상 불가능합니다.
다만 정말 민감한 자료라면 디스크 접근시 비밀번호를 사용하는 방식을 사용하심이 좋습니다.
단 미국 국토안보부 감사에서 유출 가능성이 있다곤 하는데 사실상 없다고 봐도 무방합니다
명****같은 데이터 복구 솔루션 업체에서도 비트로커 복구라고 하는건 대다수가 파일 temp와 같은 캐시, 썸네일 기반의 복구인걸로 알고있습니다
TPM모듈과 하드디스크 자체를 도난당한다 해도 하드웨어 변화(메인보드, cpu 등의 mac 등을 위시한 고유번호)를 감지하여 복구 모드 상태에 돌입하기에 복호화 키가 없다면 복호화가 불가능합니다
또한 메인보드나 TPM 모듈이 파손되더라도 복호화 키를 통해 복구 가능합니다 - 이는 TPM 모듈 리셋 후에 부팅하면 비트로커 복구 키를 입력하는 복구 모드 창이 뜰뿐 접근이 불가능해지지 않는걸로 알 수 있습니다
https://specopssoft.com/blog/what-causes-bitlocker-recovery-mode/
복구모드 진입 이유에 대한 설명입니다
https://itectec.com/superuser/will-clearing-the-tpm-make-bitlocker-encrypted-data-unavailable/
비슷한 류의 질문(tpm 리셋 후 비트로커 접근)
2. TPM은 CPU/MB 등등정보를 모두 취합해서 관리를 합니다. 만약 누군가가 TPM 모듈 + HDD를 가져가도 데이터 유출은 없다고 보시면 됩니다.
반면에 사용하시다가 보드 또는 OS DISK가 불량이 나면 전혀 다른 문제가 발생합니다.
2. 보드/OS 디스크 불량시의 문제를 좀 더 자세히 알려주실 수 없을까요?
중국은 조달납품할때 TPM 포함 필수요건 10년이 넘었거든요
이런건 많이 사용하고 만들어 본 회사/사용자들이 가장 많이 알죠
TPM+BitLocker가 분실에 대한 보험이죠. 장치 바뀌면 사용못해야죠