[Lerran]

Hallo zusammen,

das Thema TPM ist ja momentan recht häufig im Munde wegen Windows 11.

Ich habe nun in einem Artikel gelesen, dass wegen fehlender TPM-Unterstützung bei Linux die Datensicherheit nicht gut sei und die Festplattenverschlüsselung nichts mehr bringt.

Was ist denn nun dran an der Sache? Ich kann mich noch an früher erinnern, als TPM keinen guten Ruf hatte wegen eingeschränkter Kontrollmöglichkeiten und jetzt plötzlich ist es quasi ein "must-have" und "gut"

Ist Linux wegen fehlendem TPM jetzt tatsächlich angreifbarer wie Windows und bietet eine schlechtere Datensicherheit?

Und könnte man in z. B. Mint tatsächlich kein TPM nutzen? Hätte es denn überhaupt einen wirklichen Nutzen, wie es momentan beschrieben wird?

Vielen Dank für eure Expertise mal wieder

[foobar]

Kompliziertere Geschichte.

Der grundsätzliche Gedanke hinter einem TPM ist es, den Nutzer zu enteignen. Der Rechner gehört dir, aber du darfst nicht mehr alles damit machen, was du willst. Das macht das TPM nicht direkt, es ist (stark vereinfacht) nur ein besonders geschützter Speicherbereich, an den Fußvolk wie du nicht randürfen. Dadurch kann eine Software oder ein Webdienst deinen Rechner eindeutig identifizieren und dann anhand dieser Identifikation Entscheidungen treffen. Quasi wie ein DNA-Profil oder ein Fingerabdruck. Dadurch kann man dich identifizieren und du kannst es nicht ändern. Nur das es hier halt um den PC und nicht dich als Mensch geht.

Das sagt so keiner und es gibt viel nebulöses Marketing-Geschwurbel, um den Kern der Sache zu verdecken. Aber wenn wir das alles mal ausblenden: Was bedeutet denn „vertrauenswürdige Plattform”? Das bedeutet doch, dass die jetzige Plattform (die unter deiner Kontrolle steht) eben nicht vertrauenswürdig ist. Mit anderen Worten: Dir kann man nicht die Verantwortung für deine eigene Freiheit anvertrauen. Das muss an einen Chip ausgelagert werden, über den du keine Kontrolle hast.

Und das kann man nun unterschiedlich bewerten. Die einen sagen: Beim Smartphone ist das ja ähnlich und da kümmert es dich auch nicht, also mache nicht so ein Theater. Und du bist eh doof, wenn wir dir also die Kontrolle wegnehmen, ist das nur zu deinem Besten, denn jetzt kannst du dir nicht mehr selbst in den Fuß schießen. Es verbessert also die Sicherheit, wenn du uns (den Konzernen) die Kontrolle überlässt. Außerdem kannst du selbst bestimmen, ob das TPM überhaupt ausgelesen werden soll oder nicht, hast also doch noch etwas Mitspracherecht.

Die anderen sagen: Die Ausrede mit „Der andere macht das aber auch!” hat eigentlich schon im Kindergarten nicht mehr funktioniert und manche Leute haben in der Tat ein Problem damit und wählen bewusst Smartphones, die sie rooten können oder verzichten ganz darauf. Den Nutzer zum eigenen Schutz in einen goldenen Käfig sperren ist an sich schon ein fragliches Konzept, aber vor allem zeigt die Realität, dass die Konzerne genauso wenig vertrauenswürdig sind wie die einzelnen Nutzer. Da gibt es auch regelmäßig Schlampereien, Sicherheitslücken, Fehler und Entscheidungen zum ökonomischen Eigennutz, die nicht der Sicherheit der Nutzer dienen. Die Haftung dafür lehnen sie aber natürlich dankend ab. Das Mitspracherecht ist ein Feigenblatt, weil dann eben die entsprechende Funktion gesperrt wird, wenn man dem Auslesen nicht zustimmt. Wenn MS eines Tages sagt: „Ja, du darfst Windows den Zugriff auf das TPM verweigern, aber dann bootet es halt nicht mehr.”, ist ja nicht viel für dich gewonnen.

Die Idee klingt sicherlich verlockend: Das TPM garantiert der UEFI-Firmware auf dem Board, dass das Bootloader nicht manipuliert wurde. Der garantiert, dass der Betriebssystemkernel ok ist. Welcher wiederum die Treiber prüft und nur signierte Anwendungen startet. Und schon leben wir in der sicheren Welt, in der Viren und Trojaner der Vergangenheit angehören. In der Praxis muss dazu aber auch alles aufwendig geprüft und signiert werden (was Zeit und Geld kostet) und es werden Fehler gemacht werden und nicht jede legitime Nutzung wird ins Schema passen und so weiter. Zudem muss die Vertrauenskette irgendwo verankert werden. Das wird dann im Zweifel eben Microsoft sein, die damit zum ultimativen Herrscher über das PC-Universum werden. Womit wir auch erklärt haben, warum die das TPM wirklich wollen. Sie wollen sein wie Apple, die das letzte Wort über alles haben, was auf Macbooks und iPhones passiert und damit zur reichsten Firma der Welt geworden sind.

Der einzige eventuelle Nutzen eines TPM ist, dass es (auch) einen Hardware-Zufallszahlengenerator enthält. Der erzeugt dann (wenn er richtig gebaut wurde) guten Zufall und verbessert damit die Kryptografie. Wenn du schon mal mit VeraCrypt eine Festplatte verschlüsselt hast, dann erinnerst du dich vielleicht daran, dass du eine Weile lang die Maus in einem Fenster bewegen solltest. Dadurch hat das Programm Zufallsdaten gesammelt, um den Verschlüsselungsalgorithmus damit zu füttern. Der Mensch ist ein sehr guter Zufallszahlengenerator, weil er sich selbst, wenn er sich Mühe gibt, schwer damit tut, Bewegungen exakt zu wiederholen. Da gibt es immer kleine Unterschiede. Mit einem TPM bräuchte man das aber nicht mehr und könnte die Entropie direkt dem Chip entnehmen. Allerdings braucht man für einen Hardware-RNG natürlich nicht zwingend ein TPM, das ließe sich auch anders lösen. Zum Beispiel mit einem Hardware-RNG ohne TPM drumherum. Wäre sogar billiger.

Ist der TPM-Zwang das Ende der Welt? Nicht wirklich. Wird er mehr Nutzen bringen als Schaden anrichten? Wohl auch nicht.

[Nobbi Habogs]

Ist der TPM-Zwang das Ende der Welt? Nicht wirklich.

Nein, er ist aber definitiv der Anfang vom Ende.
Wenn es dazu keine Alternative mehr gibt, entweder illegale Umgehungen oder andere Betriebssysteme, dann wird das den normalen Nutzer auf lange Sicht komplett enteignen.

[Homerclon]

Mit Linux samt Derivaten gibts hunderte alternative Betriebssysteme, die kein TPM voraussetzen.
Es gibt aber Linux-Versionen die TPM unterstützen.

Wichtig ist, das TPM weiterhin deaktivierbar bleibt, denn sonst kann man alternative Betriebssysteme gar nicht nutzen. Gerade jene die den Linux-Kernel selbst kompilieren hätten dann ein Problem, wenn TPM ein nicht deaktivierbarer Bestandteil der Hardware wird.

[Nobbi Habogs]

Mit Linux samt Derivaten gibts hunderte alternative Betriebssysteme, die kein TPM voraussetzen.
Es gibt aber Linux-Versionen die TPM unterstützen.

Wichtig ist, das TPM weiterhin deaktivierbar bleibt, denn sonst kann man alternative Betriebssysteme gar nicht nutzen. Gerade jene die den Linux-Kernel selbst kompilieren hätten dann ein Problem, wenn TPM ein nicht deaktivierbarer Bestandteil der Hardware wird.

Nein, für Windows gibts noch keine einzige Alternative. Sollte auch ziemlich offensichtlich sein, wenn man mal die Anwendungsbeispiele durchgeht. Oder die unterstützten Betriebssysteme der Programme, die benutzt werden.
Professionelle Streamer, Spiele, Videobearbeitung... das geht doch auf Linux nicht bzw. höchstens mit Handstand. Streamsoftware geht für Linux, ja, aber Streamdecks nur mit Windows. Auch bei Webcams von bspw. Logitech ist Linux nicht aufgeführt. Über Spiele brauch man wohl kaum reden und beim Thema Videobearbeitung sind auch alle eher für Adobe Premiere Pro, auch wenn es dort gute Alternativen gibt. Da wird man aber natürlich schwer Hilfestellung und Tutorials finden, ergo muss man sich selbst einarbeiten.

[Lerran]

Vielen Dank für eure Antworten

Die Idee klingt sicherlich verlockend: Das TPM garantiert der UEFI-Firmware auf dem Board, dass das Bootloader nicht manipuliert wurde. Der garantiert, dass der Betriebssystemkernel ok ist. Welcher wiederum die Treiber prüft und nur signierte Anwendungen startet. Und schon leben wir in der sicheren Welt, in der Viren und Trojaner der Vergangenheit angehören.

Danke für die Info. D. h. es ist dann tatsächlich so, dass Viren es schwerer haben ein System zu infizieren? Das hört sich doch fast zu gut an um wahr zu sein?



Ich habe noch einmal eine Frage zu der Aussage, dass ohne TPM eine Festplattenverschlüsselung nicht viel bringt. Warum ist das so? Wenn die Festplatte doch verschlüsselt ist, ist sie doch mehr oder weniger "dicht"?

Nein, für Windows gibts noch keine einzige Alternative. Sollte auch ziemlich offensichtlich sein, wenn man mal die Anwendungsbeispiele durchgeht. Oder die unterstützten Betriebssysteme der Programme, die benutzt werden.
Professionelle Streamer, Spiele, Videobearbeitung... das geht doch auf Linux nicht bzw. höchstens mit Handstand. Streamsoftware geht für Linux, ja, aber Streamdecks nur mit Windows. Auch bei Webcams von bspw. Logitech ist Linux nicht aufgeführt. Über Spiele brauch man wohl kaum reden und beim Thema Videobearbeitung sind auch alle eher für Adobe Premiere Pro, auch wenn es dort gute Alternativen gibt. Da wird man aber natürlich schwer Hilfestellung und Tutorials finden, ergo muss man sich selbst einarbeiten.

Das dachte ich anfangs auch aber seitdem ich nebenher Mint installiert habe und mich ein bisschen mit der Materie beschäftigt habe, finden sich doch sehr viele gute Alternativen.
Was mich besonders überrascht hat, dass es DaVinci Resolve auch für Linux gibt – auch ein professionelles Programm für Videoschnitt und Color-Grading. Oder das OpenSource-Programm Kdenlive, welches für meine Ansprüche genau richtig ist (mich ärgert es ja, dass ich früher für so ein Programm Geld bezahlt habe und dann nicht mal nen ordentlichen Support bekommen habe - naja ). Und seitdem Adobe das Abo-Modell eingeführt hat, habe ich damals schon auf RawTherapee gewechselt. Es muss also zum Glück nicht immer Adobe sein
Auch bei den Spielen kann man das nicht verallgemeinern. Gibt mittlerweile viele Spiele, die auch nativ auf Linux laufen. Klar AAA-Titel sind meist leider nicht dabei, genau so wenig wie meine Lieblingsspiele aber wer weiß, vielleicht kommt das noch Dann könnte man (oder besser gesagt ich) komplett auf Windows verzichten.
Also wie Du siehst kann man das eigentlich gar nicht so verallgemeinern, kommt denke ich immer darauf an was man genau machen und spielen möchte.

[Homerclon]

Ich habe noch einmal eine Frage zu der Aussage, dass ohne TPM eine Festplattenverschlüsselung nicht viel bringt. Warum ist das so? Wenn die Festplatte doch verschlüsselt ist, ist sie doch mehr oder weniger "dicht"?

Die Verschlüsselung schützt vor Datendiebstahl, bzw. das mit den gestohlenen Daten auch etwas angefangen werden kann. Aber es schützt nicht davor das die Daten bzw. das System korrumpiert, oder erneut verschlüsselt (Stichwort: Kryptotrojaner, alias Ransomware) werden.
Verschlüsselung ist also keine vorbeugende Maßnahme gegen Befall mit Schadsoftware, sondern vor Datendiebstahl.

Es kann allerdings auch nichts einfach so eingeschmuggelt werden, ohne die Daten vorher zu entschlüsseln. In einem eingeschränkten Rahmen kann es also auch davor bewahren von Schadsoftware befallen zu werden. Das ist allerdings nur bedingt hilfreich, da sich Schadsoftware in der Regel versucht als etwas zu tarnen das sowieso zum System gehört, und dafür braucht es Zugang zum System. Das kann durch Unachtsamkeit deinerseits geschehen - dann hilft auch die Verschlüsselung nichts -, oder weil jemand bei dir eingebrochen ist - da hilft die Verschlüsselung, sofern der PC sich nicht automatisch selbst entschlüsselt sobald er eingeschaltet wird.
Wenn sich jemand einhackt, hilft die Verschlüsselung auch nichts, da dann das System korrumpiert ist bzw. werden kann.


Stell dir mal ein Blatt Papier vor, auf dem du verschlüsselt eine Nachricht aufgeschrieben hast.
Diese könntest du öffentlich aufhängen, niemand könnte damit etwas anfangen - sofern die Verschlüsselung etwas taugt. Wenn nun aber jemand hergeht und Zeilen oder auch nur einzelne Zeichen ändert, kannst du selbst es auch nicht mehr entschlüsseln --> Daten sind Korrumpiert. Das kann am PC auch ohne böswillige Absicht geschehen, aber solange die Anzahl der falschen Zeichen gering ist, lässt es sich meist korrigieren.
Die Daten nochmal zu verschlüsseln und das Blatt Papier austauschen ist auch kein Problem. Du hast dann aber eines, da du die Daten nicht mehr entschlüsseln kannst, ohne den passenden Schlüssel für die erneute Verschlüsselung. Mehrfachverschlüsselungen sind nichts neues, die gab es schon vor den Computer.
Wenn dir jemand dabei zusieht wie du es verschlüsselt hast oder entschlüsselst, dann ist die Verschlüsselung der Nachricht ggü. dieser Person quasi Wertlos. --> System ist Korrumpiert. Vor dem Ver-/Entschlüsseln muss geprüft werden, ob das System vertrauenswürdig ist.

[foobar]

Danke für die Info. D. h. es ist dann tatsächlich so, dass Viren es schwerer haben ein System zu infizieren? Das hört sich doch fast zu gut an um wahr zu sein?

Nicht ganz. Das ist die Werbelüge, mit der man das TPM verkaufen will. Diese versprochenen Vorteile hängen vor allem am SecureBoot, welches auch ohne TPM funktioniert. Du kannst bereits jetzt, ohne TPM, so eine Vertrauenskette aufbauen. Mit SecureBoot werden nur signierte Bootloader gestartet, die nur signierte Kernel booten und so weiter. Aber oft muss man das abschalten, weil man z.B. nicht für jede der unzähligen Hardwarekomponenten da draußen signierte Treiber findet. Und das schützt auch erstmal nur vor Rootkits, die zwar existieren, aber in der Praxis eher selten sind. Die allermeiste Schadsoftware arbeitet anders. Um die blockieren zu können, darfst du dann auch nur signierte Software zulassen.

Und dann wird ca. die Hälfte deiner Programme wird nicht mehr funktionieren (weil sie kein Zertifikat hat). Oder du schaltest die Signaturprüfung ab und hast doch wieder das Risiko von Viren dabei. Und selbst mit signierter Software ist nicht alles eitel Sonnenschein. Gucke dir zum Vergleich mal das System an, mit dem Webseiten via HTTPS verschlüsselt werden. Das funktioniert nämlich im Prinzip sehr ähnlich. Es gibt Zertifizierungsstellen, denen man halt vertrauen muss. Und die signieren dann Webseiten (oder weitere Zertifizierer, die ihrerseits wieder zertifizieren). Und theoretisch ist dann alles sicher verschlüsselt und vertrauenswürdig. In der Praxis hat es schon mehrfach Pannen gegeben, wo Betrüger gültige Zertifikate erlangten oder auf andere Weise den Schutz umgehen konnten. Es gibt Sicherheitsexperten, die das System für fundamental kaputt halten.

Mit einem TPM ändert sich da eigentlich nicht viel. Nur dass halt jetzt ein Stückchen weniger Software und ein Stückchen mehr Hardware involviert ist. Der zusätzliche Sicherheitsgewinn ist IMHO vernachlässigbar.

Ich habe noch einmal eine Frage zu der Aussage, dass ohne TPM eine Festplattenverschlüsselung nicht viel bringt. Warum ist das so? Wenn die Festplatte doch verschlüsselt ist, ist sie doch mehr oder weniger "dicht"?

Die Frage ist halt, was du vor wem schützen willst. Das bringt uns wieder zurück zum „Trusted”. Es geht halt nicht darum, dass du dem Rechner, der Software oder der Verschlüsselung vertrauen kannst. Sondern es geht darum, dass die Konzerne darauf vertrauen können, dass du gewisse Sachen nicht mit deinem PC anstellen kannst, obwohl er dir gehört.

Die Verschlüsselung auf der Platte ist im Prinzip immer die gleiche. Das einzige, was das TPM bietet, ist ein sicherer Speicher, in welchem man den Schlüssel ablegen kann. Ohne TPM muss der Schlüssel halt „ungesichert” gespeichert werden. Bei Bitlocker bspw. auf einem USB-Stick. Da man ihn i.d.R. aber eh mit einer Passphrase zusätzlich sichert, ist das eigentlich nicht so dramatisch. Solange du eine sichere Passphrase verwendest und einen sicheren Algorithmus, der sicher implementiert wurde (z.B. VeraCrypt oder Bitlocker), kann man eigentlich davon ausgehen, dass die Verschlüsselung sicher ist. Egal ob mit oder ohne TPM.

Worauf Poettering hier abzielt, ist nicht, dass man die Verschlüsselung an sich knackt. Sondern dass jemand mit physischen Zugriff ein Rootkit installieren könnte, welches halt wartet, bis der Nutzer den Rest der Platte entschlüsselt und dann die Daten klaut. Es geht also um den Schutz gegen Rootkits und da reden wir eher über SecureBoot. Das TPM ist da nur ein Zusatzgedanke. Und Angreifer mit physischem Zugriff sind vergleichsweise selten. Da reden wir über staatliche Ermittlungsbehörden, Geheimdienste, professionelle Industriespionage und solche Sachen. Nichts, was Otto Normaluser betrifft. Und diese Angreifer haben dann auch die Mittel, um ihr Ziel so oder so zu erreichen. Dann installieren sie halt kein Rootkit, sondern tauschen den Chip auf dem Mainboard aus (oder gleich die ganze Hauptplatine). Ist etwas aufwendiger, aber für diese Sorte Angreifer machbar.

Wenn ich z.B. mit meinem Laptop nach China reisen müsste (und das Laptop dann bspw. bei der Zollkontrolle aus der Hand geben muss), dann würde ich es nach meiner Rückkehr so oder so wegwerfen. Da würde ich nicht sagen: „Ich habe ja SecureBoot mit TPM, also kann da nichts passiert sein.”

[Lerran]

Vielen Dank an Homerclon und foobar für eure verständliche Erklärung

Verstehe, dann ist der TPM-Chip quasi der "Briefkasten" für den Sicherheitsschlüssel der Festplatte.
Und so ein Rootkit wäre dann (wie bei Homerclons Beispiel) quasi der "Zuschauer", der sich das Passwort bei der Eingabe "abguckt" und sich es somit beschafft für die verschlüsselte Festplatte, richtig?

Ein kurzes Beispiel noch von mir selbst ob ich das so richtig verstanden habe.
Auf meinem Notebook habe ich Pop! OS installiert mit einer Festplattenverschlüsselung, d. h. bei jedem Einschalten muss ich zuerst das Passwort für die Festplatte eingeben, bevor ich überhaupt weiterkomme.
Wenn ich jetzt einen Rootkit auf dem Rechner hätte, dann würde sich der mein eingegebenes Passwort für die Festplatte gleich am Anfang abgucken und hätte somit "alles" in der Hand.

Abhilfe dagegen würde dann schon Secure Boot schaffen, da der prüft ob der Bootloader nicht manipuliert wurde.
Und der TPM-Chip wäre dann noch ein "Extra" wo ich mein Passwort für die Festplatte "sicher" aufbewahren könnte (würde dann eigentlich die Passwort-Abfrage am Anfang entfallen? ).
So richtig verstanden?

[foobar]

Auf meinem Notebook habe ich Pop! OS installiert mit einer Festplattenverschlüsselung, d. h. bei jedem Einschalten muss ich zuerst das Passwort für die Festplatte eingeben, bevor ich überhaupt weiterkomme.
Wenn ich jetzt einen Rootkit auf dem Rechner hätte, dann würde sich der mein eingegebenes Passwort für die Festplatte gleich am Anfang abgucken und hätte somit "alles" in der Hand.
Abhilfe dagegen würde dann schon Secure Boot schaffen, da der prüft ob der Bootloader nicht manipuliert wurde.

Antwort von Radio Eriwan: Im Prinzip ja, aber: Das Problem mit solchen theoretischen Überlegungen ist, dass sie häufig die praktische Realität ignorieren.

Also fangen wir mal vorne an. Vorab: Im laufenden Betrieb bringt eine verschlüsselte Platte eh nix. Wenn die Platte erstmal entschlüsselt ist und du dir einen „normalen” Trojaner einfängst, kann der natürlich auch alle Daten abgreifen und Unfug damit anstellen. Festplattenvollverschlüsselung kann bzw. soll nur davor schützen, dass die Platte (i.d.R. zusammen mit dem ausgeschalteten Gerät, bspw. einem Laptop) abhanden kommt und die Daten so in falsche Hände geraten. Und nur das ist jetzt der Kontext, in dem wir das analysieren.

Da könnte der unehrliche Finder also nun ein Rootkit installieren, dir das Gerät dann zurück geben und du würdest du ihm quasi nachträglich doch noch Zugang zu den Daten geben. Und theoretisch könnte SecureBoot das verhindern. Praktisch hat der unehrliche Finder aber physischen Zugang zu deinem Laptop und damit auch zum Mainboard. Er kann also einen CMOS-Reset machen und SecureBoot abschalten. Oder seinen eigenen Key im Firmware-Speicher installieren und den manipulierten Bootloader damit signieren. Oder eine manipulierte Firmware ins Board flashen. Oder einen Hardware-Keylogger im Gehäuse verstecken, der einfach alle Tastenanschläge mitschneidet und bspw. per WLAN an ihn funkt (er steht dann mit seinem Auto und Richtantenne vor deinem Haus). Da hat er dann deine Passphrase und wenn er sich vorher ein Image der Platte gemacht hat (ggf. kurz ausbauen), kann er dieses Image nun auch entschlüsseln. Und so weiter, und so weiter.

Natürlich muss man aufpassen, dass man keinem Nirvana-Trugschluss erliegt. Nur weil etwas nicht perfekt ist, ist es nicht automatisch nutzlos oder eine schlechte Idee. Aber wir bewegen uns hier in dem vergleichsweise engen Fenster. Der einfache Gelegenheitsschnüffler, der halt irgendwie dein Laptop in die Finger gekriegt hat und nur mal neugierig ist, der ist mit Festplattenverschlüsselung bereits abgewehrt. Schutz hast du nur vor dem etwas seltsamen Angreifer, der einerseits mit genug krimineller Energie und Know-How heran geht, um ein Rootkit zu installieren. Der aber andererseits nicht genug Aufwand treiben will, um all die anderen Dinge zu machen, mit denen er sich Zugang zu deinen Daten verschaffen könnte.

Nach meinem Dafürhalten ist das in den meisten Fällen ein vernachlässigbar kleines Szenerio. Ausnahmen bestätigen die Regel, aber das rechtfertigt dann natürlich keinen TPM-Zwang für alle. Wer die Sicherheit wirklich braucht, soll sich halt ein Gerät mit TPM (oder einfach einen externen Smartcard-Reader) kaufen dürfen. Habe ich kein Problem mit.

Und der TPM-Chip wäre dann noch ein "Extra" wo ich mein Passwort für die Festplatte "sicher" aufbewahren könnte (würde dann eigentlich die Passwort-Abfrage am Anfang entfallen? ).

Was im TPM landet, ist i.d.R. der Schlüssel, nicht das Passwort, welches ihn sichert.

Ob die Passwort-Anfrage entfällt, hängt davon ab, wovor du dich schützen willst. Wird dein Laptop geklaut, ist das TPM mit dem Schlüssel ja auch dabei. Der Dieb würde das Gerät also einschalten, das TPM liefert den Schlüssel, die Platte wird freigeschaltet und der Dieb hat vollen Zugriff. Da hast du also keinen Schutz gegen. Man könnte sowas allerdings nutzen, um dafür zu sorgen, dass eine Platte (extern oder intern) immer nur in einem bestimmten Computer genutzt werden kann. Wer den Computer nicht hat, kann auch die Platte nicht entschlüsseln.

Hast du allerdings Sorgen, dass das ganze Gerät (samt TPM) geklaut wird oder verloren geht, dann wäre ein Passwort schon sinnvoll.

[Lerran]

Vielen Dank für die – wie immer – super Erklärung, foobar

Der einfache Gelegenheitsschnüffler, der halt irgendwie dein Laptop in die Finger gekriegt und nur mal neugierig ist, der ist mit Festplattenverschlüsselung bereits abgewehrt.

Genau, das habe ich mir damals dabei gedacht. Allzu einfach möchte man es solchen Leuten ja dann auch nicht machen (btw. wird sich der dann ohnehin "freuen" Linux darauf zu finden und kein Windows )

Wird dein Laptop geklaut, ist das TPM mit dem Schlüssel ja auch dabei.

Sind die TPM-Chips eigentlich herausnehmbar oder fest verlötet auf dem Board?

[Homerclon]

Sind die TPM-Chips eigentlich herausnehmbar oder fest verlötet auf dem Board?

Meines Wissens kommt beides vor, allerdings braucht es das gar nicht. Denn in modernen CPUs - zumindest von AMD und Intel - ist es in diesen integriert.

Bei Exemplare für den Einzelhandel ist meist gar kein TPM-Chip verbaut, sondern nur ein Header zum nachrüsten.
Durch die Vorgabe von Win11, könnte sich das aber evtl. nun ändern, trotzdem es unnötig ist.

[Lerran]

Meines Wissens kommt beides vor, allerdings braucht es das gar nicht. Denn in modernen CPUs - zumindest von AMD und Intel - ist es in diesen integriert.

Bei Exemplare für den Einzelhandel ist meist gar kein TPM-Chip verbaut, sondern nur ein Header zum nachrüsten.
Durch die Vorgabe von Win11, könnte sich das aber evtl. nun ändern, trotzdem es unnötig ist.

Ah okay, die sind zum Teil in der CPU integriert. Und der Rest "mal so, mal so", wie so oft ^^
Danke dir für die Info