🔒 TPM (Trusted Platform Module): O Guardião Invisível da Sua Segurança
O TPM não é apenas um requisito chato do Windows 11. Ele é um cofre digital soldado na sua placa-mãe, projetado para garantir que suas senhas e chaves de criptografia nunca deixem o hardware, mesmo se o sistema for infectado.
Como Funciona o "Cofre" do Hardware?
Geração de Chaves
O chip gera chaves RSA/ECC internamente. A parte privada da chave nunca sai do chip. O sistema operacional só vê o resultado da criptografia, não a chave em si.
Attestation (Validação)
Durante o boot, o TPM mede o código da BIOS e do Kernel. Se um malware alterar o bootloader, o TPM percebe e bloqueia a descriptografia do disco.
💻 Por que o Windows Exige Isso?
Sem TPM, você precisaria digitar uma senha ou usar um pen drive para dar boot. Com TPM, o disco desbloqueia automaticamente se o hardware for confiável.
Seus dados biométricos (rosto/digital) não são enviados para a Microsoft. Eles ficam trancados no TPM.
Isola segredos (como tokens Kerberos) em uma área virtualizada protegida pelo hardware, impedindo ataques de "Pass-the-Hash".
⚖️ TPM vs. HSM vs. Software
| Tecnologia | Custo | Segurança Física | Uso Ideal |
|---|---|---|---|
| Software (VeraCrypt) | Zero | Baixa (Chaves na RAM) | Usuários domésticos básicos. |
| TPM (Chip) | Incluído no PC | Alta (Resiste a ataques de software) | PCs Corporativos e Pessoais. |
| HSM (Hardware Dedicado) | Muito Alto ($$$) | Extrema (Anti-tamper físico) | Bancos e Certificadoras. |
⚠️ Desafios e Limitações
- Compatibilidade: Sistemas legados (Windows 7/8) ou Linux antigos podem ter suporte limitado ao TPM 2.0.
- Perda do Hardware: Se a placa-mãe queimar e você não tiver a "Chave de Recuperação" (Recovery Key) do BitLocker, os dados do disco são perdidos para sempre. O TPM morre com a placa.
- Complexidade: Implementar políticas de TPM em escala empresarial exige conhecimento avançado.
Sua Empresa Está Protegida?
Implementar BitLocker e TPM em escala pode ser um desafio.
Nós gerenciamos a segurança dos seus ativos.
