Codificare tutto con il TPM
Anche se genera coppie di chiavi, il TPM non usa alcun software, e i software di sicurezza devono essere programmati appositamente per utilizzare il TPM. Molti desktop e notebook, prodotti a partire dal 2003, integrano il TPM; se il vostro notebook è dotato di un lettore di impronte digitali, lo scan dell'impronta digitale e le password possono essere messe al sicuro dal TPM. Linux supporta il TPM dalla versione 2.6.12 del kernel. Alcuni software per il salvataggio delle password usano il TPM, come Wave's Personal Information Manager e Document Manager.
Tra gli strumenti software più comuni troviamo PGP Whole Disk Encryption, CompuSec FDE, Securstar DriveCrypt Plus Pack e Vista BitLocker.
Questi strumenti applicano la crittografia all'intero volume di Windows, e usano il TPM per controllare i componenti d'avvio. Non si può avviare un sistema che è stato manomesso, né avviare il sistema tramite un CD d'avvio, o prendere l'hard disk e montarlo in un altro PC.
Per BitLocker, che è integrato in Vista Ultimate, l'hard disk deve essere formattato in NTFS, e sono necessari due volumi. Per il volume di sistema sono sufficienti 1,5 GB, per accogliere i file d'avvio e il sistema operativo stesso, Windows Vista. Il volume d'avvio sarà protetto da BitLocker, con una chiave relativa al volume. Questa chiave, a sua volta, è protetta da una chiave master, o principale. Se cambiate qualcosa nel sistema, o perdete la chiave, potete generarne un'altra senza dover prima applicare nuovamente la codificazione alll'intero volume. Potete anche spegnere temporaneamente BitLocker, per aggiornare il BIOS; ancora una volta, il disco non deve essere decriptato e criptato, poiché il volume d'avvio rimane criptato ma la chiave master è decriptata. Quando avviate nuovamente BitLocker, solo la chiave master del volume deve essere nuovamente protetta.
Dopo che BitLocker verifica la chiave con il TPM e la autentica, il file system di Vista applica la crittografia in tempo reale, mentre si usa il disco rigido in lettura/scrittura. Può sembrare un'operazione impegnativa, ma non lo è affatto. Le prestazioni del sistema, infatti, non ne risentono. La crittografia interviene anche in caso di ibernazione. Se usate altri volumi, potete proteggerli con il sistema di crittografia di Windows, le cui chiavi sono immagazzinate sul volume di avvio, protette da BitLocker.
Potete aggiungere un PIN o una chiave immagazzinata su un drive Flash USB per rendere BitLocker ancora più sicuro. Dovete anche creare una password di ripristino, da salvare su un drive USB che vi permetterà di recuperare un drive protetto, se il PC si danneggia e dovrete leggere l'hard disk su un altro sistema.
BitLocker lega l'hard disk al PC su cui è montato; avrete bisogno dei dettagli di ripristino per recuperare un file criptato con l'hard disk montato su un altro sistema.
