Windows 11 krijgt grote update, haalt dit de twijfelaars over?

En wat heeft de processor (in mijn voorbeeld) met de TPM chip te maken? De beveiliging van een PC begint bij de zwakste schakel en veelal is dat de gebruiker die argeloos overal op klikt. Dan komt natuurlijk een goede firewall en virusscanner in beeld waarvan bij veel computer-nono's de proeflicentie verlopen is of in het geval van defender geen idee hebben of die aan of uit staat.

Even vooraf: ik weet (volgens mij) goed wat een TPM chip is en wat voor mogelijkheden die heeft, ik heb het in mijn verhaal wat versimpeld om het leesbaar te houden voor mensen die er niet zo diep in zitten.

Ik ben vóór het gebruik van hardware-gebaseerde security. Zie mijn verhaal aub niet als rant tegen TPM in het algemeen maar tegen de specifieke voorwaarden die Windows 11 stelt, namelijk TPM versie 2.

Ik wil hier toch even reageren. Microsoft heeft de Trusted Platform Module nodig voor de security van hun product. De TPM module helpt niet tegen phishing an sich, noch direct tegen bepaalde keyloggers/malware. Het is een manier om de integriteit van de kernel en het gehele systeem te waarborgen. Vandaar de naam Trusted Platform Module.

Zeker, maar voor de meeste gewone gebruikers is dat op dit moment geen echte bedreiging*. Het uitlekken van een wachtwoord wel. Daarom denk ik dat een keystore (TPM of anders) de belangrijkste toevoeging is die we nu nodig hebben, maar volgens mij zijn de eisen van Windows 11 te streng en daarom nadelig voor de grotere gemeenschap.

TPM bestaat al heel lang. Windows 11 eist een bepaalde (nieuwere) versie. Die is vast beter, maar volgens mij is die eis netto nadelig. Volgens mij zijn de voordelen van die nieuwe TPM-chip voor normale mensen niet groot genoeg om het als keiharde eis te stellen. Netto betekent dit dat een hoop mensen niet zullen upgraden en op oude installaties doordraaien. Dat weegt volgens mij veel zwaarder dan de paar mensen die hier extra door worden beschermd. Wie het nodig heeft moet die bescherming kunnen krijgen maar het opleggen aan iedereen is imho netto nadelig.

Iedereen kan nu direct profiteren van een keystore, zoals al die computers met een oude TPM chip. Zo'n keystore kan zelfs op een losse usb-stok zitten voor computers die ook geen TPM-chip hebben.

Het is niet gek dat Microsoft dit als eis heeft opgesteld: het kan simpelweg de hardware niet “vertrouwen” als het er niet is. Als gebruiker moet jij het systeem ook kunnen vertrouwen dat er niet met jouw data geknoeid wordt.

Dat is de theorie en die klopt op zich wel, maar dat geldt net zo goed voor oudere versies van TPM en andere vormen van HSM/keystores.

TPM is overigens niet gratis, in geld en veiligheid.
TPM brengt een hoop extra software met zich mee die op laag niveau in je systeem draait, moeilijk te testen is, haast niet te controleren is van buitenaf, zelden of nooit wordt geupdate, en forse verantwoordelijkheden draagt. Dat is niet zonder nadelen want software zonder bugs bestaat niet.
Je systeem wordt fors complexer en complexiteit is een van de vijanden van veiligheid.
Laat ik nogmaals toevoegen dat ik niet tegen TPM ben en juist een voorstander ben van hardware-onderstende oplossingen, maar het is niet allemaal hosanna, je moet voor en nadelen wel tegen elkaar afwegen.

Het vangt op die manier 2 van de 3(4) peilers van information security af: Confidentiality en Integrity.

mierenneukerij: Tegen knoeien met data helpt een TPM niet. Je kan het, met wat extra moeite, wel detecteren maar niet voorkomen. Detecteren kan ook zonder TPM en zeker zonder TPM 2.

Daaraan toevoegend: door de TPM wordt de security juist makkelijker voor de leek. Omdat alles op zo’n laag niveau vertrouwd is duren veel checks minder lang (neem UEFI/fast boot maar als voorbeeld) en worden afwijkingen sneller opgespeurd. Het versoepelt de gebruikservaring en belast het systeem minder.

Heb je daar een voorbeeld van? Ik heb nooit gemerkt dat een computer langzamer boot als ik de TPM-chip uitschakel of secure boot disable. Voor zover ik weet heeft fast boot niks met uefi/tpm te maken maar dat zou tegenwoordig anders kunnen zijn.
Ik heb het ook nooit getimed hoor (ga ik vanavond wel even doen ) maar het verschil kan niet heel groot zijn anders had ik het denk ik wel geweten. Als het ergens langzamer is dan is het in het UEFI("bios) stuk en dat duurt op een moderne PC toch maar een paar seconde.

Klein puntje is nog dat moderne gebruikers hun computers zelden volledig herstarten en dat het totale proces (ook zonder TPM chip) minder tijd kost dan een kop koffie halen. Normale gebruikers gaan geen merkbware winst halen uit een sneller opstartende computer (die waarschijnlijk nog in suspend gaat ook).
Ik zie dat dus niet als voordeel.

belast het systeem minder.

Hoe? De chip zelf heeft nauwelijks rekenkracht. Al het zware werk wordt door je normale CPU gedaan.

De hardware keystores die je noemt kunnen nu (in theorie) ook op het systeem zitten, met dank aan TPM.

Niet alleen in theorie, het is kernfunctionaliteit van zo'n TPM en een van de belangrijkste redenen om zo'n chip te willen hebben.

Samengevat: ik snap heel goed dat MS graag een hardware keystore gebruikt maar daar is geen TPM2 voor nodig. TPM2 kan meer dan een simple HSM maar dat is niet zonder nadelen, zoals dat veel mensen nog geen TPM2 chip hebben en dus niet kunnen upgraden.

We zijn niet alleen in de wereld. Mijn data staat over de hele wereld. Daarom vind ik het niet alleen belangrijk dat mijn computer veilig is, maar ook dat anderen ook toegang hebben tot veiligheid.

In mijn ogen kunnen de meeste mensen 99% van de praktische voordelen van een TPM-chip ook krijgen door een yubikey of andere HSM/security-key te gebruiken. In theorie zijn er meer voordelen maar "normale" mensen hebben daar nog niet mee te maken. Deze mensen wordt de andere voordelen van Windows 11 ook onthouden (laten we even aannemen dat die er zijn ). Daarom denk ik dat de TPM2 eisen op dit moment netto nadelig is.

Over een jaar of drie, als de support op Windows 10 afloopt, zou het wel eens "interessant" kunnen worden. We hebben een collectief trauma opgelopen door gebruikers die maar niet upgraden en oude Windows-versies blijven draaien. Dat begon zo erg te worden dat MS de upgrades eigenlijk gratis is weg gaan geven om iedereen maar op Win 10 te krijgen. En dan krijgen we nu zo'n beperking waardoor het grootste deel van de computers in deze wereld niet eens kan upgraden. Hier in NL gaat het vast nog wel aardig want wij zijn rijk en kopen de nieuwste computers maar grote delen van de wereld draaien op onze afdankertjes die dus niet kunnen upgraden. Op het moment dat wij hier niet meer kunnen upgraden gaan we die oude systemen aan de rest van wereld doorverkopen.

Beveiliging is altijd een moeilijke balans. Technische veiligheid, gebruikersgemak, prijs, beschikbaarheid en vele andere aspecten tellen mee. Te veel van het een is een probleem voor het ander.

* ik erken dat het zonder de validatie-functies van een TPM-chip misschien wel een bedreiging was. Misschien dat er grote aanvallen ongezien zijn gesneuveld dankzij TPM of dat aanvallers bepaalde routes niet eens proberen omdat ze door TPM worden tegengehouden. Dat soort aanvallen zijn echter zoveel moeilijker dan het jatten van een wachtwoord dat ik denk dat de meeste hackers er toch nooit aan zouden beginnen zolang we nog massaal klassieke wachtwoorden gebruiken (zonder mfa enzo).

[Reactie gewijzigd door CAPSLOCK2000 op 22 juli 2024 14:40]

Je lijkt te denken dat Microsoft wel aansprakelijkheid accepteert als er wel een TPM is?
Doen ze niet. Alle verantwoordelijkheid ligt 100% bij jou.

Dat kan dus geen reden zijn voor Microsoft om de gebruiker niet de keuze te geven.
In tegendeel zou ik zeggen, als de gebruiker 100% verantwoordelijk is, dan hoort die ook de controle te hebben.

Misschien moeten we Microsoft dan maar bij wet aansprakelijk gaan stellen.

Sinds wanneer is MS uberhaupt aansprakelijk voor schade ongeacht waardoor veroorzaakt?
Heb jij ooit gehoord dat MS een schadevergoeding aan een particulier betaald heeft?

Nee hoor, die meute blijft gewoon W10 gebruiken ondanks dat er geen (beveiligings)updates meer komen. Per saldo wordt alles daardoor juist minder veilig.

Niets moet. Ook na 2025 mag je Win10 nog gewoon gebruiken. Licentie vervalt niet, alleen de ondersteuning vervalt.

Je vergeet een derde optie:

Drivers van werkende maar niet ondersteunde hardware automatisch verwijderen want geen ondersteuning. Dit hebben ze bij Windows 10 ook al wel eens gedaan bij een feature update, dus de voorzichtigheid om met niet ondersteunde hardware Windows 11 te draaien is zonder reden.

Ook daartegen draait een tweaker WSUS. Drivers zijn een aparte categorie die uitgeschakeld kan blijven.

Mainstream hardware als een GTX1060 moet gewoon werken zonder rare tweaks, wat heb ik anders aan Linux op de desktop?

Wel eens MacOS geinstalleerd op een gewone Windows PC, of Windows op een moderne Mac?
Dat is ook niet echt een garantie op succes.

Het klopt dat de default is dat er support is voor Windows maar ook met Windows moet je blijven opletten. Het echte verschil is dat de winkelier/leverancier al een voorselectie heeft gemaakt. Aan de ene kant van de winkel staan de Windows PC's en aan de andere kant van de zaak staan de Apple's waardoor het voor de meeste mensen automatisch goed gaat.

Als je eenmaal weet dat je even Linux-compatibility moet checken is het niet moeilijk om een goed ondersteunt systeem te krijgen. De grote hardwareboeren (Dell, HP, Lenovo) hebben allemaal goede support voor Linux op veel van hun hardware. Als je zo'n systeem koopt dan gaat het vrijwel zeker goed.
Als je zelf je eigen PC uit componenten opbouwt dan zul je zelf de research moeten doen. Als je kan uitvinden of je koeler in je kast past dan lukt het controleren van compatibility ook wel.

Nee niet als vak, maar in de volle breedte.

Ik ga ervan uit dat die video vooraf gepland is en de tekst tot in de puntjes is voorbereid. Dan is de stap naar een volwaardig, geschreven artikel heel erg klein. Het is gewoon een en-en verhaal.