Kunci TPM dan Cara Membuat Cadangannya di Windows 11

Apa yang akan terjadi jika Anda kehilangan kunci TPM? Berikut ini cara membuat cadangan kunci TPM pada Windows 11.

Trusted Platform Module (TPM) adalah mikroprosesor yang dirancang untuk melakukan operasi keamanan dasar, terutama kunci enkripsi. TPM ditempatkan pada motherboard komputer dan terhubung dengan sistem lainnya melalui bus perangkat keras.

Komputer yang mendukung TPM dapat menghasilkan kunci kriptografi dan mengenkripsinya sehingga hanya dapat didekodekan oleh TPM. Metode ini, juga dikenal sebagai membungkus atau mengikat kunci, dapat membantu mengamankannya dari pengungkapan.

Setiap chip TPM memiliki pasangan kunci RSA yang dikenal sebagai Endorsement Key (EK). Pasangan disimpan di dalam semikonduktor dan tidak dapat diakses oleh perangkat lunak. Ketika pengguna atau administrator menguasai sistem, Storage Root Key dibuat. TPM menghasilkan pasangan kunci ini berdasarkan EK dan kata sandi yang ditentukan pemilik.

Bagian rahasia dari kunci root penyimpanan atau kunci pengesahan yang dihasilkan TPM tidak pernah diungkapkan ke komponen, program, proses, user atau perangkat lain mana pun.

Karena merupakan modul berbasis perangkat keras, malware tidak dapat mengubahnya melalui metode perangkat lunak standar. Akibatnya, chip TPM menjadi “root-of-trust” berbasis perangkat keras yang selalu dapat diandalkan oleh sistem operasi.

Keunggulan TPM

• Membuat, menyimpan, dan membatasi penggunaan kunci kriptografi.
• Menggunakan metrik yang dapat mengidentifikasi perubahan pada konfigurasi untuk memastikan integritas platform.
• Menggunakan kunci RSA TPM untuk autentikasi perangkat platform.
• Mengurangi resiko serangan firmware, ransomware, dan phishing.
• Teknologi DRM dapat digunakan untuk melindungi hak media digital.
• Memastikan lisensi perangkat lunak aman.

Apa yang bisa dilakukan TPM?

• Windows Hello adalah alat identifikasi biometrik dan kontrol akses yang berfungsi dengan pemindai sidik jari berkemampuan TPM, pemindai iris, dan teknologi pengenalan wajah.
• Sebagai pertahanan terhadap serangan brute-force, yang mencoba masuk ke jaringan komputer yang dilindungi kata sandi dengan memasukkan setiap kata dalam kamus sebagai kata sandi.
• Virtual smart cards yang didasarkan pada TPM untuk otentikasi sumber daya eksternal.
• Alat bantu boot dalam mendeteksi malware selama proses boot Windows dan pengaturan konfigurasinya.
• Menganalisis dan menentukan kesehatan perangkat dengan menghasilkan sertifikat AIK untuk TPM.
• Melindungi kredensial pada keamanan berbasis virtualisasi. TPM digunakan untuk melindungi kunci dalam kasus ini.

TPM: Diskrit, Terintegrasi, atau Firmware?

TPM dapat diimplementasikan dengan salah satu dari tiga cara berikut:

• Diskrit: Chip TPM sebagai komponen berbeda dalam paket semikonduktornya sendiri.
• Terintegrasi: TPM yang disematkan ke dalam satu atau beberapa paket semikonduktor bersama, tetapi secara konseptual tidak bergantung pada komponen lain.
• Firmware: TPM yang menjalankan TPM dalam firmware pada unit komputasi tujuan umum dalam mode Eksekusi Terpercaya.

Apa yang terjadi jika chip TPM gagal atau rusak?

• Jika TPM rusak atau menjadi tidak dapat dijangkau, kriptografi apa pun yang bergantung pada kunci yang disimpan oleh TPM akan gagal.
• Data apa pun yang dienkripsi dengan kunci TPM dan tidak dicadangkan akan hilang, seperti hard disk terenkripsi Anda.
• Setiap kepercayaan pada platform akan hilang, misalnya selama pengesahan jarak jauh.

Cara mencadangkan kunci TPM di Windows 11

Langkah pertama adalah memastikan bahwa Anda memiliki layanan Active Directory domain yang dapat dikelola dari jarak jauh. Anda dapat membuatnya jika Anda belum memilikinya.

Anda dapat menggunakan server Active Directory Domain Services (AD DS) untuk menjamin bahwa hanya pengguna resmi yang memiliki akses ke informasi penting ini melalui dasbor administrasi terpusat.

Ketika administrator sistem perlu menggunakan kembali komputer lama dan mengatur ulang TPM ke default pabrik, mereka dapat menggunakan cadangan untuk mengatur TPM dari jarak jauh pada mesin lokal menggunakan AD DS. Data yang disimpan juga dapat digunakan dalam keadaan pemulihan jika pemiliknya lupa kata sandi TPM-nya.

Untuk mencadangkan informasi Pemilik TPM ke AD DS menggunakan pengaturan Group Policy, ikuti langkah-langkah berikut:

1. Jalankan kotak dialog “Run”, dapat Anda gunakan tombol (WIN + R).
2.  Ketikkan “gpedit.msc” dalam kotak pencarian dan tekan tombol OK.
3. Arahkan pada “Computer Configuration\Administrative Templates\System\Trusted Platform Module Services”.
4. Pada panel sebelah kanan, klik dua kali “Turn on TPM backup to Active Directory Domain Services”.
5. Pilih opsi “Enabled”.
6. Klik tombol OK untuk menyimpan perubahan