据我所知,当您初始化 TPM 芯片时,它会创建一个随机派生密钥(从其隐式根密钥派生)。然后其他用户将设置 PCR(即 UEFI、引导加载程序等),最终 BitLocker 将密封这些值以生成其密钥。
我必须将我的电脑送去维修。我想保存初始化密钥(将由这芯片的密钥(没问题),重新初始化 TPM(以便保修服务人员不能访问数据),然后,当我拿回它时,将原始密钥重新加载到其中(这样 BitLocker 和其他服务就可以再次工作了)。
我该怎么做呢?
(注意:如果他们更换了 MOBO,而我拿到的电脑却安装了不同的 TPM,那么显然我无法恢复它。这很烦人,但没关系 - 我可以重建所有密钥,而且我有 BitLocker 恢复密钥。如果他们确实有办法避免这种情况,那么不是更换 MOBO,我愿意这么做。
答案1
保存恢复密钥,然后清除 BIOS 中的 TPM。
在启动时,计算机将要求输入 Bitlocker 恢复密钥,如果没有该密钥,计算机将无法启动。
将计算机送去维修,您的数据将是安全的。
取回电脑,只要服务人员没有重新格式化驱动器,您只需在提示时插入恢复密钥即可。
然而,据我所知,每个服务人员都表示,如果他们认为有必要,他们可以而且会重新对计算机进行镜像。
因此,除非您的数据已完全备份,否则您最好在发送计算机之前从计算机中移除硬盘。
问题更新:
是的,清除后,一旦 TPM 获得正确的信息,它将能够再次帮助系统自动解锁解密的驱动器,而无需再次进行完整的解密/加密。
两者之间存在差异暂停 Bitlocker, 和禁用 Bitlocker:
暂停 Bitlocker 允许更改从硬件 (BIOS/TPM) 到软件 (加密数据) 的信任路径,并告知沿该路径的系统保留信任关系,而无需解密然后重新加密。例如,当您需要更新 BIOS 时,您可以暂停 Bitlocker。禁用 Bitlocker 需要时间来完全解密驱动器。