为了更准确地了解如何处理事情,当为 C:\ 启用 BitLocker 时,Windows 如何知道:
正常情况下,它应该开始无需任何按键提示
如果 BIOS 配置发生变化,它应该问BitLocker 恢复密钥
如果我把硬盘从这台电脑上拆下来,然后放到另一台电脑上,它应该问BitLocker 恢复密钥
?
我可以想象这样的事情:加密哈希 h1可以计算并存储当前 BIOS 配置状态的哈希值(在哪里?)。然后 Windows 还会将此哈希值的副本存储h2在卷 C:\ 本身或启动分区(在哪里?)上的文件中。每次启动时,如果h1 == h2没有密码,则不会要求用户输入。如果h1 != h2,则意味着 BIOS 已更改或磁盘已移动到另一台计算机,因此会要求输入恢复密钥。
这或多或少正确吗?
更准确地说,哪个系统处理这些事情,这些“哈希”存储在哪里?
是吗可信平台管理或者其他内容?如果是,这些信息存储在哪里?
答案1
如果可用(且合适),Bitlocker 将使用您计算机的 TPM 模块来存储加密哈希值。
或者准确地说,Bitlocker/Windows 需要向 TPM 提供正确的哈希值来解封它并允许解密 Bitlocker 使用的密钥。
如果其中一个哈希值不同(例如由于 BIOS 固件或设置发生变化),则无法解封 TPM,Bitlocker 也无法启动。在这种情况下,Bitlocker 通常会要求输入恢复密钥。
有关详细信息,请参阅https://docs.microsoft.com/en-us/windows/security/information-protection/tpm/tpm-fundamentals