收到启用固件 TPM 的警告

收到启用固件 TPM 的警告

我最近在 BIOS 中启用了固件 TPM,以查看我的系统是否与 Windows 11 兼容。

我的问题是关于启用固件 TPM 时收到以下警告:

Intel PTT 是集成在 Intel ME/CSME/TXE 中的硬件 TPM 2.0 实现,用于凭证存储和密钥管理。一旦您启用 Intel PTT 和 Windows BitLocker 进行驱动器加密,固件 TPM 密钥将存储在 Intel ME 数据区域中。请注意,当恢复密钥丢失或更换 BIOS ROM 芯片时,系统将无法启动到操作系统,数据将保持加密状态,无法恢复。

以下是我的问题:

  1. 由于我从不想启用 BitLocker,而只启用了 TPM,以便将来可以升级到 Windows 11,因此对于我的情况,忽略此警告是否可以安全?

  2. “一旦您启用 Intel PTT 和 Windows BitLocker 进行驱动器加密,固件 TPM 密钥将存储在 Intel ME 数据区域中。”

    这个“Intel ME 数据区域”位于何处?听起来不像是可以使用 Windows 资源管理器访问的内容。

    另外,“固件 TPM 密钥”有什么用处?

  3. “请注意,当恢复密钥丢失或 BIOS ROM 芯片被更换时,系统将无法启动操作系统,并且数据将保持加密状态且无法恢复。”

    关于“当更换 BIOS ROM 芯片时”,这是否意味着打开 BitLocker 的用户应该先将其关闭,然后再更换 BIOS ROM 芯片?

    如果是这样,如果他们在关闭 BitLocker 之前错误地更换了 BIOS ROM 芯片,会发生什么情况?他们是否可以将旧的 BIOS ROM 芯片放回去并关闭 BitLocker,还是他们只是永久加密了他们的系统?

答案1

首先,正如引用的文字所提到的,请注意,同一个系统卷可以有多种的解密密钥已添加。除了受 TPM 保护的密钥外,系统卷通常还会有一个数字恢复密钥

只要你记下了恢复密钥,你就可以总是使用它来解锁卷 - 即使 TPM 已被更改或拒绝执行该工作,或者即使您通过 Linux 访问它,或者即使磁盘已完全移动到另一台计算机。

(如果您拥有 Windows Pro 并使用完整版 BitLocker(而不是 Windows Home 所具有的简化版“设备加密”功能),您可能会发现它还支持 USB 存储的密钥文件甚至普通密码。每个“保护器”都完全独立于其他保护器,并且只有名称中实际提到“TPM”的保护器才依赖于 TPM - 其余的保护器将继续工作。)

由于我从不想启用 BitLocker,而只启用了 TPM,以便将来可以升级到 Windows 11,因此对于我的情况,忽略此警告是否可以安全?

是的 - 如果你确定 BitLocker 尚未被自动地已启用。

(如果您之前没有 TPM,那么很可能没有,因为自动“设备加密”功能需要 TPM - 但再检查一下也无妨,例如使用manage-bde -status c:。)

请注意,TPM 除了可用于 BitLocker 之外,还可用于其他用途,因此清除其数据可能会导致计算机与 Azure AD 或 Windows Hello for Business 断开连接,或丢失某些第三方应用程序中的许可证激活。但如果您之前未启用 TPM,那么您无论如何都不会使用任何这些功能。

这个“Intel ME 数据区域”位于何处?听起来不像是可以使用 Windows 资源管理器访问的内容。

它是 CPU 内部的闪存区域。操作系统根本无法直接访问它(就像它无法直接访问真正的 TPM 内存,甚至无法直接访问存储固件设置的 NVRAM 一样)。

另外,“固件 TPM 密钥”有什么用处?

它是保护 TPM 管理的所有其他数据的“根”加密密钥。

不会存储其他数据(例如您的 BitLocker 密钥)TPM 本身 – 它只有非常小的安全闪存,仅够容纳 3-4 个加密密钥。其余所有内容都返回到操作系统,只是使用“根”密钥加密,这样只有 TPM 本身才能解密。(因此 BitLocker TPM 保护器实际上存储在磁盘本身上。)

这给人一种 TPM 拥有几乎无限存储空间的错觉(通过让操作系统自动将内容交换进和交换出 TPM 的 RAM),同时还允许立即“清除”该存储(通过销毁根密钥)。

关于“当更换 BIOS ROM 芯片时”,这是否意味着打开 BitLocker 的用户应该先将其关闭,然后再更换 BIOS ROM 芯片?

是的,或者他们应该暂停BitLocker – 它不会解密所有数据,而是将主解密密钥直接存储在磁盘上,没有任何保护。(当 BitLocker “恢复”时,它会擦除​​该密钥。)以这种方式暂停加密非常快,而完全禁用 BitLocker 并解密 TB 大小的磁盘可能需要数小时。

然而,他们应该记下恢复密钥。忽略引文中错误的“或”——知道恢复密钥可以让你完全独立于 TPM 或任何其他系统硬件。

如果是这样,如果他们在关闭 BitLocker 之前错误地更换了 BIOS ROM 芯片,会发生什么情况?他们是否可以将旧的 BIOS ROM 芯片放回去并关闭 BitLocker,还是他们只是永久加密了他们的系统?

不确定,因为实际上有两件事在起作用:fTPM 使用的根加密密钥,以及使用所有 TPM 完成的系统状态测量。

首先,即使使用离散 TPM,Windows 使用的“密封”过程也会故意将 BitLocker 密钥绑定到系统状态的某些位。例如,从 USB 启动或禁用安全启动将使 TPM 拒绝解封密钥,因为系统状态已更改。但这不会破坏任何东西,恢复原始设置将允许再次解封密钥。

但是,对于 fTPM,固件实际上保存了用于密封的实际根加密密钥。它很可能位于 CPU 中,而不是“BIOS ROM”中,但它可能的改变周围的事物可能会导致固件完全重置 fTPM,使得所有先前密封的数据无法恢复。

相关内容