为什么计算机技术人员在 GPU 维修和 SSD 更换后会想要我的 bitlocker 密钥?(笔记本电脑)

tag-icon tag-icon hard-drive ssd bios bitlocker windows-key
为什么计算机技术人员在 GPU 维修和 SSD 更换后会想要我的 bitlocker 密钥?(笔记本电脑)

我的笔记本电脑已经在当地维修店待了三个月了——GPU 被重新焊接并喷上了图案。在维修期间,我在家里损坏了 SSD,笔记本电脑无法启动。他们试图修复 SSD(花了一周时间),但没有修好,然后就把它退还给我了。快进到今天:

技术人员告诉我我需要安装一个新的 SSD,好的。他要求提供 BitLocker 密钥 - 这听起来不对,因为我认为这是用于访问硬盘的,但我们使用的是新的 SSD?他告诉我需要密钥,因为它可以阻止窃贼偷走机器并更换 SSD。他还说 SSD 与 BIOS 芯片配对,并且为了重复使用存储在 BIOS 中的 Windows 密钥,他不想擦除它?这是正确的吗?

我担心他可能克隆了我的硬盘并想要密钥来窃取我的数据。或者他有正当理由?

TLDR:技术人员想要使用 bitlocker 密钥来安装新的 SSD,并在物理 GPU 维修和 SSD 更换后使用 BIOS 中的相同 Windows 产品密钥。(在我拥有我的 SSD 一周后)

答案1

这根本没有任何意义。

BitLocker 密钥与 SSD 绑定。它与 Windows 许可证无关。
新 SSD 没有 BitLocker。并且,在安装全新 Windows 后,当您使用 BitLocker 对其进行加密时,您可能对 BitLocker 使用相同的 PIN,但内部的新 BitLocker 设置将具有不同的全新 BitLocker 主密钥。

如果未更换主板,全新安装的 Windows 10(或 11)将在连接到互联网后立即自动重新激活其许可证。(无论登录名是本地用户帐户还是 Microsoft LiveID)。

因此服务技术人员不可能需要您的旧 BitLocker 代码。

答案2

我看不出你的 BitLocker 密钥有什么用。如果某些数据被抢救出来并需要解密,当然,要用新设备替换,我甚至不知道有什么方法可以告诉 Windows 使用特定密钥。

让我们换个角度来看。您的 HDD/SSD 已损坏,您需要重新安装 Windows。Windows 最初不会自行加密安装。那么为什么安装新操作系统需要该密钥呢?

到目前为止,我还不知道 PC 电脑是否不能更换硬件,除非你有安全密钥。

听起来很可疑,现在在 IT 领域,我听到很多人说他们认为是真实的事情。

我能想到的最接近的就是你的 Windows“数字授权”,它在某种程度上与你的硬件有关,如果你更换了太多硬件,许可证至少需要重新激活。他可能认为拥有 BitLocker 密钥会降低发生这种情况的可能性(据我所知,事实并非如此)。

我的建议是:别给。事实上,我甚至不指望大多数人有它……(好吧,它可能保存在 MS 帐户中)

答案3

他还说 SSD 与 BIOS 芯片配对,为了重复使用存储在 BIOS 中的 Windows 密钥,他不想擦除它?这是正确的吗?

没错。Windows 将密钥存储在 TPM 中。如果您希望使用这些密钥,则必须拥有 TPM 密码。

如果您希望全新安装 Windows,则可以丢弃这些密钥,但这意味着您安装的任何其他密钥也将被丢弃。特别是,如果您是商务用户,将笔记本电脑用作智能卡,您将丢失该密钥。

另一方面,如果您所担心的只是加密的、可替换的文件(例如丢弃的 SSD 上的媒体),那么您可以进行全新安装。

如果您想使用现有的 MS Windows 许可证进行全新安装,您可能必须向技术人员提供您的 MS 帐户登录密码,或者自行进行 Windows 安装。

Windows TPM

答案4

唯一合理的解释是,如果旧磁盘被替换,新磁盘是空的,但 BitLocker 密钥仍在 TPM 中,因此 BIOS 仍坚持使用它,尽管新磁盘根本没有加密。但是,技术人员无法在没有密码的情况下访问磁盘以安装 Windows。

如果您知道密码,将其提供给技术人员可能会有所帮助,尽管整个情况对我来说并不清楚,并且我怀疑这是否会有所帮助。

否则,使用新磁盘的最简单解决方案是清除 TPM。这需要了解主板的确切型号和 BIOS 版本,但一般来说,这是 BIOS 中的一个选项,可能位于“TPM 安全”部分中。

由于我受到了攻击,并且这个答案因为 UEFI 与 Bitlocker 无关而被否决,因此这里有一些事实可以帮助我解答这个问题。

  1. 我因说 Windows 引导加载程序使用 UEFI 关闭 Bitlocker 而受到批评,因此以下是针对一台 Windows 10 计算机收集的有关所涉及软件的大小的一些事实:

    • Windows 引导加载程序(bootmgfw.efi):1 590 640 字节
    • Windows Bitlocker 界面 ( manage-bde) :222 KB
    • UEFI 下载文件(BIOS_IMG.rcv):27.06 MB

    这个小型引导加载程序在一些 Microsoft 文档中也被称为“存根”,很明显它必须严重依赖 UEFI 提供的服务。

  2. 事实上, 统一可扩展固件接口 (UEFI) 规范 在“2.1.3 UEFI OS 加载器”一节中说得很清楚:

UEFI OS 加载程序是一种特殊类型的 UEFI 应用程序,通常从符合此规范的固件接管系​​统控制权。加载后,UEFI OS 加载程序的行为与其他任何UEFI 应用程序在那里面 它必须仅使用从固件分配的内存,并且只能使用 UEFI 服务和协议来访问固件公开的设备

  1. 证书可能包含识别其预期用途的信息。例如,Microsoft 文章 BitLocker 组策略设置 说:

    对象标识符在证书的扩展密钥用法 (EKU) 中指定。通过将证书中的对象标识符与此策略设置定义的对象标识符进行匹配,BitLocker 可以识别哪些证书可用于向受 BitLocker 保护的驱动器验证用户证书。

    这意味着 UEFI 可以识别 TPM 内部的 Bitlocker 预期密钥(不幸的是,关于 Bitlocker 对 TPM 使用的确切机制的公开信息并不多)。

可以得出结论,UEFI 确实控制着所有设备访问以及引导加载程序发出的每个资源请求。可以说,UEFI 是安全启动确实安全的保证 - 对于每个操作,引导加载程序都必须通过 UEFI。这当然包括验证数字签名以及 Bitlocker 和 TPM。

我相信我已经在这里回答了评论中针对我的所有批评。

相关内容