使用 bitlocker 停用加密并安装 Ubuntu 20.04 LTS 后,加密服务 BitLocker Drive 加密消失了。我的假设是关闭 BIOS 中的安全启动导致这种情况发生。有人遇到过同样的情况并让 bitlocker 再次工作吗?我不确定我是否可以使用双 Windows 10 和 ubuntu 再次启用安全启动,以及这是否能解决问题。
检查 TPM 时出现以下消息:
设备加密支持 自动设备加密失败的原因:不支持 PCR7 绑定
现在,我已将其更改为启用安全启动,禁用旧版。加密 bitlocker 再次出现。现在的问题是,加密后 Ubuntu 是否仍能正常工作。有人在安装 Ubuntu 后更改过安全启动启用和 bitlocker 加密吗?
谢谢
答案1
Bitlocker 有几层密钥可以获取“全卷加密密钥”(FVEK),该密钥用于实际加密您的数据。FVEK 由“卷主密钥”(VMK) 加密,而后者本身也是加密的,但有多种 (6?) 方式获取其加密密钥。这六种方式中的三种使用一些内部寄存器,即 PCR 配置寄存器 - 更改错误的 PCR 寄存器,解密机制将不再起作用。固件更新等更改以及谁知道还有什么可能会更改这些寄存器。
如果使用 Bitlocker,您确实应该设置其他三种机制中的至少一种来解密 VMK:
- 清除密钥——(在 USB 上或者甚至写下来)。
- 启动密钥或恢复密钥——通常藏在您的 Microsoft 帐户中,因此值得为此密钥备份设置帐户。
- 恢复密码——经过各种操作后生成 VMK。
由于您对 PCR 寄存器几乎没有控制权,不知道是什么改变了它们,甚至不知道哪些寄存器可用于解密 VMK,因此如果您依赖它们来解密位锁卷,那么您就处于危险之中。最糟糕的情况是固件更新无法撤消,但会更改 PCR 寄存器。