据我所知,当您初始化 TPM 芯片时,它会创建一个随机派生密钥(派生自其隐式根密钥)。然后其他用户将设置 PCR(即 UEFI、引导加载程序等),最终 BitLocker 将密封这些值以生成其密钥。
我必须将我的电脑送去维修。我想保存初始化的密钥(它将被这个芯片的密钥加密,这很好),重新初始化 TPM(这样保修服务商就无法访问数据),然后,当我取回它时,加载将原始密钥放回其中(以便 BitLocker 和其他服务再次工作)。
我该怎么做呢?
(注意:如果他们更换了 MOBO 并且我用不同的 TPM 取回了一台计算机,那么显然我无法恢复它。这很烦人,但没关系 - 我可以重建我的所有密钥并且我有 BitLocker 恢复密钥。如果碰巧有一种方法可以避免这种情况,如果他们不更换 MOBO,我想这样做。)
保存恢复密钥,然后在 BIOS 中清除 TPM。
启动时,计算机会要求提供 Bitlocker 恢复密钥,没有它就无法启动。
将计算机送修,您的数据将是安全的。
取回计算机,只要服务人员没有重新格式化驱动器,您只需在出现提示时插入恢复密钥就可以了。
但是,据我所知,每个服务商都表示,如果他们认为有必要,他们可以并且会重新映像计算机。
因此,除非您的数据已完全备份,否则您最好在发送之前从计算机上移除硬盘。
更新问题:
是的,清除后,一旦 TPM 获得正确的信息,它将能够再次帮助系统自动解锁解密的驱动器,而无需再次完全解密/加密。
Suspending Bitlocker和Disabling Bitlocker之间有区别:
暂停 Bitlocker 允许更改从硬件 (BIOS/TPM) 到软件(加密数据)的信任路径,并告诉该路径上的系统保留信任关系,而无需解密然后重新加密。例如,当您需要更新 BIOS 时,您可以暂停 Bitlocker。禁用 Bitlocker 需要时间来完全解密驱动器。