我工作的公司有带有TPM芯片和Windows 10 Enterprise的电脑,并使用BitLocker进行全盘加密。他们将 BitLocker 配置为在启动时需要密码(我认为这意味着 TPM 不参与解密,磁盘应该只由密码本身加密;这是错误的吗?)。
一位同事将他的计算机从网络上关闭了一段时间,他们删除了他的计算机的访问权限。要重新获得访问权限,IT 必须对其进行“处理”。
在这个过程中,他们不得不
使 BIOS 接受 USB 引导驱动器
做点什么,也许包括更新东西(他们无法解释他们运行的东西做了什么,只能说它“做了东西”)
启动计算机
注意到 BitLocker 密码不起作用
回到 BIOS 并重新初始化 TPM(因为“有时它会接受恢复密钥”)
但是 BitLocker 密码仍然无效......而且非常有能力的 IT 人员(重新初始化 TPM 的人员)也从他们的数据库中丢失了恢复密钥。
究竟是什么导致它拒绝正确的密码?
TPM 是否与此相关?(密码保护是否要求密码正确且 TPM 具有正确的 PCR 状态,还是独立于 TPM?)
他如何使用密码解锁驱动器?(如果上面的问题是它仍然需要TPM,那么这可能是一个毫无价值的问题,因为它是不可能的)
是的; BitLocker 绝对是使用 TPM 来存储密钥。擦除 TPM 配置后,此密钥将永久丢失。当前访问驱动器的唯一方法是使用恢复密钥。
只有在提供适用的恢复密钥后,密码才会被接受。
这在系统所处的当前条件下是不可能的。
需要恢复密钥,以便使用密码,以便再次启用 BitLocker。擦除 TPM 配置时,BitLocker 自动挂起。 数据仍然是加密的,但需要恢复密钥才能访问数据。