当我不仅加密启动驱动器而且还加密其他包含数据的驱动器时,Bitlocker 在仅 TPM 模式下究竟如何工作?
如果有人偷了整台计算机,由于 Windows 密码,他将无法登录。根据这个问题的答案,使用引导棒会改变引导过程,因此 TPM 将不会提供解密密钥。所以使用引导棒是没有帮助的。
但是,当攻击者只是格式化引导驱动器并重新安装新操作系统时会发生什么?启动驱动器上的数据将丢失,但现在计算机可以再次启动。硬件没有改变,所以我不确定启动过程是否与 TPM 有所不同。这个新的操作系统安装是否也会改变启动过程,足以让 TPM 注意到该变化?或者 TPM 是否会不知道新操作系统并为其他数据驱动器提供解密密钥?
BitLocker 仅对系统卷使用 TPM。所有其他卷的自动解锁是通过将密钥直接存储为系统卷中的文件来实现的(
.bek如果我没记错的话,这是一个隐藏文件 - 搜索术语“启动密钥”)。因此,如果攻击者按照您的描述重新安装干净的操作系统,那么他们只是删除了存储的自动解锁密钥,因为所有这些密钥都位于刚刚重新格式化的 C:\ 中。