Pelo que li, quando você inicializa um chip TPM, ele cria uma chave derivada aleatória (derivada de sua chave raiz implícita). Outros usuários definirão PCRs (ou seja, UEFI, bootloader etc.) e, eventualmente, o BitLocker selará esses valores para gerar sua chave.
Preciso enviar meu computador para manutenção. Eu gostaria de salvar a chave inicializada (que será criptografada pela chave deste chip, o que é bom), reinicializar o TPM (para que os serviços de garantia não possam acessar os dados) e, quando eu recuperá-lo, carregar a chave original de volta (para que o BitLocker e outros serviços funcionem novamente).
Como eu faço isso?
(Observação: se eles substituirem o MOBO e eu receber um computador de volta com um TPM diferente, obviamente não poderei restaurá-lo. Isso é irritante, mas tudo bem - posso reconstruir todas as minhas chaves e tenho as chaves de recuperação do BitLocker. Se existe uma maneira de evitar isso no caso provável de eles não substituirem o MOBO, eu gostaria de fazer isso.)
Salve a chave de recuperação e limpe o TPM no BIOS.
Na inicialização, o computador solicitará a chave de recuperação do Bitlocker e não inicializará sem ela.
Envie o computador para manutenção e seus dados estarão seguros.
Recupere o computador e, desde que os serviços não reformatem a unidade, basta conectar a chave de recuperação quando solicitado e tudo bem.
NO ENTANTO, todos os servicers que eu conheço declaram que podem e irão refazer a imagem do computador se considerarem necessário.
Portanto, você deve remover o HDD do computador de maneira ideal antes de enviá-lo, a menos que seus dados sejam totalmente copiados.
ATUALIZAÇÃO para perguntas:
Sim, depois de limpo, assim que o TPM receber as informações corretas, ele será capaz, mais uma vez, de ajudar o sistema a desbloquear automaticamente a unidade descriptografada sem exigir outra descriptografia/criptografia completa.
Há uma diferença entre Suspending Bitlocker e Disabling Bitlocker :
A suspensão do Bitlocker permite que sejam feitas alterações no caminho de confiança do hardware (BIOS/TPM) para o software (dados criptografados) e instrui os sistemas ao longo desse caminho a manter a relação de confiança sem exigir descriptografia e, em seguida, recriptografia. Você suspende o Bitlocker quando precisa atualizar o BIOS, por exemplo. Desativar o Bitlocker requer tempo para descriptografar totalmente a unidade.