Eu uso TPM2.0 + Bitlocker + PIN para criptografar SSD com Windows 10 Professional. Fiz backup da senha de recuperação e continuei. Após a conclusão da criptografia e duas reinicializações, posso escrever no console:
manage-bde -protectors -get c:
, e mostra a senha de recuperação em texto simples (!!!):
BitLocker Drive Encryption: Configuration Tool version 10.0.18362
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
Volume C: []
All Key Protectors
Numerical Password:
ID: {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}
Password:
XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX
TPM And PIN:
ID: {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}
PCR Validation Profile:
7, 11
(Uses Secure Boot for integrity validation)
Senha de texto sem formatação para criptografia de disco com TPM em 2019? Sério? Então, por que preciso do TPM?
Eu tentei encontrar algo manage-bdepara resolver o problema, mas sem sorte.
Existe uma maneira de ocultá-lo ou torná-lo irrecuperável (por exemplo, quando apenas as senhas são salvas em hash, não em texto simples)?
A finalidade do TPM (neste caso) é manter com segurança a chave de descriptografia para que o sistema possa inicializar automaticamente sem a intervenção do usuário. O sistema está simplesmente fornecendo uma maneira de recuperar a chave de recuperação (para cenários de recuperação, como aqueles que incluem a remoção do disco rígido), mas o faz de maneira segura. Primeiro, requer que o sistema inicialize com sucesso para recuperá-lo (passando assim pelo processo de descriptografia) e, segundo, requer acesso administrativo.