Recentemente, habilitei o Firmware TPM no meu BIOS para ver se meu sistema é compatível com o Windows 11.
Minha pergunta é sobre o seguinte aviso que recebi quando habilitei o Firmware TPM:
Intel PTT é uma implementação de hardware TPM 2.0 integrada no Intel ME/CSME/TXE para armazenamento de credenciais e gerenciamento de chaves. A chave TPM do firmware será armazenada na região de dados do Intel ME assim que você habilitar o Intel PTT e o Windows BitLocker para criptografia de unidade. Observe que quando a chave de recuperação é perdida ou quando o chip ROM do BIOS é substituído, o sistema não inicializa no sistema operacional e os dados permanecem criptografados e não podem ser restaurados.
Abaixo seguem minhas dúvidas:
Como nunca quero habilitar o BitLocker e habilitei apenas o TPM para poder atualizar para o Windows 11 no futuro, é seguro ignorar esse aviso no meu caso?
"A chave TPM do firmware será armazenada na região de dados do Intel ME assim que você habilitar o Intel PTT e o Windows BitLocker para criptografia de unidade."
Onde esta "região de dados Intel ME" será localizada? Não soa como algo que eu possa usar usando o Windows Explorer.
Além disso, para que é usada a "chave TPM de firmware"?
"Observe que quando a chave de recuperação é perdida ou quando o chip ROM do BIOS é substituído, o sistema não inicializa no sistema operacional e os dados permanecem criptografados e não podem ser restaurados."
Em relação a "quando o chip ROM do BIOS é substituído", isso significa que os usuários que ativam o BitLocker devem primeiro desativá-lo antes de substituir seus chips ROM do BIOS?
Em caso afirmativo, o que acontece se eles cometerem o erro de substituir o chip ROM do BIOS antes de desativar o BitLocker? Eles podem simplesmente colocar o antigo chip ROM do BIOS de volta e desligar o BitLocker, ou eles apenas criptografaram permanentemente o sistema?
Em primeiro lugar, como menciona o texto citado, observe que o mesmo volume do sistema pode ter várias chaves de descriptografia adicionadas. Além de uma chave protegida por TPM, o volume do sistema geralmente terá uma chave de recuperação numérica .
Contanto que você tenha a chave de recuperação anotada, sempre poderá usá-la para desbloquear o volume - mesmo que o TPM tenha sido alterado ou se recuse a fazer o trabalho, ou mesmo se você o estiver acessando através do Linux, ou mesmo se o disco é movido para um computador totalmente diferente.
(Se você tiver o Windows Pro e usar a versão completa do BitLocker (em oposição ao recurso "Criptografia de dispositivo" reduzido que o Windows Home possui), você deve ter visto que ele também suporta arquivos de chave armazenados em USB e até mesmo senhas comuns. esses "protetores" são completamente independentes do resto, e apenas aqueles que realmente mencionam "TPM" em seu nome dependem de um TPM - o resto continuará funcionando sem.)
Sim – se você tiver certeza de que o BitLocker também não foi habilitado automaticamente .
(Se você não tinha o TPM antes, provavelmente não tem, pois o recurso automático de "Criptografia de dispositivo" requer um TPM - mas nunca é demais verificar novamente, por exemplo, usando
manage-bde -status c:.)Observe que o TPM pode ser usado para outras finalidades além do BitLocker, portanto, limpar seus dados pode desconectar o computador do Azure AD ou Windows Hello for Business ou perder ativações de licença em alguns aplicativos de terceiros. Mas se você não tinha o TPM habilitado antes, então você não está usando nenhum desses recursos de qualquer maneira.
É uma área de memória flash dentro de sua CPU. O sistema operacional não tem acesso direto a ele (assim como não teria acesso direto à memória de um TPM real, ou mesmo à NVRAM que armazena suas configurações de firmware).
É a chave de criptografia "raiz" que protege todos os outros dados gerenciados pelo TPM.
Outros dados, como as chaves do BitLocker, não são armazenados no próprio TPM – ele possui apenas uma quantidade muito pequena de memória flash segura, apenas o suficiente para 3 a 4 chaves criptográficas. Todo o resto é devolvido ao sistema operacional, apenas criptografado usando a chave "raiz", de modo que apenas o próprio TPM possa descriptografá-lo. (Portanto, o protetor de TPM do BitLocker é realmente armazenado no próprio disco.)
Isso dá a ilusão de que o TPM tem armazenamento praticamente infinito (fazendo com que o sistema operacional troque automaticamente as coisas dentro e fora da RAM do TPM), enquanto também permite que esse armazenamento seja instantaneamente "limpo" (destruindo a chave raiz).
Sim, ou eles devem suspender o BitLocker – em vez de descriptografar todos os dados, isso apenas armazena a chave mestra de descriptografia no disco, sem nenhuma proteção. (Quando o BitLocker é "reiniciado", ele apaga essa chave.) Suspender a criptografia dessa maneira é muito rápido, enquanto desabilitar totalmente o BitLocker e descriptografar um disco de terabyte pode levar muitas horas.
No entanto, eles também devem ter a chave de recuperação anotada. Ignore o "ou" equivocado que está em sua citação – saber que a chave de recuperação o torna completamente independente do TPM ou de qualquer outro hardware do sistema.
Não tenho certeza, porque há realmente duas coisas em jogo: a chave de criptografia raiz usada pelo fTPM e a medição do estado do sistema que é feita com todos os TPMs.
Primeiro, mesmo com um TPM discreto, o processo de "vedação" usado pelo Windows vincula deliberadamente a chave do BitLocker a determinados bits do estado do sistema. Por exemplo, inicializar a partir de um pendrive ou desabilitar o Secure Boot fará com que o TPM se recuse a liberar a chave porque o estado do sistema foi alterado. Mas isso não destrói nada, e retornar às configurações originais permitirá que a chave seja aberta novamente.
No entanto, com um fTPM, é o firmware que realmente contém a chave de criptografia raiz real que é usada para selar. É mais provável que esteja na CPU, não na "BIOS ROM", mas é possível que alterar as coisas possa fazer com que o firmware reinicie completamente o fTPM, tornando irrecuperáveis todos os dados anteriormente lacrados.