Breve explicação
É um Dell Inspiration 15 7000 que executou a instalação original do Windows 10 de fábrica da Dell que veio com o notebook. Ele não inicializa mais a partir do SSD interno após a remoção temporária da unidade. A verificação da unidade por meio de ferramentas de linha de comando mostra a unidade como criptografada.
E aqui está a explicação completa:
Desculpe por ser tão longo, tentei estruturá-lo o melhor possível...
O que aconteceu:
A unidade foi removida (para criar um clone que falhou devido a espaço insuficiente na unidade de destino) e conectada novamente depois, nada mais mudou. Tentar ligar o notebook novamente na inicialização falhou.
Verificações preliminares:
A verificação do BIOS (a tela chamada "Bootsequenz") mostra a partição 1 do SSD como a entrada UEFI, mas a entrada "Windows Boot Manager" está ausente. Eu acho que costumava ser semelhante a isso ou apenas tinha a entrada do Windows Boot Manager (a imagem é da Internet):
Verificando através da ferramenta de linha de comando usando uma imagem de instalações do Windows 10 via USB, recebo a seguinte entrada:
C:\>manage-bde -status G:
BitLocker Drive Encryption: Configuration Tool version 10.0.22000
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
Volume G: []
[Data Volume]
Size: Unknown GB
BitLocker Version: 2.0
Conversion Status: Used Space Only Encrypted
Percentage Encrypted: 100,0%
Encryption Method: XTS-AES 128
Protection Status: Protection Off
Lock Status: Unlocked
Identification Field: Unknown
Automatic Unlock: Disabled
Key Protectors: None Found
Análise adicional:
O Bitlocker não foi habilitado pelo usuário por meio do Windows/Bitlocker, portanto, nenhuma chave de recuperação foi salva. Então eu me pergunto o que aconteceu aqui. Eu tentei manage-bde -protectors -get c:o que deveria me dar a identificação da chave de recuperação, mas diz que não consegue encontrar nenhuma medida de segurança. manage-bde -off C:também não é possível. Eu também li que não precisa ser o próprio Bitlocker, apenas uma implementação baseada em Bitlocker.
Informações adicionais de fundo:
O dispositivo/laptop tem PPT implementado, não TPM ( sem opção TPM no BIOS ). O PPT é ativado no BIOS.
No BIOS a opção Secure Boot está habilitada, Secure Boot Mode é "Deployed Mode". No Expert Key Management, o "modo personalizado" não está ativado, mas parece haver algumas chaves armazenadas na seleção "PK".
A partição criptografada é a partição do sistema Windows (460 GB), o layout do disco tinha mais ou menos o particionamento padrão do Windows, o mesmo se você instalasse o Windows manualmente. A partição do sistema EFI no início, seguida pela partição do sistema. Embora existam duas partições de recuperação adicionais, provavelmente usadas para opções de recuperação da Dell, e a partição EFI não tinha os 100 MB normais, mas 650 MB. Aqui está uma captura de tela de
diskmgmt.msc(conectada como uma unidade USB externa):
A clonagem foi tentada com Clonezilla e Acronis
Uma coisa estranha adicional: tenho certeza desde que tirei uma captura de tela, mas faça-a com um pouco de sal (caso eu tenha confundido algo): Após a remoção do SSD, ele foi testado em um sistema Win 11 diferente como um unidade USB externa e arquivos estavam acessíveis (mas um símbolo Bitlocker foi mostrado no ícone da unidade). Se isso for verdade, a partição deve ter sido descriptografada ou foi criptografada, mas os dados estavam acessíveis de qualquer maneira! Isso soa um pouco estranho para mim. Especialmente quando eu conecto o SSD no mesmo sistema Win 11, apenas mostra uma partição criptografada Bitlocker no gerenciador de disco (veja a captura de tela acima). Aqui está a captura de tela de quando acessei o diretório raiz através do Win 11:
Não me lembro da unidade C ter algum tipo de símbolo de "cadeado" anexado no explorer quando ainda estava inicializando. É possível que a criptografia / descriptografia não tenha sido feita no Windows, mas por meio de alguns recursos do BIOS (baseados no Bitlockertech), portanto, invisíveis para o próprio Windows? Encontrei uma captura de tela antiga e não há símbolo de cadeado nesta partição, apenas o símbolo de disco de partição regular e um símbolo compartilhado:
Minha opinião sobre o problema:
Não estou muito familiarizado com as medidas de segurança, então li um pouco ( por exemplo, aqui ) e, pelo que entendi, o BIOS pode lidar com a criptografia via TPM ou PPT no meu caso (ativação do BitLocker sem PIN: somente TPM) . Então, pelo que entendi, o SSD foi criptografado desde o início, isso está correto? Em caso afirmativo, o que lidou com a descriptografia? PPT já que o TPM não está ativado no BIOS? Por que não atende mais? No que diz respeito ao sistema, nada mudou depois que reinseri o SSD no laptop original.
Parece estranho que eu possa acessar a unidade no outro sistema. Isso me leva a acreditar que algum tipo de medida de segurança acionou a criptografia para ser habilitada. Os dados podem de alguma forma ser criptografados e ainda legíveis quando a unidade é montada como uma unidade USB externa?
Soluções possíveis:
Descobri várias causas e soluções para esse tipo de problema na rede (por exemplo, restaurar a configuração de fábrica no Expert Key Management no BIOS ou adicionar um protetor via manage-bde -protectors -add c: -tpm), mas não quero experimentar nada antes de ter um entendimento completo do que vai acontecer para eu não piorar as coisas.
Meu melhor palpite é manage-bde -protectors -add c: -tpmque poderia fazer o truque, basicamente adicionando o tpm como um protetor de chave válido novamente (já que atualmente ele mostra Key Protectors: None Found). Mas, novamente, não quero apenas experimentar as coisas, já que meu entendimento é um pouco limitado no momento.
Mas parece que algumas pessoas tiveram sucesso na recuperação dos dados. Então eu estou esperando para obter alguns insights úteis.
O Intel PTT é uma implementação do TPM 2.0 e, para o sistema operacional, é a mesma coisa que um dispositivo TPM discreto.
Muito provavelmente, sim, eu suspeito que ele foi criptografado, mas no modo "aberto" ou "suspenso" - ou seja, com a tecla de volume armazenada em claro no próprio disco, esperando que você a ative totalmente algum tempo depois (dando a você uma chance de armazenar a chave de recuperação ou aguardar a anexação de uma conta MS ou algo assim). O TPM ainda não está envolvido .
Eu vi o Windows fazer isso por seu recurso "Criptografia de dispositivo" porque, do ponto de vista do usuário, ele permite que o disco seja "criptografado" instantaneamente (não é necessário esperar algumas horas até que o processo de criptografia aconteça) - o sistema apenas substitui o clear chave com protetores reais.
Observe como diz:
indicando que os dados já estão acessíveis.
(Criptografar um disco existente também levantaria a questão de saber se os dados não criptografados anteriores são substituídos com segurança durante o processo de criptografia; isso não é mais um problema se não houver dados não criptografados em primeiro lugar.)
Para a maioria dos sistemas que usam criptografia baseada em CPU (em vez de OPAL), isso é um completo absurdo. Os dados criptografados ainda são apenas dados: não podem ser copiados. Não importa como foi criptografado, nem onde está a chave – os mesmos bytes serão descriptografados para a mesma coisa.
Não, não é exatamente assim que funciona. Os protetores não são apenas entradas de configuração, eles também mantêm cópias da chave mestra de criptografia real – se o disco estivesse bloqueado e a chave desconhecida, você não poderia gerar um protetor funcional do nada.
O TPM não armazena chaves individuais do BitLocker diretamente; em vez disso, o Windows solicita que ele criptografe a chave de disco usando a chave interna do TPM, e a versão lacrada é devolvida ao sistema operacional para armazenamento, que nesse caso significa o cabeçalho do BitLocker. Portanto, em outras palavras, não é suficiente para um protetor do BitLocker meramente fazer referência ao TPM, ele não pode fazer nada a menos que tenha os dados lacrados originais.
Por outro lado, se o disco estiver desbloqueado (indicando que a chave mestra é conhecida no momento), você certamente poderá adicionar um novo protetor TPM, mas não parece ser realmente útil em sua situação.
Após algumas horas de leitura contínua sobre o BitLocker na internet, consegui recuperar a "Chave de Recuperação". Na verdade, foi bem "fácil" usar o PS
manage-bde -on g: -recoverypassword. Isso acionou a opção de inserir uma (nova) senha e me deu a chance de salvar a chave de recuperação.Eu acho que isso teria funcionado através da GUI também escolhendo a opção de ativar o Bitlocker através da opção de senha, já que não havia senha definida, suspeito que teria aceitado uma nova.
Este foi o estado da unidade depois
manage-bde -status g::Eu ainda poderia montar a partição no Windows (recebo uma mensagem de erro, que é ilegível ou corrompido), mas montá-lo no Linux por meio
dislockerde funciona bem.Atualização: consegui recuperar os dados pelo Windows por meio da recuperação da partição criptografada:
repair-bde g: h: -force -rp 111111-222222-333333-444444-555555-666666-777777-888888. Não tenho certeza por que o Linux é capaz de montar a partição, mas o Windows não.