私が読んだところによると、TPM チップを初期化すると、ランダムな派生キー (暗黙のルート キーから派生) が作成されます。その後、他のユーザーが PCR (UEFI、ブートローダーなど) を設定し、最終的に BitLocker がそれらの値を封印してキーを生成します。
コンピュータをメンテナンスに出す必要があります。初期化したキー(暗号化されるもの)を保存したいのですが、これチップのキー(これは問題ありません)をリセットし、TPMを再初期化します(保証サービス担当者ができないデータにアクセスし、データを取り戻したら、元のキーをロードし直します(BitLocker やその他のサービスが再び機能するため)。
どうすればいいですか?
(注:MOBOを交換して、別のTPMを搭載したコンピュータを受け取った場合、当然復元できません。イライラしますが、問題ありません。すべてのキーを再構築できますし、BitLocker回復キーも持っています。もし、彼らがそうする可能性が高い場合にそれを回避する方法があれば、ないMOBOを交換したいのですが、そうしたいです。
答え1
回復キーを保存し、BIOS で TPM をクリアします。
起動時にコンピューターは Bitlocker 回復キーを要求し、このキーがないと起動しません。
コンピュータを修理に出せば、データは安全です。
コンピュータを戻して、サービス業者がドライブを再フォーマットしていない限り、プロンプトが表示されたら回復キーを差し込むだけで問題ありません。
しかし、私が知っているすべてのサービス業者は、必要と判断した場合にコンピューターを再イメージ化できると述べています。
したがって、データが完全にバックアップされていない限り、送信する前にコンピューターから HDD を取り外しておくことをお勧めします。
質問の更新:
はい、クリアされた後、TPM に正しい情報が提供されると、システムは再度完全な復号化/暗号化を必要とせずに、復号化されたドライブのロックを自動的に解除できるようになります。
違いがあるBitlocker の一時停止、 そしてBitlockerを無効にする:
Bitlocker を一時停止すると、ハードウェア (BIOS/TPM) からソフトウェア (暗号化されたデータ) への信頼パスに変更を加えることができ、そのパス上のシステムに、復号化と再暗号化を必要とせずに信頼関係を維持するように指示します。たとえば、BIOS を更新する必要がある場合は、Bitlocker を一時停止します。Bitlocker を無効にすると、ドライブを完全に復号化するのに時間がかかります。