Windows 10 Professional で TPM2.0 + Bitlocker + PIN を使用して SSD を暗号化します。回復パスワードをバックアップして続行しました。暗号化が完了し、2 回再起動した後、コンソールに次のように入力できます。
manage-bde -protectors -get c:
すると、プレーンテキスト(!!!)の回復パスワードが表示されます:
BitLocker Drive Encryption: Configuration Tool version 10.0.18362
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
Volume C: []
All Key Protectors
Numerical Password:
ID: {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}
Password:
XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX
TPM And PIN:
ID: {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}
PCR Validation Profile:
7, 11
(Uses Secure Boot for integrity validation)
2019 年に TPM を使用したディスク暗号化にプレーンテキスト パスワードを使用するのですか? 本当ですか? では、なぜ TPM が必要なのですか?
manage-bde問題を解決するために何かを見つけようとしましたが、うまくいきませんでした。
それを隠したり、回復不能にしたりする方法はありますか (たとえば、パスワードをプレーンテキストではなくハッシュのみで保存する場合)?
答え1
この場合の TPM の目的は、復号化キーを安全に保持し、ユーザーが介入しなくてもシステムが自動的に起動できるようにすることです。システムは、回復キーを取得する方法を提供しているだけです (ハード ドライブの取り外しなどの回復シナリオの場合)。ただし、その方法は安全です。まず、システムが正常に起動して初めてキーを取得できる (つまり、復号化プロセスが実行される) 必要があり、次に、管理者アクセスが必要です。