Soweit ich gelesen habe, wird beim Initialisieren eines TPM-Chips ein zufälliger abgeleiteter Schlüssel erstellt (abgeleitet von seinem impliziten Stammschlüssel). Andere Benutzer legen dann PCRs fest (z. B. UEFI, Bootloader usw.), und schließlich versiegelt BitLocker diese Werte, um seinen Schlüssel zu generieren.
Ich muss meinen Computer zur Wartung einschicken. Ich möchte den initialisierten Schlüssel (der verschlüsselt wird durchDasChipschlüssel, was in Ordnung ist), initialisieren Sie das TPM neu (damit die Garantieservicerkann nichtauf die Daten zugreifen) und dann, wenn ich es zurückbekomme, den Originalschlüssel wieder hineinladen (damit BitLocker und andere Dienste wieder funktionieren).
Wie mache ich das?
(Hinweis: Wenn sie das MOBO ersetzen und ich einen Computer mit einem anderen TPM zurückbekomme, kann ich ihn natürlich nicht wiederherstellen. Das ist ärgerlich, aber das ist in Ordnung - ich kann alle meine Schlüssel wiederherstellen und ich habe die BitLocker-Wiederherstellungsschlüssel. Wenn es eine Möglichkeit gibt, dies zu vermeiden, in dem wahrscheinlichen Fall, dass sie es tunnichtdas MOBO austauschen, das würde ich gerne machen.)
Antwort1
Speichern Sie den Wiederherstellungsschlüssel und löschen Sie dann das TPM im BIOS.
Beim Booten fordert der Computer den Bitlocker-Wiederherstellungsschlüssel an und startet nicht ohne ihn.
Schicken Sie den Computer zur Wartung ein und Ihre Daten sind sicher.
Holen Sie sich den Computer zurück. Sofern die Wartungstechniker das Laufwerk nicht neu formatiert haben, stecken Sie bei entsprechender Aufforderung einfach den Wiederherstellungsschlüssel ein und alles ist ok.
JEDOCH gibt jeder mir bekannte Servicedienstleister an, dass er ein neues Image des Computers erstellen kann und wird, wenn er es für notwendig erachtet.
Daher sollten Sie vor dem Versenden am besten die Festplatte aus dem Computer entfernen, sofern Ihre Daten nicht vollständig gesichert sind.
UPDATE für Fragen:
Ja, nachdem es gelöscht wurde und dem TPM die richtigen Informationen übermittelt wurden, kann es dem System erneut dabei helfen, das entschlüsselte Laufwerk automatisch zu entsperren, ohne dass eine erneute vollständige Entschlüsselung/Verschlüsselung erforderlich ist.
Es gibt einen Unterschied zwischenBitlocker anhalten, UndBitlocker deaktivieren:
Durch das Anhalten von Bitlocker können Änderungen am Vertrauenspfad von der Hardware (BIOS/TPM) zur Software (verschlüsselte Daten) vorgenommen werden. Außerdem werden die Systeme entlang dieses Pfads angewiesen, die Vertrauensbeziehung beizubehalten, ohne dass eine Entschlüsselung und anschließende erneute Verschlüsselung erforderlich ist. Sie halten Bitlocker beispielsweise an, wenn Sie das BIOS aktualisieren müssen. Das Deaktivieren von Bitlocker erfordert Zeit, um das Laufwerk vollständig zu entschlüsseln.