Ich verwende TPM2.0 + Bitlocker + PIN, um die SSD mit Windows 10 Professional zu verschlüsseln. Ich habe das Wiederherstellungskennwort gesichert und fortgefahren. Nach Abschluss der Verschlüsselung und zwei Neustarts kann ich in die Konsole schreiben:
manage-bde -protectors -get c:
, und es zeigt mir das Wiederherstellungskennwort im Klartext (!!!):
BitLocker Drive Encryption: Configuration Tool version 10.0.18362
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
Volume C: []
All Key Protectors
Numerical Password:
ID: {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}
Password:
XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX
TPM And PIN:
ID: {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}
PCR Validation Profile:
7, 11
(Uses Secure Boot for integrity validation)
Klartext-Passwort für Festplattenverschlüsselung mit TPM im Jahr 2019? Wirklich? Wozu brauche ich dann TPM?
Ich habe versucht, eine Lösung für das Problem zu finden manage-bde, aber ohne Erfolg.
Gibt es eine Möglichkeit, es zu verbergen oder unwiederbringlich zu machen (wenn beispielsweise nur die Hash-Daten der Passwörter gespeichert werden und nicht der Klartext)?
Antwort1
Der Zweck des TPM (in diesem Fall) besteht darin, den Entschlüsselungsschlüssel sicher aufzubewahren, damit das System automatisch und ohne Benutzereingriff gestartet werden kann. Das System bietet lediglich eine Möglichkeit, den Wiederherstellungsschlüssel abzurufen (für Wiederherstellungsszenarien, bei denen beispielsweise die Festplatte entfernt werden muss), aber dies geschieht auf sichere Weise. Erstens muss das System erfolgreich gestartet werden, um ihn abrufen zu können (und muss daher den Entschlüsselungsprozess durchlaufen), und zweitens ist Administratorzugriff erforderlich.