Por lo que he leído, cuando inicializas un chip TPM, crea una clave derivada aleatoria (derivada de su clave raíz implícita). Luego, otros usuarios configurarán PCR (es decir, UEFI, gestor de arranque, etc.) y, finalmente, BitLocker sellará esos valores para generar su clave.
Tengo que enviar mi computadora a mantenimiento. Me gustaría guardar la clave inicializada (que será cifrada poresteclave del chip, lo cual está bien), reinicialice el TPM (para que los administradores de garantíano puedoacceder a los datos), luego, cuando los recupere, vuelvo a cargar la clave original (para que BitLocker y otros servicios vuelvan a funcionar).
¿Cómo hago esto?
(Nota: si reemplazan el MOBO y recupero una computadora con un TPM diferente, entonces obviamente no puedo restaurarla. Eso es irritante, pero está bien: puedo reconstruir todas mis claves y tengo las claves de recuperación de BitLocker. Si Resulta que hay una manera de evitarlo en el caso probable de que lo hagan.noreemplazar el MOBO, me gustaría hacerlo).
Respuesta1
Guarde la clave de recuperación y luego borre el TPM en BIOS.
Al arrancar, la computadora solicitará la clave de recuperación de Bitlocker y no arrancará sin ella.
Envíe la computadora a reparar y sus datos estarán seguros.
Recupere la computadora y, siempre que los administradores no hayan reformateado la unidad, simplemente conectará la clave de recuperación cuando se le solicite y estará bien.
SIN EMBARGO, todos los administradores que conozco afirman que pueden volver a crear imágenes de la computadora si lo consideran necesario.
Por lo tanto, lo ideal es retirar el disco duro de la computadora antes de enviarlo, a menos que se haga una copia de seguridad completa de sus datos.
ACTUALIZACIÓN para preguntas:
Sí, una vez que se borre, una vez que el TPM reciba la información correcta, será capaz, una vez más, de ayudar al sistema a desbloquear automáticamente la unidad descifrada sin requerir otro descifrado/cifrado completo.
Hay una diferencia entreSuspensión de Bitlocker, yDesactivar Bitlocker:
La suspensión de Bitlocker permite que se realicen cambios en la ruta de confianza desde el hardware (BIOS/TPM) al software (datos cifrados) y les indica a los sistemas a lo largo de esa ruta que conserven la relación de confianza sin necesidad de descifrar y luego volver a cifrar. Suspendes Bitlocker cuando necesitas actualizar el BIOS, por ejemplo. Deshabilitar Bitlocker requiere tiempo para descifrar completamente la unidad.