Utilizo TPM2.0 + Bitlocker + PIN para cifrar SSD con Windows 10 Professional. Hice una copia de seguridad de la contraseña de recuperación y continué. Después de completar el cifrado y dos reinicios, puedo escribir en la consola:
manage-bde -protectors -get c:
y me muestra la contraseña de recuperación en texto plano (!!!):
BitLocker Drive Encryption: Configuration Tool version 10.0.18362
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
Volume C: []
All Key Protectors
Numerical Password:
ID: {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}
Password:
XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX
TPM And PIN:
ID: {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}
PCR Validation Profile:
7, 11
(Uses Secure Boot for integrity validation)
¿Contraseña de texto sin formato para cifrado de disco con TPM en 2019? ¿En realidad? ¿Por qué necesito TPM entonces?
Intenté encontrar algo manage-bdepara resolver el problema, pero no tuve suerte.
¿Hay alguna forma de ocultarlo o hacerlo irrecuperable (por ejemplo, cuando solo se guardan las contraseñas en hash, no en texto sin formato)?
Respuesta1
El propósito del TPM (en este caso) es conservar de forma segura la clave de descifrado para que el sistema pueda iniciarse automáticamente sin la intervención del usuario. El sistema simplemente proporciona una forma de recuperar la clave de recuperación (para escenarios de recuperación como los que incluyen la extracción del disco duro), pero lo hace de forma segura. En primer lugar, requiere que el sistema se inicie correctamente para poder recuperarlo (pasando así por el proceso de descifrado) y, en segundo lugar, requiere acceso administrativo.