¿Es posible recuperar Bitlocker usando una unidad USB?

Actualmente tengo Bitlocker configurado en Windows, que prefiero tener, pero a veces los cambios que Linux realiza en el sistema activan Bitlocker y hacen que necesite la clave de recuperación.

Evite iniciar Windows desde Linux GRUB, porque el estado del sistema que utiliza BitLocker para sellar la clave con su TPM depende de toda la cadena de inicio; pasar por GRUB significa que cualquier actualización de grubx64.efi hará que la clave no se pueda sellar.

Entonces, en su lugar, use el menú F8 de su firmware (o F11, o F12...) para seleccionar Windows BOOTMGR sin pasar por GRUB,oÚselo efibootmgrdesde Linux para pedirle al firmware que "reinicie directamente en Windows la próxima vez" (consulteaquíyaquí).

Además de eso, habilitar el arranque seguro permitiría que BitLocker se vincule a PCR7, que también es menos frágil cuando se trata de actualizaciones de Windows BOOTMGR. (Evitar GRUB es un requisito previo para aprovechar el sellado PCR7; BitLocker se negará a usarlo si detecta algo que no esté firmado por Microsoft en la cadena).

¿Es posible desbloquearlo mediante un archivo guardado en una memoria USB? Y no me refiero simplemente a poner la clave en un palo y escribirla desde allí.

Probablemente, sí, es una característica incorporada de BitLocker, pero por lo que recuerdo, espera una clave con un formato diferente; es decir, no puedes simplemente poner la clave de recuperación numérica en el archivo de texto; necesitarás agregar una nueva ranura para llaves ("protector de llaves") para eso.

Intente utilizarlo manage-bde -protectors -add -RecoveryKeypara crear el archivo de clave en su memoria USB (por ejemplo, suponiendo que esté montado en H:\):

manage-bde -protectors -add C: -rk H:\

Nota: Necesita la versión completa de BitLocker para esto (es decir, "Cifrado de dispositivo" que se encuentra en Windows Home no sirve). En realidad, no sé si BitLocker permite la combinación, aunque no hay una buena razón para no hacerlo, pero recuerdo que a veces se vuelve exigente.

Nota al margen: ¿hay alguna manera de revisar los registros en algún lugar y descubrir qué provocó exactamente que Bitlocker necesitara la clave de recuperación? Creo que sé lo que fue esta vez, pero me gustaría estar seguro.

Es técnicamente posible, pero no serán registros de BitLocker; estaría mirando el "Registro de eventos TCG" del TPM y tendría que hacerlo.compararcompararlo con un registro anterior de un registro "en funcionamiento conocido". (Esto se debe a que no es un registro de "algo salió mal", sino más bien un registro de "auditoría del estado del sistema" a partir del cual se calculan los PCR del TPM;cambiosen este registro influyen en si el TPM aceptará abrir la clave BitLocker u otros datos).

El archivo de registro está en un formato binario estándar definido por TCG y se almacena en la RAM del firmware; Windows lo descarga útilmente en un archivo .log en C:\Windows\Logs\MeasuredBoot(los registros de arranques anteriores se recopilan allí para que pueda compararlos), Linux permite leerlo a través de /sys y existen herramientas para decodificarlo desde formato binario a algún tipo de registro textual (yo escribí uno para mí cuando investigaba este tipo de problema de BitLocker); empezando conel que recomienda MicrosoftPodría ser una buena idea, pero también existe unamódulo PowerShell, tpm2_eventlogen Linux,analizador tcglog, etc.

(El propio registro de eventos de Windows le indica si BitLocker sella su clave para PCR7 o PCR4+, etc., sin arranque seguro es lo último, y estoy 80 % seguro de que los cambios en los eventos marcados para PCR4 son la causa, ya que los eventos de PCR4 son principalmente se ocupa de registrar los hashes SHA exactos de cada gestor de arranque involucrado en el proceso, como grubx64.efi de su instalación de Linux).