내가 읽은 바에 따르면 TPM 칩을 초기화하면 무작위 파생 키(암시적 루트 키에서 파생됨)가 생성됩니다. 그런 다음 다른 사용자가 PCR(예: UEFI, 부트로더 등)을 설정하고 결국 BitLocker는 해당 값을 봉인하여 키를 생성합니다.
유지 관리를 위해 컴퓨터를 보내야 합니다. 초기화된 키(다음으로 암호화됨)를 저장하고 싶습니다.이것칩의 키는 괜찮습니다), TPM을 다시 초기화합니다(그러므로 보증 서비스 제공업체는할 수 없다데이터에 액세스), 그런 다음 다시 가져오면 원래 키를 다시 로드합니다(그러면 BitLocker 및 기타 서비스가 다시 작동합니다).
어떻게 해야 하나요?
(참고: MOBO를 교체하고 컴퓨터를 다른 TPM으로 다시 가져오면 분명히 복원할 수 없습니다. 짜증나지만 괜찮습니다. 모든 키를 다시 빌드할 수 있고 BitLocker 복구 키가 있습니다. 그럴 가능성이 있는 경우에는 이를 방지할 수 있는 방법이 있습니다.~ 아니다MOBO를 교체하면 그렇게 하고 싶습니다.)
답변1
복구 키를 저장한 다음 BIOS에서 TPM을 지웁니다.
부팅 시 컴퓨터는 Bitlocker 복구 키를 요청하며 이 키가 없으면 부팅되지 않습니다.
서비스를 위해 컴퓨터를 보내면 데이터가 안전해집니다.
컴퓨터를 다시 가져오고 서비스 제공자가 드라이브를 다시 포맷하지 않는 한 메시지가 표시될 때 복구 키를 연결하기만 하면 됩니다.
그러나 내가 아는 모든 서비스 제공자는 필요하다고 판단되면 컴퓨터의 이미지를 다시 만들 수 있고 다시 만들 것이라고 말합니다.
따라서 데이터가 완전히 백업되지 않은 경우 HDD를 보내기 전에 컴퓨터에서 최적으로 제거해야 합니다.
질문에 대한 업데이트:
예, 삭제된 후 TPM에 올바른 정보가 제공되면 다시 한 번 전체 암호 해독/암호화를 요구하지 않고도 시스템이 자동으로 해독된 드라이브의 잠금을 해제하도록 도울 수 있습니다.
다음과 같은 차이가 있습니다.Bitlocker 일시 중지 중, 그리고Bitlocker 비활성화:
Bitlocker를 일시 중단하면 하드웨어(BIOS/TPM)에서 소프트웨어(암호화된 데이터)까지의 신뢰 경로를 변경할 수 있으며 해당 경로를 따라 시스템에 암호 해독 후 다시 암호화하지 않고도 신뢰 관계를 유지하도록 지시합니다. 예를 들어 BIOS를 업데이트해야 하는 경우 Bitlocker를 일시 중지합니다. Bitlocker를 비활성화하면 드라이브의 암호를 완전히 해독하는 데 시간이 필요합니다.