Pelo que li, quando você inicializa um chip TPM ele cria uma chave derivada aleatória (derivada de sua chave raiz implícita). Outros usuários definirão PCRs (ou seja, UEFI, bootloader, etc.) e, eventualmente, o BitLocker selará esses valores para gerar sua chave.
Tenho que enviar meu computador para manutenção. Gostaria de salvar a chave inicializada (que será criptografada poressechave do chip, o que é bom), reinicialize o TPM (para que os técnicos de garantianão podeacessar os dados), então, quando eu recuperá-los, carrego a chave original de volta nele (para que o BitLocker e outros serviços funcionem novamente).
Como eu faço isso?
(Observação: se eles substituirem o MOBO e eu receber um computador de volta com um TPM diferente, obviamente não poderei restaurá-lo. Isso é irritante, mas tudo bem - posso reconstruir todas as minhas chaves e tenho as chaves de recuperação do BitLocker. Se acontece que há uma maneira de evitar isso, no caso provável de que isso aconteçanãosubstituir o MOBO, eu gostaria de fazer isso.)
Responder1
Salve a chave de recuperação e limpe o TPM no BIOS.
Na inicialização, o computador solicitará a chave de recuperação do Bitlocker e não inicializará sem ela.
Envie o computador para manutenção e seus dados estarão seguros.
Recupere o computador e, desde que os técnicos de manutenção não reformatem a unidade, basta conectar a chave de recuperação quando solicitado e tudo bem.
NO ENTANTO, todos os prestadores de serviço que conheço afirmam que podem e irão recriar a imagem do computador se considerarem necessário.
Portanto, o ideal é remover o HDD do computador antes de enviá-lo, a menos que seja feito backup completo dos seus dados.
ATUALIZAÇÃO para perguntas:
Sim, depois de limpo, assim que o TPM receber as informações corretas, ele será capaz, mais uma vez, de ajudar o sistema a desbloquear automaticamente a unidade descriptografada sem exigir outra descriptografia/criptografia completa.
Há uma diferença entreSuspendendo o Bitlocker, eDesativando o BitLocker:
A suspensão do Bitlocker permite que alterações sejam feitas no caminho de confiança do hardware (BIOS/TPM) para o software (dados criptografados) e informa aos sistemas ao longo desse caminho para manter a relação de confiança sem exigir descriptografia e, em seguida, recriptografia. Você suspende o Bitlocker quando precisa atualizar o BIOS, por exemplo. Desativar o Bitlocker requer tempo para descriptografar totalmente a unidade.