Eu uso TPM2.0 + Bitlocker + PIN para criptografar SSD com Windows 10 Professional. Fiz backup da senha de recuperação e continuei. Após a conclusão da criptografia e duas reinicializações, posso escrever no console:
manage-bde -protectors -get c:
, e me mostra a senha de recuperação em texto simples (!!!):
BitLocker Drive Encryption: Configuration Tool version 10.0.18362
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
Volume C: []
All Key Protectors
Numerical Password:
ID: {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}
Password:
XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX
TPM And PIN:
ID: {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}
PCR Validation Profile:
7, 11
(Uses Secure Boot for integrity validation)
Senha em texto simples para criptografia de disco com TPM em 2019? Realmente? Por que preciso do TPM então?
Tentei encontrar algo manage-bdepara resolver o problema, mas sem sorte.
Existe uma maneira de ocultá-lo ou torná-lo irrecuperável (por exemplo, quando apenas o hash das senhas é salvo, e não o texto simples)?
Responder1
O objetivo do TPM (neste caso) é manter com segurança a chave de descriptografia para que o sistema possa inicializar automaticamente sem intervenção do usuário. O sistema simplesmente fornece uma maneira de recuperar a chave de recuperação (para cenários de recuperação como aqueles que incluem a remoção do disco rígido), mas faz isso de maneira segura. Primeiro, requer que o sistema inicialize com sucesso para recuperá-lo (passando assim pelo processo de descriptografia) e, segundo, requer acesso administrativo.