Я использую TPM2.0 + Bitlocker + PIN для шифрования SSD с Windows 10 Professional. Я сделал резервную копию пароля восстановления и продолжил. После завершения шифрования и двух перезагрузок я могу написать в консоли:
manage-bde -protectors -get c:
,и он показывает мне открытый (!!!) пароль для восстановления:
BitLocker Drive Encryption: Configuration Tool version 10.0.18362
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
Volume C: []
All Key Protectors
Numerical Password:
ID: {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}
Password:
XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX
TPM And PIN:
ID: {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}
PCR Validation Profile:
7, 11
(Uses Secure Boot for integrity validation)
Открытый текстовый пароль для шифрования диска с TPM в 2019? Серьёзно? Зачем мне тогда TPM?
Я пытался найти что-нибудь, manage-bdeчтобы решить эту проблему, но безуспешно.
Есть ли способ скрыть его или сделать невосстановимым (например, когда сохраняются только хэши паролей, а не открытый текст)?
решение1
Целью TPM (в данном случае) является надежное хранение ключа дешифрования, чтобы система могла автоматически загружаться без вмешательства пользователя. Система просто предоставляет способ извлечения ключа восстановления (для сценариев восстановления, таких как извлечение жесткого диска), но она делает это безопасным способом. Во-первых, для его извлечения требуется успешная загрузка системы (таким образом, прохождение процесса дешифрования), а во-вторых, для этого требуется административный доступ.