據我所知,當您初始化 TPM 晶片時,它會建立一個隨機派生金鑰(從其隱式根金鑰派生)。然後其他用戶將設定 PCR(即 UEFI、引導程式等),最終 BitLocker 將密封這些值以產生其金鑰。
我必須將計算機送去維修。我想保存初始化的密鑰(將通過以下方式加密)這晶片的金鑰,這很好),重新初始化 TPM(因此保固服務商不能存取資料),然後,當我取回它時,將原始金鑰載入回其中(以便 BitLocker 和其他服務再次工作)。
我該怎麼做呢?
(注意:如果他們更換了 MOBO 並且我用不同的 TPM 恢復了計算機,那麼顯然我無法恢復它。這很煩人,但沒關係 - 我可以重建所有密鑰並且我有 BitLocker 恢復密鑰。如果萬一發生這種情況,碰巧有辦法避免這種情況不是更換 MOBO,我想這樣做。
答案1
儲存復原金鑰,然後清除 BIOS 中的 TPM。
啟動時,電腦將詢問 Bitlocker 復原金鑰,如果沒有它,電腦將無法啟動。
將電腦送去維修,您的資料將是安全的。
取回計算機,只要服務人員沒有重新格式化驅動器,您只需在出現提示時插入恢復金鑰即可。
然而,我所知道的每個服務商都表示,如果他們認為有必要,他們可以並且將會重新映像電腦。
因此,除非您的資料已完全備份,否則您最好在發送之前將硬碟從電腦上移除。
問題更新:
是的,清除後,一旦 TPM 獲得正確的訊息,它將能夠再次幫助系統自動解鎖解密的驅動器,而無需再次進行完全解密/加密。
之間存在差異暫停 Bitlocker, 和停用 Bitlocker:
暫停 Bitlocker 允許更改從硬體 (BIOS/TPM) 到軟體(加密資料)的信任路徑,並告訴該路徑上的系統保留信任關係,而無需解密然後重新加密。例如,當您需要更新 BIOS 時,您可以暫停 Bitlocker。停用 Bitlocker 需要時間來完全解密磁碟機。