Flo*_*ish 6 bios encryption hard-drive bitlocker tpm
我最近在 BIOS 中启用了固件 TPM,以查看我的系统是否与 Windows 11 兼容。
我的问题是关于启用固件 TPM 时收到的以下警告:
英特尔 PTT 是集成在英特尔 ME/CSME/TXE 中的硬件 TPM 2.0 实现,用于凭证存储和密钥管理。启用 Intel PTT 和 Windows BitLocker 以进行驱动器加密后,固件 TPM 密钥将存储在 Intel ME 数据区域中。请注意,当恢复密钥丢失或更换 BIOS ROM 芯片时,系统将无法启动进入操作系统,数据将保持加密状态且无法恢复。
以下是我的问题:
由于我从不想启用 BitLocker 并且我只启用了 TPM 以便我将来可以升级到 Windows 11,因此对于我的情况可以忽略此警告吗?
“一旦您启用英特尔 PTT 和 Windows BitLocker 进行驱动器加密,固件 TPM 密钥将存储在英特尔 ME 数据区域中。”
这个“英特尔 ME 数据区域”将位于何处?这听起来不像我可以使用 Windows 资源管理器获得的东西。
另外,“固件 TPM 密钥”有什么用?
“请注意,当恢复密钥丢失或更换 BIOS ROM 芯片时,系统将无法启动进入操作系统,数据将保持加密状态且无法恢复。”
关于“什么时候更换BIOS ROM芯片”,是不是意味着开启BitLocker的用户应该先关闭再更换BIOS ROM芯片?
如果是这样,如果他们在关闭 BitLocker 之前犯了更换 BIOS ROM 芯片的错误会怎样?他们可以将旧的 BIOS ROM 芯片放回原处并关闭 BitLocker,还是只是永久加密他们的系统?
首先,正如引文所述,注意同一个系统卷可以添加多个解密密钥。除了受 TPM 保护的密钥外,系统卷通常还有一个数字恢复密钥。
只要您记下恢复密钥,您就可以随时使用它来解锁卷——即使 TPM 已更改或拒绝执行该工作,或者即使您通过 Linux 访问它,或者即使磁盘完全移动到另一台计算机。
(如果您拥有 Windows Pro 并使用完整版本的 BitLocker(与 Windows Home 具有的简化的“设备加密”功能相反),您可能已经看到它也支持 USB 存储的密钥文件甚至普通密码。每个那些“保护者”完全独立于其他人,只有那些名字中真正提到“TPM”的人依赖于 TPM——其余的人将继续工作。)
由于我从不想启用 BitLocker 并且我只启用了 TPM 以便我将来可以升级到 Windows 11,因此对于我的情况可以忽略此警告吗?
是的 - 如果您确定 BitLocker 尚未自动启用,也可以。
(如果您之前没有 TPM,那么很可能没有,因为自动“设备加密”功能需要 TPM - 但仔细检查,例如使用manage-bde -status c:.)
请注意,除了 BitLocker 之外,TPM 还可用于其他目的,因此清除其数据可能会断开计算机与 Azure AD 或 Windows Hello 企业版的连接,或者丢失某些第三方应用程序中的许可证激活。但是,如果您之前没有启用 TPM,那么无论如何您都不会使用任何这些功能。
这个“英特尔 ME 数据区域”将位于何处?这听起来不像我可以使用 Windows 资源管理器获得的东西。
它是 CPU 内的闪存区域。操作系统根本无法直接访问它(就像它无法直接访问真正的 TPM 内存,甚至无法直接访问存储固件设置的 NVRAM)。
另外,“固件 TPM 密钥”有什么用?
它是保护 TPM 管理的所有其他数据的“根”加密密钥。
其他数据(例如您的 BitLocker 密钥)不存储在TPM 本身中——它只有非常少量的安全闪存,足以容纳 3-4 个加密密钥。其他一切都返回给操作系统,只是使用“根”密钥加密,这样只有 TPM 本身可以解密它。(因此 BitLocker TPM 保护程序实际上存储在磁盘本身上。)
这给人一种 TPM 几乎拥有无限存储空间的错觉(通过让操作系统自动将内容交换进出 TPM 的 RAM),同时还允许立即“清除”该存储空间(通过破坏根密钥)。
关于“什么时候更换BIOS ROM芯片”,是不是意味着开启BitLocker的用户应该先关闭再更换BIOS ROM芯片?
是的,或者他们应该挂起BitLocker - 而不是解密所有数据,这只是将主解密密钥存储在磁盘上,没有任何保护。(当“恢复”BitLocker 时,它会擦除该密钥。)以这种方式暂停加密非常快,而完全禁用 BitLocker 和解密 TB 大小的磁盘可能需要几个小时。
但是,他们还应该记下恢复密钥。忽略引用中错误的“或”——知道恢复密钥使您完全独立于 TPM 或任何其他系统硬件。
如果是这样,如果他们在关闭 BitLocker 之前犯了更换 BIOS ROM 芯片的错误会怎样?他们可以将旧的 BIOS ROM 芯片放回原处并关闭 BitLocker,还是只是永久加密他们的系统?
不确定,因为实际上有两件事在起作用:fTPM 使用的根加密密钥,以及所有 TPM 完成的系统状态测量。
首先,即使使用独立的 TPM,Windows 使用的“密封”过程也会故意将 BitLocker 密钥绑定到系统状态的某些位。例如,从 U 盘启动或禁用安全启动将使 TPM 拒绝解封密钥,因为系统状态已更改。但这不会破坏任何东西,返回原始设置将允许再次开封密钥。
但是,对于 fTPM,实际上保存用于密封的实际根加密密钥的是固件。它最有可能在 CPU 中,而不是在“BIOS ROM”中,但有可能改变周围的东西可能会导致固件完全重置 fTPM,使所有先前密封的数据无法恢复。
| 归档时间: |
|
| 查看次数: |
1169 次 |
| 最近记录: |