BitLocker 在 Ubuntu 安装后要求保护代码

Question

我刚刚将 Ubuntu 并排安装到新笔记本电脑上附带的 Windows 10 分区。

这意味着，笔记本电脑附带 Windows 10，我通过闪存驱动器使用 Ubuntu 桌面安装 ISO 在 Windows 分区旁边安装了 Ubuntu。

现在，每次我启动进入 Windows 启动管理器时，BitLocker 都会要求我输入长 BitLocker 恢复密钥。几个问题 ？

1. 为什么 BitLocker 实际上会受到 Ubuntu 设置的新引导加载程序的影响？一个天真的想法是 BitLocker 解密密钥存储在主板 TPM 上，不受新引导加载程序安装的影响，这可能是真的，否则 Windows 将无法再读取自己的文件。那么为什么 BitLocker 现在甚至需要恢复密钥？
2. Ubuntu 并行安装说明了一些关于启动保护的问题，但它是否与 TPM 或单独的安全机制有关仍然难以捉摸。
3. Ubuntu 安装程序甚至要求输入一个密码短语来帮助重新建立安全启动，但在安装后，无论是使用 Ubuntu 还是 Windows 启动加载程序启动后，都没有提示我在任何地方使用它。
4. 如何让 BitLocker 再次可信？在 Windows 10 中，我只看到一个完全禁用磁盘加密的选项，但我不确定为什么它不能继续运行。
5. 关闭加密然后再打开（在 Windows 中）似乎有点矫枉过正，我不知道它是否会在我的 Ubuntu 分区上加扰。

在 Windows 中，提供恢复密钥后，我可以看到设备加密已打开。所以我的理解是我的 Windows 分区仍在解密自己的文件，而我的 Ubuntu 分区在写入文件时不要求TPM加密其文件，也不在读取它们时解密它们。

Answer 1

我通过转到“Bitlocker”-->“暂停加密”-->重新启动 Windows 10-->在 GRUB 中选择 Windows 引导加载程序-->再次启用 Windows 10 加密来解决这个问题，但它不再要求加密长密钥。

我有 1 个 SSD，其中包含： - Windows 10 (UEFI / GPT) Bitlocker - Ubuntu：（3 个分区：启动分区、根分区和主分区）。

Answer 2

此问题是 Windows 不将 GRUB 视为安全组件。因此，每当您从 GRUB 引导至 Windows 时，Windows 都会认为引导顺序可能已被破坏，并强制重新输入密钥。

我知道解决这个问题的唯一方法是完全不使用 GRUB。你可以

• 直接通过你的 BIOS 菜单选择启动顺序（我使用的解决方案，我只需要在启动时输入 F12，并且 BIOS 给出了启动方案之间的选择）
• 或使用 Windows 引导加载程序并向其添加 linux 选项（请参阅此处如何实现）。

Answer 3

在评论中好心人的帮助下，我能够优雅地解决这个问题。这是一个优雅的解决方案，取自这里：

为了使 BitLocker 重新获得信任，我只需禁用然后重新启用 BitLocker：

C:\Windows\system32\manage-bde.exe" -protectors -enable c:

C:\Windows\system32\manage-bde.exe" -protectors -disable c:

我假设现在 Windows 像以前一样通过 TPM 使用 BitLocker 和磁盘加密，而 Ubuntu 根本不这样做。

可以安装一些 Ubuntu 的东西，使其像BitLocker 一样工作（因此大概也可以在 Windows 和 Ubuntu 之间共享分区），但我认为目前 Ubuntu 不使用 TPM 硬件，因此它将把整个加密密钥存储在磁盘，破坏了加密的目的，所以我想不值得。

因此，BitLocker 意识到了启动操作，因此即使 TPM 集成保持完好，也有理由使其等待信任重新获得事件。输入保护密钥，然后在Windows中使用上述几条命令，使其重新进入信任状态，恢复正常运行。