Trusted-Platform Module（TPM）なしでBitlockerキーはどこに保存されますか？

攻撃者がマイクロソフトまたは強力な政府機関である場合、大きな違いはありません。 いずれにしても、回復キーはマイクロソフトに送信されます。

新しいWindowsデバイスでは、ユーザーがMicrosoftのサーバーにリカバリキーをバックアップする必要があるという事実は、キーエスクローシステムと非常に似ていますが、重要な違いがあります。ユーザーはMicrosoftアカウントから回復キーを削除することを選択できます（方法については、この記事の最後までスキップしてください）。これは、クリッパーチップシステムで行うことのできないオプションでした。ただし、クラウドにアップロードした後でないと削除できません。

それは重要な違いではありません。マイクロソフトにはリカバリキーがあります。キーが実際に削除されたかどうかはわかりません。キーの削除が証明されない限り、キーが削除されたと見なすことはできません。したがって、MicrosoftはすべてのBitlocker回復キーを保持すると想定する必要があります。

記事は実際にこれを述べています：

回復キーがコンピューターを離れると、その運命を知る方法がなくなります。ハッカーはMicrosoftアカウントをすでにハッキングしている可能性があり、削除する前にリカバリキーのコピーを作成できます。または、Microsoft自体がハッキングされるか、ユーザーデータにアクセスできる悪意のある従業員を雇った可能性があります。または、法執行機関またはスパイ機関がMicrosoftにアカウント内のすべてのデータのリクエストを送信すると、法的に強制的にリカバリキーの引き渡しが要求されます。これは、コンピュータのセットアップ後に最初に行うことが削除キーである場合でも可能です。 。

TPMがバックドアされていることを前提としていますが 、キー漏洩とは異なり、これは私が知る限り実際には証明されていません。それが本当なら、TPMはまったく役に立たない。

しかし、BitlockerのTPMの使用法にのみ関心があり、他のプログラム（TPMのキーをリークしない可能性がある）による使用法には関心がないように見えるため、Bitlockerが回復キーをMicrosoftに送信するため、TPMについて説明することはあまりありません。とにかく。

TPMが使用されているかどうかに関係なく、個人のファイルを簡単に確認したい人には役立ちます。 Microsoft、政府機関、またはMicrosoftまたは政府機関のいずれかに脅威を与える深刻なハッカーからの攻撃を防ぐことはできません。そのため、回復キーを手に入れることができます。 TPMが使用されているかどうかに関係なく、脅威となる一連の攻撃者はそれほど変わりません。

タイトルの質問に答えるには：フラッシュドライブに保存されています。

はい、BIOSがブート環境のUSBフラッシュドライブから読み取る機能を備えていれば、TPMバージョン1.2がインストールされていないコンピューターでBitLockerを有効にできます。これは、コンピューターのTPMまたはそのコンピューターのBitLockerスタートアップキーを含むUSBフラッシュドライブによって、BitLockerの独自のボリュームマスターキーが最初に解放されるまで、BitLockerは保護されたボリュームのロックを解除しないためです。ただし、TPMを備えていないコンピューターは、BitLockerが提供するシステム整合性検証を使用できません。

コンピューターが起動プロセス中にUSBデバイスから読み取ることができるかどうかを判断するには、BitLockerセットアッププロセスの一部としてBitLockerシステムチェックを使用します。このシステムチェックは、コンピューターが適切なタイミングでUSBデバイスから正しく読み取れること、およびコンピューターが他のBitLocker要件を満たしていることを確認するテストを実行します。

TPMのないコンピューターでBitLockerを有効にするには、グループポリシーを使用して高度なBitLockerユーザーインターフェイスを有効にします。詳細オプションを有効にすると、TPM以外の設定がBitLockerセットアップウィザードに表示されます。グループポリシーを使用して詳細なユーザーオプションを有効にする方法については、「 http://go.Microsoft.com/fwlink/?LinkId=8322 」を参照してください。

（ https://technet.Microsoft.com/en-us/library/cc766200（v = ws.10）.aspx ）