TPM初期化キーを保存し、再初期化してから復元します
私が読んだところによると、TPMチップを初期化すると、ランダムに派生したキー(暗黙のルートキーから派生)が作成されます。次に、他のユーザーがPCR(UEFI、ブートローダーなど)を設定し、最終的にBitLockerがそれらの値を封印してキーを生成します。
メンテナンスのためにコンピューターを送る必要があります。初期化されたキー(thisチップのキーで暗号化されます。これで問題ありません)を保存し、TPMを再初期化します(保証サービス担当者できませんデータにアクセスします)、データを取得したら、元のキーをロードし直します(BitLockerやその他のサービスが再び機能するようにします)。
どうすればよいですか?
(注:MOBOを交換し、コンピューターを別のTPMに戻すと、明らかに復元できません。イライラしますが、問題ありません。すべてのキーを再構築でき、BitLocker回復キーがあります。たまたまそれを回避する方法がありますnot MOBOを交換します、私はそれをしたいと思います。)
リカバリキーを保存してから、BIOSでTPMをクリアします。
起動時に、コンピューターはBitlocker回復キーを要求し、それなしでは起動しません。
コンピュータを修理のために送り出すと、データは安全になります。
コンピュータを元に戻し、サービサーがドライブを再フォーマットしなかった場合は、プロンプトが表示されたら回復キーを差し込んで問題ありません。
ただし、私が知っているすべてのサービサーは、必要と判断した場合にコンピューターのイメージを再作成できると述べています。
したがって、データが完全にバックアップされていない限り、HDDを送信する前にコンピュータからHDDを最適に取り外す必要があります。
質問の更新:
はい、クリアされた後、TPMに正しい情報が与えられると、もう一度完全な復号化/暗号化を必要とせずに、システムが復号化されたドライブのロックを自動的に解除できるようになります。
Bitlockerの一時停止とBitlockerの無効化には違いがあります。
Bitlockerを一時停止すると、ハードウェア(BIOS/TPM)からソフトウェア(暗号化されたデータ)への信頼パスに変更を加えることができ、そのパスに沿ったシステムに、復号化してから再暗号化することなく信頼関係を維持するように指示します。たとえば、BIOSを更新する必要がある場合は、Bitlockerを一時停止します。 Bitlockerを無効にすると、ドライブを完全に復号化するのに時間がかかります。