Das TPM wird während normaler verschlüsselter Datenzugriffsvorgänge nicht verwendet.
BitLocker verwendet das TPM nicht zum Speichern des Schlüssels, der für die sofortige Entschlüsselung / Verschlüsselung von Daten zum Schutz von Daten auf einem mit BitLocker verschlüsselten Volume verwendet wird. Es ist etwas kompliziert, aber hier wird kurz erklärt, wie die relevanten Schlüssel verwendet werden:
- Daten, die auf ein mit BitLocker geschütztes Volume geschrieben werden, werden mit einem Full Volume-Verschlüsselungsschlüssel (FVEK) verschlüsselt . Dieser Schlüssel ändert sich nicht, bis BitLocker vollständig von einem Volume entfernt wurde.
- Der FVEK wird mit dem Volume Master Key verschlüsselt (VMK) verschlüsselt und dann (in verschlüsselter Form) in den Metadaten des Volumes gespeichert.
- Der VMK ist wiederum mit einem oder mehreren Protektoren wie einem TPM oder einem Wiederherstellungsschlüssel verschlüsselt .
Sie können das TPM mit einer numerischen PIN oder mit einem auf einem USB-Laufwerk gespeicherten Teilschlüssel kombinieren, um die Sicherheit zu erhöhen. Jede dieser Methoden ist eine Form der Zwei-Faktor-Authentifizierung. Wenn Ihr Computer nicht über einen kompatiblen TPM-Chip und ein kompatibles BIOS verfügt, kann BitLocker so konfiguriert werden, dass ein Schlüsselschutz vollständig auf einem USB-Laufwerk gespeichert wird. Dies wird als Startschlüssel bezeichnet. BitLocker kann deaktiviert werden, ohne die Daten zu entschlüsseln. In diesem Fall wird der VMK nur durch einen neuen Schlüsselschutz geschützt, der unverschlüsselt gespeichert wird. Beachten Sie, dass diese Taste den Zugriff auf das Laufwerk ermöglicht, als wäre es ungeschützt.
Das folgende Bild zeigt den umgekehrten Vorgang, wenn der Benutzer sich mit BitLocker authentifiziert (beachten Sie, dass Authentifizierung normalerweise eine Hardwarebescheinigung vom TPM bedeutet).
Es ist klar, dass das TPM einfach eine verschlüsselte Kopie des VMK "speichert", die wiederum zum Entschlüsseln des FVEK verwendet wird. Es ist der FVEK, der beim eigentlichen Ver- / Entschlüsselungsprozess verwendet wird, wenn Daten auf der Festplatte abgerufen werden.
Weitere Informationen zu diesem Prozess finden Sie im TechNet .