TPM не используется во время обычных операций доступа к зашифрованным данным.
BitLocker не использует TPM для хранения ключа, используемого для выполнения операций дешифрования / шифрования на лету, которые защищают данные на томе, зашифрованном с помощью BitLocker. Это немного сложно, но вот краткое объяснение того, как используются соответствующие ключи:
- Данные, записанные на том, защищенный BitLocker, шифруются с помощью ключа шифрования полного тома (FVEK). Этот ключ не изменяется до тех пор, пока BitLocker не будет полностью удален из тома.
- FVEK шифруется главным ключом тома (VMK), а затем сохраняется (в зашифрованном виде) в метаданных тома.
- VMK, в свою очередь, шифруется одним или несколькими защитными устройствами, такими как TPM или ключ восстановления.
Вы можете объединить TPM с цифровым PIN-кодом или с частичным ключом, хранящимся на USB-накопителе, для повышения безопасности. Каждый из них является формой двухфакторной аутентификации. Если на вашем компьютере нет совместимого чипа TPM и BIOS, BitLocker может быть настроен на полное сохранение ключа на USB-накопителе. Это называется ключом запуска.
BitLocker может быть отключен без расшифровки данных; в этом случае VMK защищен только новым средством защиты ключей, которое хранится в незашифрованном виде. Обратите внимание, что этот прозрачный ключ позволяет системе получить доступ к диску, как если бы он был незащищенным.
На следующем рисунке показан обратный процесс, который происходит, когда пользователь проходит проверку подлинности с помощью BitLocker (обратите внимание, что проверка подлинности обычно означает аттестацию оборудования с TPM)
Понятно, что роль TPM состоит в том, чтобы просто "хранить" зашифрованную копию VMK, которая, в свою очередь, используется для расшифровки FVEK. Именно FVEK используется в реальном процессе шифрования / дешифрования, который используется при доступе к данным на диске.
Более подробную информацию об этом процессе можно найти на TechNet.