Trusted-Platform Module(TPM)を有効にせずにBitlockerをインストールした多くのWindowsクライアントを見てきました。デフォルトではTrusted-Platform Module(TPM)なしでBitlockerを有効にすることはできないため、グループポリシーで手動で変更する必要があります。
TPMなしではデフォルトでBitlockerを有効にできないという事実は、Microsoftが理由でそれを推奨しないようです
TPMなしでBitlockerを使用することは可能です。そのため、フルディスク暗号化がこのような方法で使用される場合、キーはどこに格納され、フルディスク暗号化なしまたはTPM付きBitlockerと比較してどの程度安全ですか?
攻撃者がマイクロソフトまたは強力な政府機関である場合、大きな違いはありません。 いずれにしても、回復キーはマイクロソフトに送信されます。
新しいWindowsデバイスでは、ユーザーがMicrosoftのサーバーにリカバリキーをバックアップする必要があるという事実は、キーエスクローシステムと非常に似ていますが、重要な違いがあります。ユーザーはMicrosoftアカウントから回復キーを削除することを選択できます(方法については、この記事の最後までスキップしてください)。これは、クリッパーチップシステムで行うことのできないオプションでした。ただし、クラウドにアップロードした後でないと削除できません。
それは重要な違いではありません。マイクロソフトにはリカバリキーがあります。キーが実際に削除されたかどうかはわかりません。キーの削除が証明されない限り、キーが削除されたと見なすことはできません。したがって、MicrosoftはすべてのBitlocker回復キーを保持すると想定する必要があります。
記事は実際にこれを述べています:
回復キーがコンピューターを離れると、その運命を知る方法がなくなります。ハッカーはMicrosoftアカウントをすでにハッキングしている可能性があり、削除する前にリカバリキーのコピーを作成できます。または、Microsoft自体がハッキングされるか、ユーザーデータにアクセスできる悪意のある従業員を雇った可能性があります。または、法執行機関またはスパイ機関がMicrosoftにアカウント内のすべてのデータのリクエストを送信すると、法的に強制的にリカバリキーの引き渡しが要求されます。これは、コンピュータのセットアップ後に最初に行うことが削除キーである場合でも可能です。 。
TPMがバックドアされていることを前提としていますが 、キー漏洩とは異なり、これは私が知る限り実際には証明されていません。それが本当なら、TPMはまったく役に立たない。
しかし、BitlockerのTPMの使用法にのみ関心があり、他のプログラム(TPMのキーをリークしない可能性がある)による使用法には関心がないように見えるため、Bitlockerが回復キーをMicrosoftに送信するため、TPMについて説明することはあまりありません。とにかく。
TPMが使用されているかどうかに関係なく、個人のファイルを簡単に確認したい人には役立ちます。 Microsoft、政府機関、またはMicrosoftまたは政府機関のいずれかに脅威を与える深刻なハッカーからの攻撃を防ぐことはできません。そのため、回復キーを手に入れることができます。 TPMが使用されているかどうかに関係なく、脅威となる一連の攻撃者はそれほど変わりません。
タイトルの質問に答えるには:フラッシュドライブに保存されています。
はい、BIOSがブート環境のUSBフラッシュドライブから読み取る機能を備えていれば、TPMバージョン1.2がインストールされていないコンピューターでBitLockerを有効にできます。これは、コンピューターのTPMまたはそのコンピューターのBitLockerスタートアップキーを含むUSBフラッシュドライブによって、BitLockerの独自のボリュームマスターキーが最初に解放されるまで、BitLockerは保護されたボリュームのロックを解除しないためです。ただし、TPMを備えていないコンピューターは、BitLockerが提供するシステム整合性検証を使用できません。
コンピューターが起動プロセス中にUSBデバイスから読み取ることができるかどうかを判断するには、BitLockerセットアッププロセスの一部としてBitLockerシステムチェックを使用します。このシステムチェックは、コンピューターが適切なタイミングでUSBデバイスから正しく読み取れること、およびコンピューターが他のBitLocker要件を満たしていることを確認するテストを実行します。
TPMのないコンピューターでBitLockerを有効にするには、グループポリシーを使用して高度なBitLockerユーザーインターフェイスを有効にします。詳細オプションを有効にすると、TPM以外の設定がBitLockerセットアップウィザードに表示されます。グループポリシーを使用して詳細なユーザーオプションを有効にする方法については、「 http://go.Microsoft.com/fwlink/?LinkId=8322 」を参照してください。
( https://technet.Microsoft.com/en-us/library/cc766200(v = ws.10).aspx )
キーをディスク(パスワードで保護されている)またはUSBデバイスに保存するオプションがあります。プレーンストレージデバイスが使用されている場合、両方ともブルートフォース攻撃を受けやすくなります。 this を参照してください。