web-dev-qa-db-ja.com

保証のためにデバイスを返品するときに、TPMからビットロッカーシークレットを削除する正しい方法は何ですか?

注:これは、保証のために返品されたデバイスのデータを保存する方法についての質問ではありません。むしろ、これは、デバイスが保証のために返されたときに、デバイス上の暗号化された 空きデータ に復号化キーが付随しないようにする方法に関する質問です。

保証のために返品する必要があるSurface Pro 2があります。正しい方法で移動すると再起動することを除いて、まだ動作しています。

デバイスが導入されたとき、ドライブはビットロッカーを使用して暗号化されていました。暗号化は、機密情報をドライブに書き込む前に行われました。この質問では、私がデバイスとマイクロソフトを信頼していて、デバイスがいくつかの脆弱性またはインストールされているソフトウェアによって侵入されていないものとします。

TPMシークレット

このデバイスは、デバイスが盗まれた場合に備えて、機密情報を保護するためにTPMのセキュリティに依存しています。私が理解しているように このChris Tarnovskyのプレゼンテーション TPMから秘密を読むことはおそらく実行可能です。

これは盗難ではないため、TPMからシークレットを削除して、脆弱性全体を回避することができるように思われます。

Suspend-Bitlocker

Windowsでは Suspend-Bitlocker 「暗号化キーを平文で利用できるようにします。」これは、WindowsからTPMを管理するときに、Windowsがデフォルトで設定しているようです。明らかに、bitlockerを停止した状態でデバイスを保証のために送り返してほしくありません。

ご質問

  1. TPMにはどのようなシークレットが存在しますが、これが侵害された場合、ドライブのコンテンツを解読するために使用できますか?
  2. シークレットがTPMから確実に削除されるようにするにはどうすればよいですか?
  3. Windowsが暗号化キーを平文で使用できるようにすることを回避する方法でTPMからシークレットを削除する方法はありますか?
  4. 保証のためにデバイスを返送する前に、考慮すべき他の予防策はありますか?
windowsbitlockertpm
5
alx9r

Windowsは、ブートに依存するBitlockerシークレットを使用することを拒否します

シークレットのコピーをクリアテキストでボリュームに書き込むことなく、TPMからビットロッカーのシークレットをクリアする方法に関するマイクロソフトの公式ドキュメントは見つかりませんでした。シークレットが保護していたWindowsのインスタンス内で実行されているコマンドを使用して、ビットロッカーシークレットを削除しようとしました。私がそうするためにしたすべての努力は失敗しました。 TPMからシークレットをクリアできるようですが、そのシークレットが保護されているボリュームにクリアテキストで書き込まれるのは1回だけです。これは、TPMユーザーが誤ってbitlockerで保護されたシステムボリュームをロック解除できない状態になるのを防ぐためだと思います。

つまり、Windowsインストールは、起動に必要なビットロッカーシークレットを手放すことを拒否します。保護しているストレージに物理的に接続されているTPMからビットロッカーシークレットを正しくクリアする方法に関する公式のガイダンスが見つかればいいのにと思います。この配置は最近の多くのタブレットやノートブックコンピューターで一般的ですが、そのようなデバイスを廃止するための公開されたベストプラクティスを見つけることができませんでした。

別のOSインストールでBitlockerの秘密をクリアできるようです

同じコンピューターで起動する別のOSインストールだと判断しましたcan TPMをクリアします。その場合は、TPMの秘密をクリアテキストでボリュームに書き込まずにTPMをクリアするすべき別のOSを起動してそこからTPMをクリアすることで実現できます。

前提と手順

注:私はWindowsセキュリティの専門家ではありません。また、TPMやビットロッカーの内部動作について十分に理解しているわけではないため、この前提が正しいこと、またはこれが有効な手順であることを確認できます。

この手順は、次の前提に基づいています。

  1. TPMモードでビットロッカーを有効にすると、デバイス上のビットロッカーシークレットの唯一のコピーがTPMに存在します。
  2. TPMで保護されていないオペレーティングシステムをデバイスで起動すると、TPMのシークレットにアクセスせずにTPMをクリアできます。

上記の前提と私の推論が正しい場合、デバイスからビットロッカーの秘密を完全にクリアする手順は次のとおりです。

  1. Bitlockerで保護されたWindowsのインスタンスを起動します。
  2. すべてのドライブでビットロッカーが「オン」になっていることを確認します。 (ビットロッカーがオンになっていない場合、ドライブ上のデータまたはデータの復号化に使用できるシークレットのいずれかがドライブ上のクリアテキストにあります。その場合、この手順は役に立ちません。)
  3. コンピューターをシャットダウンしなさい。
  4. コンピュータを別のOSから起動しますTPMピンを入力せずに
  5. 手順(4)で起動したOSからTPMをクリアします。
1
alx9r

私が正しくない場合はご容赦ください。ただし、TPMは暗号化キーのみを保持し、データは保持しません。ユーザーキーと製造元キーは、TPMの異なる部分に格納されます。 TPM(およびキー)をリセットするだけで十分です https://technet.Microsoft.com/en-us/library/cc753694.aspx および http://www.Dell。 com/support/article/ly/en/lydhs1/SLN155219/en

2つを超えるリンクを投稿することはできませんが、ウィキペディアの記事では、TPMアーキテクチャ、TPMに格納されているキー、およびそれに対応する用途の概要を簡単に説明しています。

0
Parth Maniar