dG
У TPM есть регистры, значения которых зависят от разных вещей. Один из регистров зависит от состояния secureboot
Size: a a a
2021 June 26
dG
А secureboot принимает два значения 1 и 0
dG
Таким образом, выключив sb, ты изменишь регистр
dG
Включив sb ты вернешь значение регистра взад
dG
Там цепочка хешей
dG
Грубо говоря регистр = sha1(sha1(privatekey)+sbstate)
dG
А голова всему ключ, который генерируется при включении tpm и не покидает его. Выключив и включив TPM - новый ключ, соответственно, все, что было зашифровано с участием хешей, в которых принимал участие старый ключ, превращается в тыкву (у битлокера есть чёрный ход в виде резервного кода, а у veracrypt реально все просрется)
VP
То есть они всё же верно написали что не стоит трогать эту настройку больше одного раза
VP
(Я просто думаю о иногда случающихся ситуациях, когда настройки биоса сбрасываются на дефолтные)
dG
Без нужды не стоит, а настройка может вырубиться при сбросе настроек перемычкой, если она по дефолту офф
dG
Но если ты не включил битлокер или что-то подобное, то пох
dG
Т.к. TPM никто не юзает из софта
VP
Зато если включил то уже как на пороховой бочке сидишь - когда-нибудь да ебанёт
dG
Ну можно там ssh-ключи хранить. Если хочется...
dG
А ты юзай битлокер и схорони код восстановления
dG
в случае. Если TPM взбрыкнет, битлокер выплёвывает окно, мол, не могу расшифровать, вводи код
dG
после ввода кода накопитель расшифровывается без участия tpm
dG
И мгновенно ключ шифрования перешифровывается уже на основе нового секрета tpm
VP
Ага, ну обнадёживает. В общем главное ключи запихать реально в десяток разных мест и чтоб телефон не сдох одновременно с компом)
dG
Поскольку шифрование выглядит упрощенно так: данны шифруются 256-битным рандомным ключом, этот ключ шифруется хешем TPM(ну и можно еще свой пин задать до 20 символов из буквоцифр), таким образом, не нужно перешифровывать весь накопитель, если поменяешь TPM или пин