微软的 BitLocker 和 Apple 的“文件保险柜”原理是什么？

你可以选择不备份 BitLocker 密钥到微软账户。在有 TPM 的电脑上使用 BitLocker，会把 BitLocker 密钥交给 TPM，TPM 在电脑“正常启动”的时候提供该密钥，因此你不需要自己输入密钥，安全性由如下逻辑链条保证：

正常启动 → 启动的是设置 BitLocker 的 Windows → Windows 实施 LSA 和 NTFS 安全措施 → 内容安全

如果不是正常启动（例如通过外置设备），则 TPM 不提供该密钥，只有知道密钥的人才可以解密 BitLocker。

从你的描述来看，你使用微软账户登录 Windows （这样才能把密钥备份到微软账户）。如果别人得到了你的电脑且控制了你的微软账户，则可以直接登录你的电脑。备不备份 BitLocker 密钥在这个情况下影响不大。

Windows 10 的 device encryption （适用于 Windows 10 Mobile 手机）就是 BitLocker。自从 iPhone 3GS 起，设置了锁屏密码的 iPhone 都是有加密的，没有锁屏密码就无法访问内容。

我不用 Apple 的文件保险柜，所以不知道这方面的内容。

每次读写都要加解密，会有性能影响，不过一般来说优化得还不错，不是高端玩家基本感受不出来。

什么电脑有 TPM ？我电脑有 TPM 接口，却发现全淘宝都没有卖 TPM 模块，难道国内禁止这玩意儿？

@wohenyingyu03 专业版 win 支持 Bitlocker。现在电脑都有 TPM

说个题外话，担心 SIM 卡被盗的话可以给 SIM 卡设置 PIN 码。

@wohenyingyu03 中国的 TPM 要求给 zf 留后门，所以不少型号国内版本都是直接阉割的

@wohenyingyu03 过渡时间段有部分电脑是 BIOS 默认禁用，启用就行。

@choury surfacebook 在此之列？

@kokutou 我电脑没有 TPM，怎么启用，主板上插口是空的。

@Miary 具体型号的我也不知道，如果有的话就是专门生产的符合标准的模块，像 surface 这高端产品应该付得起这个成本吧

@choury TPM+外置 u 盘模式就可以了。只要不被拿到 u 盘

TPM 涉及到保密法，有诸多限制，不过新的英特尔 CPU 都自带 TPM。

目前国内销售的主板上 TPM 模块是“选购”，不让直接附带。像我的华硕 b350m 上就有相应的接口 之前看淘宝上确实有卖 tpm 的，但都是代购价格，eBay 上基本都是 60 刀一个，有点小贵但是大多数人也不需要。国外水货的笔记本会带 tpm，比如我的日版 tp x230，不知道现在国行笔记本上有没有

@geelaw 非常感謝您的回答。但是我還是不明白 tpm 在這裡起到什麼作用？

如果我選擇不用 tpm，而是直接設置一個密碼，並且把恢復密鑰文件保存到 u 盤上隨身帶走。竊賊盜走了我的電腦，即使他把我電腦硬盤拆下來裝到別的電腦上一樣無法解密啊！這樣的話，tpm 有和沒有的區別是什麼呢？

@changwei #14

> TPM 在电脑“正常启动”的时候提供该密钥

这里的正常启动包括：硬盘必须连接到原来的 TPM 上，且启动分区没有被篡改。

此外，有 USB 密钥时，若 USB 密钥也被盗取，则可以绕过 Windows 的安全措施访问内容。但仅使用 TPM 时，只有同时通过 TPM 和 Windows 的安全措施才能访问数据。

最后，TPM 比密码 + USB 密钥方便。使用 TPM 时，在欢迎屏幕之前你不需要输入密码。