[请教] windows bitlocker 仅通过恢复密钥能解密磁盘吗？

可以，恢复密钥就是用来解密磁盘的

@visitant 这么一说我更闹心了，就没有跟账户密码联合加密吗-_-!

不懂就问，售后是什么原因需要拍这个密钥？

@dzyou2007 他在另外一台展示机上让我登录 windows 账户获取恢复密钥，受桌子布局限制，这台机器跟我的机器之间呈 90 度夹角，还隔了一小段距离，他就直接拿手机拍了张照片过来我的机子上输入密钥。
而且我感觉那个工作人员专业度太差，解锁电脑之后问都不问直接给我设备加密关了，害我回来打开加密又等了半天，还多了两次全盘写入。
他还跟我说每次用完电脑都要关机，否则会影响电脑寿命，我都无语了..

把旧的密钥删掉再增加一个就好了
用 manage-bde 命令行

如果担心的话，建议不要把密钥上传至巨硬，可以自己加密 /打印存储（

恢复密钥又名数字密码，其实也是可以用 manage-bde 删掉的，删了就解不了了。

一、维修人员不会这么闲，去特意看你磁盘内容。
除非：1 、你特别漂亮，2 、你是陈冠希这种明星
二、作为维修人员，应该是遇到过太多次客户不知道 bitlocker 加密，导致数据无法解锁的情况，所以默认情况都是直接给他关闭加密。
三、不关机影响寿命这个，理论上来说确实可能是。（关机完全不工作，休眠或者睡眠至少要维持内存供电，或者磁盘存储当初状态）不过基本忽略不计的把，反正我从来不关机，让他自己休眠。

这种情况就不应该在别的机子上登录自己的账号。而且维修时完全可以不管 BitLocker ，全程保持锁定状态，一般来说售后不需要用你的硬盘你的系统做测试，甚至可以把硬盘带走，不留在售后，除非硬盘是不可拆卸的。

把硬盘带走的另一个好处是可以防止售后误操作删除了数据。比如可能售后的人没沟通好，以为不需要保留数据，就格式化重装系统了。

@ysc3839 售后可能完全拿我当小白了，（当然我自己也担心有什么我不知道的东西，所以任由他来主导最后的流程）

@Telegram 我说一个邪恶一点的想法，假如售后工作人员受到不法分子的利益诱惑收集用户磁盘数据，一套数据奖励几十几百甚至上万不等，售后工作人员利用职业人员在特定场景下的权威感，可以很轻松的使大多数普通客户乖乖就范（相当于一种社会工程学攻击）。而这些数据还能跟客户的个人信息（姓名，电话号码）结合起来，一旦被售卖，就相当于受害者在黑市处于半裸奔状态

我的電腦只加密敏感的目錄，用字符串生成 aes256 的 key ，用開源軟件配合自己寫的腳本，解密成功才把加密的 image 文件和目錄做映射，image 文件方便拷貝，自己只要記得字符串密碼就行，用的時候才解密

https://github.com/dukelec/cde/blob/master/tools/aes-mount.sh （僅測試 linux 系統）

反而用 key 加密不安全，特別是國行 tpm 2.0 的一堆問題

@duke807 tpm 的安全性我倒不是很担心，这种级别的攻击应该也不是我这种吊丝能享受到的😄

@zddwj 主要是擔心各種情況下，被人檢查電腦，你們用的方法沒法保護自己，他們會讓你自己輸入密碼。而我喜歡沒有任何特徵的裸式加密，無法通過文件內容和文件名確認是加密數據，更加無法得知是用哪款軟件加的密。

譬如 BitLocker 的特徵之一是：
A BitLocker encrypted volume starts with the "-FVE-FS-" signature.

@duke807 这种极端场景我确实没考虑过，遇到这种情况就认栽了吧😂

有密钥解密倒是可以解密，但是他们官方售后还有这闲心搞黑产，咱们的信息都从其他途径漏成啥样了，咱们电脑上的那点东西，能值几个钱 2333 。不过题外话，bitlocker 感觉没必要开的，误删文件用第三方软件恢复时很麻烦，有软件经常自动备份另说。关键文件自己加密就是了 2333 （比如 veracrypt 啊，7z 压缩加密啊，用 7z 是因为他是唯一压缩包加密文件名字的）。并且貌似 bitlocker 是能破解的？看淘宝不少收费破这玩意的，就是不知道真假。

@KoMAsS121 脱敏的数据不值钱，但是能跟个人身份精准匹配性质就变了，有人想搞你的话可以买一份慢慢研究，这种情况你的个人数据就值钱了

售后能获得恢复代码的前提是能登进机器里的管理员账户（可以是本地账户也可以是微软账户），否则无法获得这个恢复代码。不想让售后接触数据就不要提供账户密码。从你的情况看售后已经是最低限度接触你的密码了，而且你完全可以要求你自行操作解锁机器。
如果你追求更高的安全性，可以在组策略选择对操作系统驱动器启用 PIN 或 PIN+TPM 联合保护，这个坏处就是每次开机 Bootloader 阶段要再输一次密码。

因为现在符合设备加密硬件要求的机器会在 OOBE 后自动启用加密，网上能搜到一堆因为解密不了对微软或者厂商破口大骂的帖子，售后顺手关掉减少售后压力实在太正常了，在意的最好预先叮嘱一下。


@duke807 你说的这种是可否认加密，目前 VeraCrypt 有这种实现。不过没有任何实践案例验证可行。例如你怎么让调查者相信你在用 VeraCrypt 但不拥有秘密？ Bitlocker 反而好一些，因为有很多人在用着 Bitlocker 而浑然不知，宣称不知道恢复代码很有可能是真的。你说的这个问题不是一个技术问题。

@jim9606 也就是说登不进系统还是拿不到数据吗？我昨天找了一晚上的 windows 文档都没看到具体这方面的说明