[请教] windows bitlocker 仅通过恢复密钥能解密磁盘吗？

@zddwj 基本是的，TPM 自动解锁是通过 PCR （平台配置寄存器）验证实现的。典型配置下，自动解锁的唯一方法就是引导原系统，RE 和 U 盘 PE 都不能解锁。（参考 https://zhuanlan.zhihu.com/p/29840740 ）
系统启动后就是登录界面了，如果你有什么拥有管理员权限的程序在用户之前会运行，它们是泄密的弱点（还记得输入法提权漏洞吗，第三方输入法很容易引入这种问题）。否则，除了输密码，没法运行任何接触到恢复代码的命令。

可以。不过你随时可以改，几秒钟的事

@zddwj
忘了提一个。
Window 账户登录选项有一个“使用我的登录信息在更新后完成设置”，启用这个选项会导致用户会话在登录前就打开，并运行所有用户登录后会自动运行的程序和服务。可以将这个理解为系统帮你自动登录但把屏幕锁了。这个选项会扩大攻击面，不在意登录后后台忙一会的建议关闭此选项。

@jim9606 好的谢谢，我再研究研究

因为很多客户误开 bitlocker ，没有备份恢复密钥，然后重置系统，结果数据就打不开了。 这种事情太多了，作为维修人员对你数据毫无兴趣，只是单纯的避免客户“哎？你修了我机器，为什么我的文件怎么打不开了”这种问题的困扰……

@jim9606
我調用的開源加密命令 cryptsetup 也是主流 linux 發行版自帶的程序，不用單獨安裝
就算是 windows 用戶，只能安裝有類似功能的第三方加密軟件的話，可以提前準備一個不是太重要的加密文件用來解釋，而不交代重要的加密文件

@jim9606
或者，使用我這個開源的在線小工具進行加解密，不用安裝，加密后導出的文件也沒有任何特徵：
https://www.v2ex.com/t/832302
當然，需要頻繁讀寫的東西還是用可以映射為文件夾的方式更方便

@duke807
不是说 cryptsetup 不行，是用这个东西为基础做 Windows 那套基于 TPM 的无密码自动解锁太麻烦了，这套东西凑齐 SecureBoot(MOKManager)+shim+grub2+LUKS+TPM ，还要不能把内核更新、DKMS 模块搞崩。我都没心情实战操作一次。如果无所谓每次输 PIN 的话那确实够了。

且不说你这个轮子实现是不是完备吧（造密码学轮子极易犯错），“可否认性”是不符合的，“文件没有特征”也是特征，防不住五美刀扳手( https://xkcd.com/538/ )。 你还是得藏得够好没被搜出来。但你要是自信能藏好，那不加密也没事。

@jim9606
我覺得需要用的時候才輸入密碼解鎖才安全，而且也很方便，存放加密目錄的文件我還有放在 U 盤裏面隨身帶着，托管的服務器也在用，反而 tpm 、自動解鎖我都不需要

我那個網頁加密小工具用的是標準的 AES-256-CBC 加密，不是自己造輪子

至於 藏好 和 加密 應該是水桶的不同木板，都要兼顧，要不要追求極致另說

沒有特徵也是特徵 這句話更適合描述翻牆的流量
對於文件，想偽裝有很多方法，譬如把加密文件追加在一個壓縮包文件的尾部，然後藏好

@jim9606 你说的是错误的, 微软备份的恢复代码是 "recovery password" 就是那一大串数字那个, 这个是可以直接把盘挂其他机器解锁的, 不需要什么 tpm.

TPM 加密是把密钥放 tpm 里 开机输入的第一道密码是 tpm 的 pin 而不是 bitlocker 的密码.
无 pin 加密也是一样密钥放 tpm 里 开机自动解锁 这时候只有第二道 也就是 windows 密码.
但无论是哪种 TPM 加密 跟 recovery password 都没有任何关系 他们是彼此独立的"protector"
任何一个独立的"protector"都不依赖其他条件可以直接解锁 bitlocker 的 volume
所以如果售后做了 byte to byte 镜像并且有"recovery password" 是完全可以不依赖原电脑本身的 TPM 解锁的.

至于 VeraCrypt, 是有隐藏加密分区的选项的, 甚至还可以先做一个不隐藏的加密分区放一些无关紧要的文件 然后再单独建立一个隐藏加密分区套娃, 具体挂载哪个分区完全看你输入哪个分区的密码, 不会有任何提示或者方法能找到你有隐藏分区, 因为他没签名, 分区头也是通过你输入的密码加密的乱码数据.

你完全可以一个 raw 盘, 然后直接做个隐藏分区 连分区表都没, 问就是刚买的二手盘

上次因为笔记本电源管理的问题去联想售后换过一次主板，机器本身是开着 BitLocker 的，送修的时候维修人员也没开机查看，我描述了下问题就接收了；修完之后打电话来问我 BitLocker 的事情，我就直接让他别管，等我去拿的时候再说。

回到本贴，密钥性质的东西，本质上是除了你之外所有人都不应该交出去的，吃一堑长一智吧；但是你的担心实际上也是相对多余的，维修人员没有心情去看你的数据，一来你没有那么高的价值，二来如果出事被查出来他也是吃不了兜着走的。

RSA 发明者说永远不要自己设计加密算法

@424778940
我没说错。
我说需要 TPM （ TPM Protector ）的是操作系统驱动器的**自动解锁**，使用 recovery password （ Numerical Password Protector ）解锁的不属于自动解锁。本来恢复代码就是最高安全性的方法，增加其他 protector 都只是为了省去每次解锁都要输恢复代码的麻烦而已。恢复代码本身需要比 PIN 更严格的保密措施。企业环境可以仅创建唯一的 AD Protector ，避免员工拆硬盘在非域控主机上解锁驱动器盗取数据。

不可能在不掌握 recovery password 又不通过其他 protector 解锁的情况下，使用 Numerical Password Protector 解锁驱动器并获得 recovery password （这都是废话了）。如果楼主自己不知道 recovery password ，除非想办法恢复送修前的 PCR 使得 TPM Protector 可用，无法解锁。

如果通过组策略选择使用 TPM+PIN 联合，系统会创建另一个 TPM&PIN Protector 并删除 TPM Protector ，正如你所说的，两者是完全不同、相互独立的 protector 。接受 PIN 输入的不是 TPM 固件而是引导器 BOOTMGR （所以一定需要 Secure Boot 避免被篡改的 BOOTMGR 实现邪恶女仆攻击）。

@duke807
我说的完备可不是引用成熟的 AES 实现那么简单。密码原语基本都不是弱点。
PIN 要通过 salt 和 KDF 函数转换成 AES 使用的主密钥来提高暴力破解难度；需要认证（ AEAD ）来防篡改；流密码模式的 IV 怎么产生；主密钥多久替换一次；怎么做 padding ，如果明文片段可以被猜测，能不能抵抗选择明文攻击。

当然对于个人用途，这些都不做可能不是什么问题。

小白的看法是实在不放心就重新生成新的恢复密钥就行了。

@jim9606 所以你倒是读一下楼主的问题啊
他已经提供了 recovery password, 怀疑售后做了镜像, 问这种情况售后能否得到数据, 答案当然是可以
本来跟 tpm 什么的就半毛钱关系都没有

@zddwj 重新加密过就不用担心前面的问题了，旧的恢复密钥解不开的

做了镜像又有恢复密钥那确实没办法了