9
DTPM und fTPM - Frage zum Verhalten von Bitlocker bei Mainboardwechsel
Moin Kollegen.
Bislang haben wir nur diskrete TPMs eingesetzt, nun zum ersten Mal ein firmwarebasiertes fTPM (Intel PTT). Auch auf diesem Board wurde mit Bitlocker (TPM und PIN) verschlüsselt.
Gerade dieses Mainboard ist nun defekt und wurde getauscht (gleiches Modell, gleiches Bios).
Zu meinem Erstaunen musste kein Recoverypasswort für Bitlocker eingegeben werden, wie es sonst bei dTPMs der Fall wäre.
Auch nachdem ich einiges Material zur Theorie gelesen habe, habe ich noch nicht verstanden, welches Teil denn nun den TPM "spielt" und wieso der Tausch des Mainboards nichts am Vorhandensein dieses Teils ändert. Das hieße doch, das fTPM ist Teil der Daten auf der Platte(?)
Bislang haben wir nur diskrete TPMs eingesetzt, nun zum ersten Mal ein firmwarebasiertes fTPM (Intel PTT). Auch auf diesem Board wurde mit Bitlocker (TPM und PIN) verschlüsselt.
Gerade dieses Mainboard ist nun defekt und wurde getauscht (gleiches Modell, gleiches Bios).
Zu meinem Erstaunen musste kein Recoverypasswort für Bitlocker eingegeben werden, wie es sonst bei dTPMs der Fall wäre.
Auch nachdem ich einiges Material zur Theorie gelesen habe, habe ich noch nicht verstanden, welches Teil denn nun den TPM "spielt" und wieso der Tausch des Mainboards nichts am Vorhandensein dieses Teils ändert. Das hieße doch, das fTPM ist Teil der Daten auf der Platte(?)
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 518991
Url: https://administrator.de/contentid/518991
Printed on: April 24, 2024 at 16:04 o'clock
9 Comments
Latest comment
Moin,
auch wenn es nichts mit TPM zu tun hat, aber vielleicht verhält es sich analog zu den Onboard-RAID Systemen?
Hier konnte ich ein Mainboard tauschen ohne das RAID auf dem neuen Board anlegen zu müssen. Booten und fertig.
Das würde zu Deiner Theorie passen, dass die wesentlichen Daten auf der Platte liegen und nicht auf dem Board.
Interessant wäre mal ein Tausch gegen ein "nur-fast-gleiches-Board", z.B. andere Firmware oder gleiche Serie-anderes Modell.
Gruß
Looser
auch wenn es nichts mit TPM zu tun hat, aber vielleicht verhält es sich analog zu den Onboard-RAID Systemen?
Hier konnte ich ein Mainboard tauschen ohne das RAID auf dem neuen Board anlegen zu müssen. Booten und fertig.
Das würde zu Deiner Theorie passen, dass die wesentlichen Daten auf der Platte liegen und nicht auf dem Board.
Interessant wäre mal ein Tausch gegen ein "nur-fast-gleiches-Board", z.B. andere Firmware oder gleiche Serie-anderes Modell.
Gruß
Looser
Hi.
Der Vergleich bringt nichts. Ich suche Leute, die fTPM verstehen und sagen können, ob es sich wie erwartet verhält, oder eben nicht.
Der Vergleich bringt nichts. Ich suche Leute, die fTPM verstehen und sagen können, ob es sich wie erwartet verhält, oder eben nicht.
Hallo DWW,
nein, das ist kein erwartetes Verhalten. Bitlocker verhält sich gegenüber PTT genauso wie gegenüber einem dedizierten TPM, d.h. das Entsperren ist vom Storage-Root-Key abhängig (und PCR-Measurements und ggf. PIN). Der SRK ist im Flash der ME-Hardware auf dem Mainboard abgelegt. Ein anderer Bereich kommt nicht infrage, weil er sonst vom BIOS gelesen werden könnte und nicht nur vom PTT-Modul. Das widerspräche dem Grundkonzept von PTT.
Bist Du sicher, dass Bitlocker nicht angehalten war? Ist das reproduzierbar und mit welcher Hardware?
Grüße
Richard
nein, das ist kein erwartetes Verhalten. Bitlocker verhält sich gegenüber PTT genauso wie gegenüber einem dedizierten TPM, d.h. das Entsperren ist vom Storage-Root-Key abhängig (und PCR-Measurements und ggf. PIN). Der SRK ist im Flash der ME-Hardware auf dem Mainboard abgelegt. Ein anderer Bereich kommt nicht infrage, weil er sonst vom BIOS gelesen werden könnte und nicht nur vom PTT-Modul. Das widerspräche dem Grundkonzept von PTT.
Bist Du sicher, dass Bitlocker nicht angehalten war? Ist das reproduzierbar und mit welcher Hardware?
Grüße
Richard
Moin.
BL war nicht angehalten, nein.
Das sind 2 ASRock Z390 pro4.
Ich habe mittlerweile ASRock kontaktiert und werde berichten. Ich sag noch keinen Sinn darin, das zu reproduzieren, werde es aber nächste Woche tun können.
Danke für die Einschätzung.
BL war nicht angehalten, nein.
Das sind 2 ASRock Z390 pro4.
Ich habe mittlerweile ASRock kontaktiert und werde berichten. Ich sag noch keinen Sinn darin, das zu reproduzieren, werde es aber nächste Woche tun können.
Danke für die Einschätzung.
Versuch dann mal, das TPM mit manage-bde -tpm -takeownership zu nutzen. Das sollte den SRK erneuern.
Wozu? Das tpm funktioniert doch. Die Frage ist doch nur: woher weiß das neue Board vom alten Schlüssel?
Weil es ggf. auf beiden Boards derselbe ist.
So, nachdem ich es mit zwei weiteren Boards nachstellen konnte, wird es klarer.
Der Kollege, der den Hardwarewechsel vorgenommen hatte, hatte zwar Bitlocker nicht suspendiert, jedoch hatte er nicht erwähnt, dass er den Rechner nicht mit dem Nutzer zusammen in Betrieb genommen hat, sondern ihn testhalber selbst einmal hochgefahren hatte und dabei einen USB-Schlüssel samt .bek-Datei (Bitlocker-Startupkey), den er zuvor erzeugt hatte, angeschlossen hatte. Somit wird kein Recoverykey beim Start benötigt.
Was ich nicht erwartet hätte: der fTPM erzeugt offenbar auf diese Weise den alten Schlüssel wieder neu und macht ihn mit der selben PIN abrufbar. So konnte ich es nachstellen. Wenn ich nicht gleich den USB-Startupkey anschließe, dann wird nach der PIN gefragt und nach deren Eingabe kommt "falsche PIN".
Ich hoffe immer noch auf eine Erklärung von Asrock.
Der Kollege, der den Hardwarewechsel vorgenommen hatte, hatte zwar Bitlocker nicht suspendiert, jedoch hatte er nicht erwähnt, dass er den Rechner nicht mit dem Nutzer zusammen in Betrieb genommen hat, sondern ihn testhalber selbst einmal hochgefahren hatte und dabei einen USB-Schlüssel samt .bek-Datei (Bitlocker-Startupkey), den er zuvor erzeugt hatte, angeschlossen hatte. Somit wird kein Recoverykey beim Start benötigt.
Was ich nicht erwartet hätte: der fTPM erzeugt offenbar auf diese Weise den alten Schlüssel wieder neu und macht ihn mit der selben PIN abrufbar. So konnte ich es nachstellen. Wenn ich nicht gleich den USB-Startupkey anschließe, dann wird nach der PIN gefragt und nach deren Eingabe kommt "falsche PIN".
Ich hoffe immer noch auf eine Erklärung von Asrock.
So, AsRock sagt tatsächlich "das gehört so":
Na denn...
Hello, got feedback from headquarter/AMI. They say it is correct/normal:
Because the fTPM existed on two platform and has the same codes.
That is why when changing to a different same-type platform the system is still able to boot once the original pin is inputted.
best regards, ASRock Support
Because the fTPM existed on two platform and has the same codes.
That is why when changing to a different same-type platform the system is still able to boot once the original pin is inputted.
best regards, ASRock Support
Na denn...
