Molti TPM consentiranno il salvataggio di un backup della chiave prima di caricarla sul TPM o tramite un qualche tipo di esportazione. Finché hai la chiave, puoi ricaricarla su un nuovo TPM se il TPM è in frittura.
In realtà ho avuto questo risultato esatto con un ThinkPad IBM con un TPM in anticipo in cui il circuito TPM era fritto e ho dovuto sostituire la scheda di sistema. Sono stato in grado di ricaricare la chiave da un backup e ripristinare il sistema senza problemi significativi.
However, it make me wonder... if the motherboard crashes, is the data lost forever?
Dipende, principalmente dal fatto che il TPM sia l'unica unità di archiviazione per la chiave. Le unità TPM contengono un comando SEAL , TPM_SEAL , che può essere utilizzato per verificare lo stato delle corrispondenze di sistema memorizzate nel TPM prima che la chiave venga rilasciata.
Tuttavia, se la chiave viene memorizzata solo nel TPM per la rivelazione automatica sulla base del fatto che il sistema non è stato modificato (ad esempio in congiunzione con Secure Boot), e può essere derivato ad es. inserendo una passphrase, i dati non vengono necessariamente persi. Hai semplicemente bisogno di un modo per ottenere quella chiave.
Seal non è un comando specifico della chiave, ma un comando blob di autenticazione.
Lo stesso TPM non contiene alcuna operazione di crittografia simmetrica sul suo coprocessore in base alle ultime specifiche disponibili, quindi la chiave deve essere trasferita al sistema operativo affinché l'unità bloccata venga decodificata. Dovrebbe quindi essere possibile eseguire il backup di questa chiave utilizzando un altro formato.
In generale, se non disponi delle chiavi per decrittografare i dati, puoi supporre che i tuoi dati siano persi se l'algoritmo era buono.
Leggi altre domande sui tag passwords data-recovery trusted-computing