Secondo la sezione 28.2 della Parte 1 delle specifiche TPM 1.2 (trovato qui ), nvLocked è lo stato in cui il produttore del TPM può inserire il TPM dopo aver definito ogni indice NV che verrà mantenuto in modo permanente nel TPM. Un indice non permanente può essere definito dopo che nvLocked è stato impostato su true, ma non può essere impostato come permanente con il bit D impostato.
Questo di solito entra in gioco quando il produttore del TPM memorizza il certificato di chiave di approvazione (EK) in NV. Impostano il bit D dell'indice, rendendo l'indice CERT EK 0x1000f000, anziché 0x0000f000. Ciò colloca anche in modo permanente il certificato EK nello store NV del TPM. Una volta che il TPM è nvLocked, non è più possibile definire un indice NV utilizzando il bit D. Se un produttore di piattaforme desidera archiviare un certificato di piattaforma, dovrà farlo indicando 0x0000f002, invece di essere in grado di definire permanentemente l'indice a 0x1000f002. L'effetto pratico è che l'indice può essere rilasciato e lo stesso indice può essere ridefinito e un nuovo certificato può essere scritto.
"Permanente" qui significa avere la stessa vita di EK. La specifica TPM 1.2 consente facoltativamente di revocare l'EK, ma per quanto ne so, nessun produttore di TPM ha mai scelto di implementare questa opzione.