BitLocker demande un code de protection après l'installation d'Ubuntu
Je viens d'installer côte à côte Ubuntu sur une partition Windows 10 livrée sur un nouvel ordinateur portable.
Cela signifie que l'ordinateur portable fourni avec Windows 10 et j'ai installé Ubuntu à côté de la partition Windows à l'aide d'un ISO d'installation du bureau Ubuntu via une clé USB.
Désormais, chaque fois que je démarre dans le gestionnaire de démarrage Windows, BitLocker souhaite que je saisisse la clé de récupération longue BitLocker. Quelques questions -
- Pourquoi réellement BitLocker est-il affecté par le nouveau chargeur de démarrage mis en place par Ubuntu? Une idée naïve serait que la clé de déchiffrement BitLocker soit stockée sur le TPM de la carte mère et ne soit pas affectée par une nouvelle installation du chargeur de démarrage, ce qui est probablement vrai, sinon Windows ne pourrait plus lire ses propres fichiers. Pourquoi BitLocker a-t-il même besoin de la clé de récupération maintenant?
- L’installation côte à côte d’Ubuntu en dit long sur la protection contre le démarrage en tripotage, mais elle n’est pas précieuse, qu’elle soit liée au TPM ou à un mécanisme de sécurité distinct.
- Le programme d'installation d'Ubuntu a même demandé une phrase secrète qui devrait aider à rétablir le démarrage sécurisé, mais je n'ai pas été invité à l'utiliser nulle part après le démarrage avec ni les chargeurs de démarrage Ubuntu ni Windows, après l'installation.
- Comment redonner confiance à BitLocker? dans Windows 10, je ne vois qu'une option pour désactiver complètement le chiffrement de disque, mais je ne suis pas sûr de savoir pourquoi il ne peut tout simplement pas continuer.
- Désactiver puis activer le cryptage (sous Windows) semble excessif et je ne sais pas du tout si cela va brouiller ma partition Ubuntu.
Sous Windows, après avoir fourni la clé de récupération, je constate que le chiffrement de périphérique est activé. Donc, ma compréhension est que ma partition Windows déchiffre toujours ses propres fichiers, alors que ma partition Ubuntu ne demande pas au TPM de chiffrer ses fichiers lorsque les écrire ni les décrypter en les lisant.
Ce problème est que Windows ne considère pas GRUB comme un composant sécurisé. Ainsi, chaque fois que vous démarrez Windows à partir de GRUB, Windows considère que la séquence de démarrage peut avoir été compromise et force une nouvelle saisie de clé.
La seule façon de résoudre ce problème est de ne pas utiliser GRUB complètement. Tu peux soit
- choisissez la séquence de démarrage directement dans le menu de votre BIOS (la solution que j'utilise, il suffit d'entrer F12 au démarrage, et le BIOS donne le choix entre les scénarios de démarrage)
- ou utilisez le programme d'amorçage Windows et ajoutez-y les options linux ( . Voir ici comment y parvenir ).
Grâce à l'aide des personnes aimables dans les commentaires, j'ai pu surmonter le problème avec élégance. C'était la solution élégante, prise d'ici :
Pour que BitLocker retrouve la confiance, j'ai simplement désactivé puis réactivé BitLocker:
C:\Windows\system32\manage-bde.exe" -protectors -enable c:
C:\Windows\system32\manage-bde.exe" -protectors -disable c:
Je suppose que Windows utilise désormais BitLocker et le chiffrement de disque par le biais du TPM, comme avant, mais pas Ubuntu.
Il est possible d’installer quelques éléments Ubuntu qui le font fonctionner comme BitLocker (permettant ainsi vraisemblablement le partage de partitions entre Windows et Ubuntu), mais je pense que pour le moment, Ubuntu n’utilise pas la Le matériel TPM, de sorte qu'il stockerait la clé de chiffrement complète sur le disque, annulant ainsi le but du chiffrement, donc je ne le vaux pas.
BitLocker était donc au courant de la manipulation du démarrage et l'a justifiée d'attendre un événement de rétablissement de la confiance, même si l'intégration du TPM est restée intacte. La saisie de la clé de protection, puis l’utilisation des commandes ci-dessus dans Windows, ont permis de rétablir l’état de confiance et de retrouver un fonctionnement normal.