TPMとBitLocker

投稿者: | 2018-07-18

TPMを使ってCドライブをBitLockerで暗号化している状態で、もう一つ危惧するのはアップデートなどをしたり機器の構成を変更したりする場合に、トラブルが生じないかという点である。
とりわけ、Windows 10の機能更新プログラムの適用と、BIOSなどのアップデートをする場合にどうなのか。
実際、これまでもBitLockerでCドライブを暗号化しているWindows 10機では一度機能更新プログラム(1709)の適用を行っているし、BIOSのアップデートは何度も行っているが、BitLockerやTPM関連の問題は生じていない。
TPMは機器構成などを記憶してそれが変わったときにエラーになるような仕組になっているらしい。そうなるとTPMが検知してBitLockerの解除(複合化)がストップする場合があるらしいのである。手持ちのPCのマニュアルにも、BitoLocker状態ではBIOS(UEFI)でブート順序の変更は行わないようにとされていて、これもまた機器構成の変更と検知されてTPMの動作に影響があるということなのである。機能更新プログラムの適用もDVDメディアからすると起動順が一時的にでも変わるので、TPMが検知してBitLockerでの複合化を停止してしまうことがあるようなのだ。そういう場合に備え、BitLockerの保護を一時停止するようにと言われている。
前回の機能更新プログラムの適用においては、そのようなメディアからではなくWindows Updateの側から実施したのでブート順の変更などはなく、特に停止などの措置は執らずとも問題なく更新が行えた。BitLockerに関しては同じWindowsの機能なのでそういう整合は自動的に取られているのかも知れない。
BIOSのアップデートについても、BitLockerの停止などは行わずに実施しているが、特に問題は生じていないが、BIOSのアップデートも、構成の変更であると検知されてしまう場合があるようなことも言われている。今後も大丈夫なのかどうかはわからないので、保護停止状態にしてから行った方が良いのかもしれない。
これがWindows標準のBitLockerであるからこそ、対策の情報なども入手しやすいがサードパーティの暗号化ソフトだと、こういう場合に対処できるのかが不安で、それで特にCドライブの暗号化に関しては中々使う気にはなれないと思う。