La especificación del TPM menciona que algunas claves se pueden migrar, es decir, transferibles a otro TPM. ¿Esto significa que sería posible compartir (transferir) una clave de descifrado de BitLocker entre varios TPM, y así poder descifrar el mismo disco duro cifrado en varias máquinas? ¿O las claves de BitLocker se encuentran en la categoría no migrable que está bloqueada en un TPM?
Creo que he encontrado la "respuesta" a esto. Debería ser posible, pero Microsoft no lo ha implementado actualmente. Por lo que sé, es técnicamente posible tener las claves de descifrado protegidas por varios TPM diferentes almacenadas en el mismo disco duro cifrado ya que son (creo) un blob binario cifrado por el TPM, por lo que cada TPM diferente podría tener sus propios blob que puede ser descifrado por ese TPM.
Esta es una suposición descabellada, pero esperaría que dependiera de cómo configures BitLocker al configurarlo. Si le permiten una opción para hacer una copia de seguridad de la clave cuando la configura (lo que deberían), entonces puede importar esa copia de seguridad sin importar si es exportable o no. Si no tiene alguna copia de respaldo de la clave y no es exportable, no usaría el cifrado, ya que los TPM pueden fallar y fallan (de hecho, una buena está diseñada para fallar si se detectan problemas). Si hubiera sucedido antes y si no tuviera una copia de seguridad de la clave, mis datos se habrían perdido.
Lea otras preguntas en las etiquetas disk-encryption bitlocker trusted-computing