Si el atacante es Microsoft o una agencia gubernamental poderosa, no hay mucha diferencia. Su clave de recuperación se envía a Microsoft en cualquier caso.
El hecho de que los nuevos dispositivos de Windows requieren que los usuarios realicen una copia de seguridad de su clave de recuperación en los servidores de Microsoft es notablemente similar a un sistema de custodia de claves, pero con una diferencia importante. Los usuarios pueden optar por eliminar las claves de recuperación de sus cuentas de Microsoft (puede ir al final de este artículo para saber cómo), algo que la gente nunca tuvo la opción de hacer con el sistema de chips Clipper. Pero solo pueden eliminarlo después de que ya lo hayan subido a la nube.
Eso no es una diferencia importante. Microsoft tiene la clave de recuperación. No se sabe si realmente lo eliminan y, a menos que se pruebe la eliminación de la clave, no se puede asumir que se eliminó. Por lo tanto, se debe asumir que Microsoft tiene todas las claves de recuperación de Bitlocker.
El artículo realmente dice esto:
Tan pronto como su clave de recuperación abandone su computadora, no tiene forma de saber su destino. Un pirata informático podría haber pirateado su cuenta de Microsoft y puede hacer una copia de su clave de recuperación antes de que tenga tiempo de borrarla. O Microsoft podría ser hackeado, o podría haber contratado a un empleado deshonesto con acceso a los datos del usuario. O una agencia policial o una agencia de espionaje podría enviar a Microsoft una solicitud de todos los datos en su cuenta, que legalmente lo obligaría a entregar su clave de recuperación, lo que podría hacer incluso si lo primero que hace después de configurar su computadora es eliminarlo. .
Aunque se asume que el TPM tiene una puerta trasera , a diferencia de la fuga de claves, esto no está realmente probado, por lo que sé. Si eso es cierto, el TPM es completamente inútil.
Pero como parece que solo te interesa el uso del TPM por parte de Bitlocker, no el uso de este por parte de otros programas (que podrían no filtrar tu clave), no hay mucho sentido en discutirlo ya que Bitlocker envía tu recuperación clave para Microsoft de todos modos.
Independientemente de si se usa un TPM, es útil para las personas que solo desean echar un vistazo rápido a sus archivos personales. No ayuda contra ataques de Microsoft, agencias gubernamentales o cualquier pirata informático serio que sea una amenaza para Microsoft o agencias gubernamentales y, por lo tanto, puede obtener su clave de recuperación. El conjunto de atacantes que son una amenaza para usted no cambia mucho, independientemente de si se usa o no un TPM.
Para responder a su pregunta en el título: está almacenado en una unidad flash.
Sí, puede habilitar BitLocker en una computadora sin una versión 1.2 de TPM,
siempre que el BIOS tenga la capacidad de leer desde una unidad flash USB
en el entorno de arranque. Esto es porque BitLocker no desbloqueará el
volumen protegido hasta que la clave maestra de volumen de BitLocker sea la primera
lanzado por el TPM de la computadora o por una unidad flash USB
que contiene la clave de inicio de BitLocker para esa computadora. Sin embargo,
Las computadoras sin TPM no podrán utilizar la integridad del sistema
verificación de que BitLocker también puede proporcionar.
Para ayudar a determinar si una computadora puede leer desde un dispositivo USB durante
el proceso de arranque, use la Comprobación del sistema de BitLocker como parte de la
Proceso de configuración de BitLocker. Esta comprobación del sistema realiza pruebas para confirmar.
que la computadora puede leer correctamente de los dispositivos USB en el
Tiempo apropiado y que la computadora se encuentre con otro BitLocker.
requisitos.
Para habilitar BitLocker en una computadora sin un TPM, use la Política de grupo para
habilitar la interfaz de usuario avanzada de BitLocker. Con los avanzados
opciones habilitadas, las configuraciones no TPM aparecen en la configuración de BitLocker
mago. Para obtener instrucciones sobre el uso de la directiva de grupo para habilitar la
opciones avanzadas de usuario, ver
enlace .
( enlace )