Sin embargo, me pregunto ... si la placa base falla, ¿se pierden los datos para siempre?
Eso depende, principalmente, de si el TPM es la única unidad de almacenamiento para la clave. Las unidades del TPM contienen un comando SEAL
, TPM_SEAL
, que se puede usar para verificar el estado del sistema que coincide con el almacenado en el TPM antes de que se libere la clave.
Sin embargo, si la clave solo se almacena en el TPM para la divulgación automática sobre la base de que el sistema no se ha modificado (por ejemplo, junto con el arranque seguro), y se puede derivar, por ejemplo. Al ingresar una frase de contraseña, los datos no se pierden necesariamente. Simplemente necesitas una forma de obtener esa clave.
Seal no es un comando específico de clave, sino un comando blob de autenticación.
El TPM en sí mismo no contiene ninguna operación criptográfica simétrica en su coprocesador de acuerdo con la última especificación disponible, por lo tanto, la clave debe ser entregada al sistema operativo para que su unidad bloqueada sea desencriptada. Por lo tanto, debería ser posible realizar una copia de seguridad de esta clave con otro formato.
En general, si no tiene las claves para descifrar los datos, puede suponer que sus datos se pierden si el algoritmo es bueno.