¿Cómo se almacenan las claves FDE de Bitlocker en el TPM?

Texto sin formato, pero se almacena en un "HDD seguro" en el TPM.

Fragmento del sitio web de Microsoft

  

Las computadoras que incorporan un TPM pueden crear claves criptográficas y   cifrarlos para que solo puedan ser descifrados por el TPM. Esta   Este proceso, a menudo denominado ajuste o vinculación de una clave, puede ayudar a proteger el   clave de la divulgación. Cada TPM tiene una clave de envoltura maestra, llamada   clave de raíz de almacenamiento, que se almacena dentro del propio TPM. Lo privado   parte de una clave raíz de almacenamiento o clave de aprobación que se crea en una   El TPM nunca se expone a ningún otro componente, software, proceso o   usuario.

     

Puede especificar si las claves de cifrado creadas por el TPM   Se puede migrar o no. Si especifica que se pueden migrar, el   Las porciones públicas y privadas de la llave pueden estar expuestas a otros   Componentes, software, procesos, o usuarios. Si especifica que   las claves de cifrado no se pueden migrar, la parte privada de la clave es   nunca expuesto fuera del TPM.

     

Las computadoras que incorporan un TPM también pueden crear una clave que no haya   Sólo se ha envuelto, pero también está vinculado a ciertas medidas de la plataforma.   Este tipo de llave solo puede ser desenvuelta cuando esas plataformas   Las mediciones tienen los mismos valores que tenían cuando la clave era   creado. Este proceso se conoce como "sellar la clave al TPM".   Descifrar la clave se llama desellar. El TPM también puede sellar y   Desellar datos que se generan fuera del TPM. Con esta llave sellada.   y software, como BitLocker Drive Encryption, puede bloquear datos   hasta que se cumplan las condiciones específicas de hardware o software.

enlace