Vista BitLocker 驱动器加密原理

TPM 可创建绑定到特定 PCR 值的密钥。创建这类密钥时，TPM 会加密该密钥，且只有特定的 TPM 才能对其解密。可是，除此之外，仅当当前 PCR 值与创建密钥时指定的值匹配的情况下，TPM 才会解密该密钥。这称为将密钥封装到 TPM。

默认情况下，BitLocker 将密钥封装到 Core Root of Trust Measurement (CRTM)、BIOS 和任意平台扩展、选项 ROM 代码、MBR 代码、NTFS 引导扇区以及启动管理器的测量结果。如果其中任一项被意外更改，BitLocker 都会锁定驱动器，以防其被访问或解密。

默认情况下，BitLocker 配置为查找并使用 TPM。您可以使用“组策略”或本地策略设置，使 BitLocker 在没有 TPM 的情况下工作，并将密钥存储于外部 USB 闪存驱动器，但是没有 TPM，BitLocker 将无法验证系统完整性。

第一次启用 BitLocker

Windows Vista Enterprise 和 Windows Vista Ultimate 中提供了 BitLocker。(BitLocker 还将作为可选组件包含在下一版本的 Windows Server® 中，代号为“Longhorn”。)

以下讨论假设您已有具备兼容的 TPM 的计算机可供测试。如果您要在没有 TPM 的计算机上启用 BitLocker，请遵循侧栏“在没有 TPM 的情况下使用 BitLocker”中所列的步骤。

在没有 TPM 的情况下使用 BitLocker

BitLocker 默认配置为使用 TPM，如果您没有 TPM，现成的 Windows 将不允许您启用 BitLocker。但是，来自“Windows BitLocker 驱动器加密逐步指南”的以下步骤，能够让您在没有 TPM 的情况下使用 BitLocker。

要执行这些步骤，您必须以管理员身份登录。即使没有 TPM，您的计算机也必须支持在启动过程期间从 USB 闪存驱动器读取数据。此外，启用 BitLocker 及每次重新启动计算机时，您都必须具有 USB 闪存驱动器。