Por que meu pro de superfície pede a chave de recuperação do BitLocker?

O que você está enfrentando

A linha de dispositivos Microsoft Surface vem criptografada com o BitLocker ou Device Encryption (que é basicamente um BitLocker não personalizável). Essa criptografia não depende de uma senha de usuário. (Poderia, mas não funciona.) Em vez disso, ele se baseia em uma chave de recuperação armazenada em um chip Temp (Trusted Platform Module) à prova de violação integrado ao dispositivo.

Eu também suponho que o Secure Boot esteja habilitado em seu Surface Pro. Uma das coisas que o TPM e o Secure Boot fazem é impedir a modificação não autorizada da configuração de inicialização. Esta é uma das coisas que podem efetivamente parar os bootkits (boot rootkits) e ransomware. Quando eles determinam que o caminho de inicialização pode ter sido comprometido, o TPM se recusa a fornecer a chave de recuperação do BitLocker ao bootloader. (Ninguém quer um bootkit para receber sua chave de recuperação.) Os aficionados do Linux já estão cientes de ambos, porque viver no mundo Linux leva um geek tecnicamente dedicado. Então, quando eles instalam o Linux, que definitivamente requer mudanças na configuração de inicialização, eles desativam o BitLocker (e às vezes o Secure Boot) antecipadamente.

Não se engane: as pessoas amam tudo isso; seus dados são muito mais seguros. A única exceção é a comunidade de jornalistas que tanto amam quanto amam jogar lama nisso, porque esse é o trabalho deles.

O que fazer agora?

Felizmente, a Microsoft tem uma medida de segurança no caso de o seu TPM falhar: A chave de recuperação que mencionei anteriormente é gerada durante a sequência de experiência imediata (OOBE) quando o Surface Pro é ligado pela primeira vez e somente se você optar por fazer login com uma conta da Microsoft. Criptografia de dispositivo não é aplicada sem ela. Essa chave de recuperação é então enviada para sua conta da Microsoft e não será excluída sem seu comando explícito. Você pode encontrá-lo usando este URL:

https://account.microsoft.com/devices/recoverykey

Isso é o que acontece com a configuração padrão da Microsoft. Mas se você ativou o BitLocker você mesmo ... oh, bem, não importa; você disse que não.

Com esta chave, você pode inicializar o Windows a partir do disco criptografado. De dentro do Windows, você pode desabilitar o BitLocker / Device Encryption e continuar sua tarefa de instalar o Linux. Mas esteja ciente: o Linux significa viver na vanguarda. Se você não tem conhecimento técnico suficiente, alguma outra dificuldade técnica pode ameaçar sua vida digital. Então, sugiro ter backup no lugar.

Coisas que você não deve fazer

Não tente desabilitar ou redefinir o TPM via UEFI. Não lhe concederá acesso. (Pense da seguinte maneira: Se o seu laptop já foi roubado, você não gostaria que os ladrões tivessem acesso algum por meio de um simples ajuste de BIOS, agora você faz?) Se você fizer isso, mesmo que você possa desfazer a configuração incompatibilidade que de alguma forma entrou em vigor, sua chave exclusiva baseada no TPM será perdida para sempre.

Sua chave de recuperação pode estar armazenada na sua conta da Microsoft.

link

Se você não fez backup da sua chave de recuperação, seus dados ficarão inacessíveis.

No caso em que isso é apenas uma falha na BIOS, onde o dispositivo nunca foi realmente criptografado, o BitLocker precisa ser desfeito no BIOS.

Este é o procedimento para inicializar no BIOS, para encontrar alguma maneira de desabilitar BitLocker ou de redefinir o BIOS.

Para inicializar no BIOS em um Tablet Microsoft Surface 3, siga estas instruções:

1. Desligue o Surface - uma reinicialização não é suficiente
2. Pressione e segure o botão Aumentar volume (no lado esquerdo do tablet)
3. Pressione e segure o botão Liga / Desliga por cinco segundos (na parte superior do tablet)
4. Solte o botão Liga / Desliga após cinco segundos, mas mantenha pressionado o botão de volume até ver o UEFI do BIOS.