Bem, depois de pensar um pouco sobre isso, concluí uma resposta de bom senso.
Se algum dia fosse possível adicionar um PIN a uma unidade do sistema criptografada por Bitlocker existente que estivesse desbloqueada com uma chave USB na ausência de um TPM, a segurança adicionada seria exatamente igual a zero . Somente procedimento seguro é descriptografar totalmente o disco e criptografar novamente usando segurança mais strong
Por que isso não pode ser feito em uma criptografia alimentada por USB (e vice-versa)?
O BitLocker usa criptografia simétrica. Eu não entrei nos detalhes, mas usando um PIN ou um pen drive com um segredo que pode revelar a chave de criptografia é igual (do ponto de vista de segurança) para assumir que a unidade ou o PIN é a chave.
Então você tem sua configuração amigável onde você já exportou a chave para uma unidade USB ou memorizou sob a forma de um PIN / senha. Essa chave existe e essa chave pode descriptografar o disco. Suponha que a chave seja comprometida. O sistema pede uma senha adicional. Mas como a chave está contida no pendrive, um invasor com acesso a disco físico ainda pode usar a chave para descriptografar a unidade porque a chave simétrica é toda a informação necessária para descriptografar informações. O invasor pode usar qualquer software sob seu controle que não exija autenticação adicional tola
Por que isso pode ser feito em uma configuração do TPM?
O TPM é um dispositivo diferente. A chave , ou as informações secretas usadas para derivar a chave de descriptografia, existem dentro dos limites de um sistema de computador ativo, agindo como um cofre. Se você alterar o bloqueio do seu cofre, o cofre se recusará a abrir sem nova autenticação.
O SO, que controla ( possui ) o TPM pode gentilmente solicitar que o TPM não libere a chave a menos que uma autenticação adicional seja fornecida. Com um TPM e com a exceção das chaves de depósito que o BitLocker gera, a chave nunca pode ser exposta. Pode-se alterar o PIN / senha à vontade, mas ainda ninguém possui um meio com o byte array
da chave secreta disponível.