Windows si klic z TPM netahaji. Bitlocker funguje v principu takhle:
Disk je zasifrovan klicem pro full disk encryption. Tenhle klic je ulozen na disku a je zasifrovan tzv. Master klicem. Pristup k Master klici hlidaji protectors (jimi je pristup k master klici sifrovan): temi muze byt ciselne heslo (recovery key), usb flashka, tpm+pin, tpm, pripadne tpm+pin+flashka.
Kdyz se pouziva tpm, pozadaji windows o zasifrovani "tpm protectoru" pri "definovanem stavu systemu" tpmkem.
Odemykani pak funguje tak, ze tpm desifruje tento protector key jen tehdy, je-li system opet v predem definovanem stavu. Stav meni i vyber jine polozky z menu bootmanageru. Pokud system neni v definovanem stavu, tom nedesifruje korektne protector key a windows si vyzadaji recovery key od uzivatele, kterym pak odemknou master key a ten odemkne full volume encryption key.
V Linuxu existuje par pokusu o rozchozeni jednodussi varianty desifrovani, ktera se bude chovat podobne jako Bitlocker (tedy za definovaneho stavu odemkne disk). Vetsina z nich je vsak bohuzel uzivatelsky neprivetiva (kompilace) nebo nefunkcni (neaktualni software, nutnost prepsani). Kombinaci TPM+PIN jsem na Linuxu jeste nevidel, podobne TPM+PIN+UsbKey.
Taky mi ale neni uplne jasne, jakou predstavu o cilovem stavu ma puvodni pisatel.