Sí, ya se que solo tengo que entrar en Google y tipear "chip TPM". Pero las explicaciones que encuentro son bastante ambiguas o limitadas a decir en resumen que almacena las contraseñas pero ni palabra de los perjuicios claros que esto pueda tener para los usuarios si lo borrar por error o por ignorancia.
Por ejemplo supongamos que mi Windows tiene contraseña para entrar y dicha contraseña está almacenada en el TPM. Si se borra el TPM no podría entrar en Windows, ¿Qué ocurriría?
Veo que tu pregunta va más dirigida al Bitlocker, pues la contraseña de Bitlocker que protege la unidad del sistema se almacena en el TPM (si previamente han activado bitlocker claro está) y tengo entendido de que TPM solo está disponible cuando usas UEFI y me parece que también SecureBoot, he visto que algunas personas desactivan SecureBoot o ponen BIOS Legacy en lugar de UEFI, entonces el TPM se desactiva automáticamente y en el peor de los casos limpia las contraseñas almacenadas en él y pierdes el acceso al Disco del sistema por no tener la contraseña salvo que tengas una copia de contraseña o clave de recuperación. Bitlocker suele sugerir bastante el guardar copias de la clave de recuperación en el correo, usb, archivo aparte, etc.
Veo que tu pregunta va más dirigida al Bitlocker, pues la contraseña de Bitlocker que protege la unidad del sistema se almacena en el TPM (si previamente han activado bitlocker claro está) y tengo entendido de que TPM solo está disponible cuando usas UEFI y me parece que también SecureBoot, he visto que algunas personas desactivan SecureBoot o ponen BIOS Legacy en lugar de UEFI, entonces el TPM se desactiva automáticamente y en el peor de los casos limpia las contraseñas almacenadas en él y pierdes el acceso al Disco del sistema por no tener la contraseña salvo que tengas una copia de contraseña o clave de recuperación. Bitlocker suele sugerir bastante el guardar copias de la clave de recuperación en el correo, usb, archivo aparte, etc.
Muchas gracias por tu ayuda. Te explicaste de maravilla aunque tengo que admitir que en estos temas soy de padawan para abajo ya que yo nunca he usado este tipo de tecnología de seguridad y me suena un poco a chino y sin traductor. Sí que he oído o visto estas cosas de SecureBoot, UEFI (en lugar del viejo BIOS), aunque desconocía totalmente la implantación del chip TPM. En fin estas cositas que obliga a tener Microsoft justificándolas con la seguridad y esas cosas si quieres usar sus nuevos y cada vez más engorrosos OS.
Te explico. A mis manos ha llegado un portátil Toshiba, el cual no podía acceder al disco duro porque tenía una contraseña. Como nunca he usado un Toshiba desconocía como funciona exáctamente, incluso abrí un post en este foro para pedir ayuda y no recibí respuesta. Entonces busqué y busqué en Internet, cuyos modelos respecto al tema eran otros. Descubrí que todos las "ayudas" que encontraba realmente eran referidas a la contraseñas del bios (UEFI en realidad) y que la contraseña del laptop era del disco duro. Cuando esto ocurre estos laptops de Toshiba no dejan hacer absolutamente nada ni acceder al UEFI ni nada. Así que todos esos truquillos que veía en Internet no valían para nada. Entonces se me ocurrió quitar el disco duro y entonces al encenderlo ya pude acceder al bios (UEFI) y en el apartado de Seguridad tuve la estúpida idea de trastear en este apartado y activé la contraseña "Bios password" esto provocaba que cada vez que prendía pidiera la contraseña del Bios y en el intento frustrado de quitarla reseteé el chip TPM para luego descubrir que los lumbreras de los fabricanes y Microsoft se les ocurrió que era buena idea que por "seguridad" guardar las contraseñas en ese chip.
Ahora mi duda es si consigo desbloquear la contraseña del disco duro que no pueda acceder a la cuenta que Windows que tenga activada. Ignoro ademas si tiene Windows 10 u 11 o qué sistema de seguridad tenía activado, de seguro era de dynabook que es lo que usa el Toshiba.
La tecnología de Módulo de plataforma segura (TPM) está diseñada para proporcionar funciones basadas en hardware y relacionadas con la seguridad. Un chip TPM es un procesador criptográfico seguro diseñado para llevar a cabo operaciones criptográficas.
Este chip es un criptoprocesador seguro, que sirve para almacenar las claves de cifrado de Windows y proteger así la privacidad de tus archivos más sensibles.
Una de sus principales características es que sólo se comunica con el procesador de tu ordenador, de forma que ningún otro componente del equipo puede acceder a tus datos sin el permiso del propio procesador. Esto hace más difícil que un virus que se instale en tu disco duro pueda acceder a tus claves criptográficas, ya que no tendrá contacto directo con el chip.
El chip TPM permite almacenar contraseñas de administrador, las de los sistemas DRM de protección de datos, o permitir el cifrado de unidades de almacenamiento o carpetas y archivos. También permite que los clientes con características de firma digital puedan enviar correos electrónicos de forma segura, o almacenar los datos biométricos de inicio de sesión.
Además, también permite almacenar certificados digitales.
TPM 2.0 se usa en Windows 11 para una serie de características, incluyendo Windows Hello para la protección de identidad y BitLocker para la protección de datos.
Lo que debes hacer es entrar en la BIOS de tu PC pulsando la tecla DEL o Supr o F12 (según el PC) mientras arranca el ordenador. Acceder al menú de Seguridad de la BIOS, y busca una opción llamada TPM, Trusted Platform Module o Módulo de Plataforma Segura / de Confianza.
Abrir el menú de inicio y escribir "tpm.msc". Aparecerá un programa con ese nombre y el icono de una llave y un microchip, y tendrás que pulsar en él para acceder. Si el programa te dice que No se encuentra TPM compatible significa que tu ordenador no tiene ese chip TPM.
QUE ES EL TPM 2.0 Y COMO SABER SI TU COMPUTADORA LO TIENE BIEN EXPLICADO 💻🖥💻🖥
ni palabra de los perjuicios claros que esto pueda tener para los usuarios si lo borrar por error o por ignorancia.
Las consecuencias claras son las mismas que si pierdes una contraseña... siempre y cuando tu sistema haya utilizao el TPM para almacenar contraseñas, claro está.
Clearing the TPM causes you to lose all created keys associated with the TPM, and data protected by those keys, such as a virtual smart card or a sign in PIN. Make sure that you have a backup and recovery method for any data that is protected or encrypted by the TPM.
Precauciones que debe tomar antes de borrar el TPM Borrar el TPM puede provocar la pérdida de datos. Para protegerse contra dicha pérdida, revise las siguientes precauciones:
Al borrar el TPM se pierden todas las claves creadas asociadas al TPM y los datos protegidos por dichas claves, como una tarjeta inteligente virtual o un PIN de inicio de sesión. Asegúrese de que tiene un método de copia de seguridad y recuperación para los datos protegidos o cifrados por el TPM.
No borre el TPM en un dispositivo que no sea de su propiedad, como un equipo de trabajo o de un centro educativo, sin que el administrador de TI le indique que lo haga.
Si desea suspender temporalmente las operaciones del TPM y tiene un TPM 1.2 con Windows 10, versión 1507 o 1511, o Windows 11, puede desactivar el TPM. Para obtener más información, consulte Desactivar el TPM, más adelante en este artículo.
Use siempre la funcionalidad del sistema operativo (como TPM.msc) para borrar el TPM. No borre el TPM directamente desde la UEFI.
Dado que el hardware de seguridad del TPM es una parte física del equipo, antes de borrar el TPM, es posible que desee leer los manuales o instrucciones que se han recibido con el equipo o buscar en el sitio web del fabricante.
Dicho esto, cabe mencionar que no necesitas tener TPM activado si así lo deseas, ni siquiera para instalar y posteriormente utilizar Windows 11 (se puede omitir el requisito del TPM en la instalación de Windows 11 de forma muy sencilla editando cierto archivo).
Ahora mi duda es si consigo desbloquear la contraseña del disco duro que no pueda acceder a la cuenta que Windows que tenga activada. Ignoro ademas si tiene Windows 10 u 11 o qué sistema de seguridad tenía activado, de seguro era de dynabook que es lo que usa el Toshiba.
No creo que se pueda ya que se supone que eliminaste todo rastro del contenido criptográfico protegido en el TPM. Pero tampoco pierdes nada por intentarlo mediante estas indicaciones:
No creo que se pueda ya que se supone que eliminaste todo rastro del contenido criptográfico protegido en el TPM. Pero tampoco pierdes nada por intentarlo mediante estas indicaciones:
-Enjuto Mojamuto "rey de los frikis" a su disposición para futuras dudas.
wow muchas gracias por la ayuda. Que gran aporte. No se me ocurrió tirar por el camino de bitlocker.
Como comentario personal creo que el chip TPM es un error a juzgar por los problemas que está causando a infinidad de usuarios. Se supone que está por seguridad no para que por la razón que sea los datos acaben siendo inaccesibles incluso para sus propios propietarios.
Lo que pasa es que la gente no entiende los procesos de cifrados. De seguro y les dicen, activa esta opción y listo, estás completamente seguro. La realidad es que el cifrado requiere una llave en específico y que esta llave necesita estar almacenada en algún lugar (generalmente seguro, sino para que hacer todo esto).
No puedes dejar la llave en el mismo medio cifrado porque entonces no la puedes leer, ya que necesitas esta misma llave para poder leer el disco, entonces habrá que ponerla en algún lado.
El chip entonces cumple su cometido, de almacenar la llave de manera segura. Técnicamente, no hace falta ponerla en el TPM, estoy seguro que hay equipos que no tienen TPM y podrías ponerla en una USB por ejemplo. Otra cosa es que Windows no lo permita...
Realmente solo es un problema si el modulo falla o si el usuario maneja mal la contraseña. Al final, la llave de cifrado es información que debe ser respaldada. Cualquier dato es propenso a perderse, ya sea que la guardes en tu cabeza o en cualquier otro tipo de memoria.
Y ese es el problema, la seguridad tiene un costo. El costo es que tiene que gestionar la llave de manera segura y la gente tiene muy mala practicas de gestión de la información. La solución simplemente es... no pagar por seguridad que no puede costear.
Claro que en tu caso, la culpa la has tenido 100% tú. Esto no fue culpa del sistema operativo, ni de la UEFI, ni de Microsoft. Tu has utilizado incorrectamente el sistema por tu propio desconocimiento. Y espero que tu contacto haya tenido respaldo de su información o al menos tenga una copia de la llave de bitlocker, porque sino te has cargado toda la info de tu contacto.
Lo que pasa es que la gente no entiende los procesos de cifrados. De seguro y les dicen, activa esta opción y listo, estás completamente seguro. La realidad es que el cifrado requiere una llave en específico y que esta llave necesita estar almacenada en algún lugar (generalmente seguro, sino para que hacer todo esto).
No puedes dejar la llave en el mismo medio cifrado porque entonces no la puedes leer, ya que necesitas esta misma llave para poder leer el disco, entonces habrá que ponerla en algún lado.
El chip entonces cumple su cometido, de almacenar la llave de manera segura. Técnicamente, no hace falta ponerla en el TPM, estoy seguro que hay equipos que no tienen TPM y podrías ponerla en una USB por ejemplo. Otra cosa es que Windows no lo permita...
Realmente solo es un problema si el modulo falla o si el usuario maneja mal la contraseña. Al final, la llave de cifrado es información que debe ser respaldada. Cualquier dato es propenso a perderse, ya sea que la guardes en tu cabeza o en cualquier otro tipo de memoria.
Y ese es el problema, la seguridad tiene un costo. El costo es que tiene que gestionar la llave de manera segura y la gente tiene muy mala practicas de gestión de la información. La solución simplemente es... no pagar por seguridad que no puede costear.
Claro que en tu caso, la culpa la has tenido 100% tú. Esto no fue culpa del sistema operativo, ni de la UEFI, ni de Microsoft. Tu has utilizado incorrectamente el sistema por tu propio desconocimiento. Y espero que tu contacto haya tenido respaldo de su información o al menos tenga una copia de la llave de bitlocker, porque sino te has cargado toda la info de tu contacto.
Pero hombre llevo trasteando con ordenadores desde hace ya 30 34 años desde el Spectrum pasando por el commodore, un Sharp de esos con cassete luego w95, w98, WMe, y hasta hoy. Como voy a imaginar que cambiando un valor el el Bios de 1 a 0 (que no recuerdo si por defecto estaba a 1) se vaya a borrar datos concernientes al sistema operativo o al disco. Como mucho piensas que pueda haber alguna incompatibilidad, obvio no tocaría cosas que pensase que pudiera dañar el ordenador como voltajes y cosas así, si estuvieran esas opciones. Si desactivas la cámara no funcionará pero solo es volver a activar y listo. Nada grave. Como voy a imaginar siquiera que darle Clear TPM borre contraseñas
De todos modos y tras mucho analizar el disco creo que está vacío, por alguna razón no se porqué está bloqueado según hdparm desde Linux. Debería decir 'not locked' pero pone:
Citar
Security: Master password revision code = 65534 supported enabled locked not frozen not expired: security count supported: enhanced erase Security level maximum
Como puede verse seguridad permitida y bloqueada. Sin embargo desde el principio al conectarlo no tiene partición, ni volumen, ni asignación. Nada. Aunque estuviera bloqueado debería tener volumen y letra al conectarlo como externo en otro ordenador ¿me equivoco? sin embargo no es así. Desde Windows no puedo usar este comando:
manage-bde -status c:
Porque no tiene letra alguna y no se puede asignar. Ni tampoco desde linux por cierto lo que pasa que en linux si que puedo hacer referencia con /dev/sde (en micaso)
« Última modificación: 18 Octubre 2022, 01:47 am por FJDA »
Pero hombre llevo trasteando con ordenadores desde hace ya 30 34 años desde el Spectrum pasando por el commodore, un Sharp de esos con cassete luego w95, w98, WMe, y hasta hoy. Como voy a imaginar que cambiando un valor el el Bios de 1 a 0 (que no recuerdo si por defecto estaba a 1) se vaya a borrar datos concernientes al sistema operativo o al disco. Como mucho piensas que pueda haber alguna incompatibilidad, obvio no tocaría cosas que pensase que pudiera dañar el ordenador como voltajes y cosas así, si estuvieran esas opciones. Si desactivas la cámara no funcionará pero solo es volver a activar y listo. Nada grave. Como voy a imaginar siquiera que darle Clear TPM borre contraseñas
Si acaso podrías argumentar que la interface debería haber sido más clara acerca de las cosas que se almacena en el TPM y/o quizás proteger la opción más... Pero el hecho es que el modulo sirve un propósito que tu desconocías y activaste una opción sin saber lo que hacia. El que tu hayas pensado que no puede existir una opción que dañe la información del sistema no significa nada. Realmente, el sistema no se ha vuelto inutilizable. Pero vas a necesitar formatear ese disco duro.
De todos modos y tras mucho analizar el disco creo que está vacío, por alguna razón no se porqué está bloqueado según hdparm desde Linux. Debería decir 'not locked' pero pone: Como puede verse seguridad permitida y bloqueada. Sin embargo desde el principio al conectarlo no tiene partición, ni volumen, ni asignación. Nada. Aunque estuviera bloqueado debería tener volumen y letra al conectarlo como externo en otro ordenador ¿me equivoco? sin embargo no es así. Desde Windows no puedo usar este comando:
manage-bde -status c:
Porque no tiene letra alguna y no se puede asignar. Ni tampoco desde linux por cierto lo que pasa que en linux si que puedo hacer referencia con /dev/sde (en micaso)
El nivel de seguridad está en máximo. Si el usuario no recuerda la contraseña entonces el disco duro no se puede leer a menos que hagas un borrado de seguridad, que se carga la info del disco duro. Aunque técnicamente hay formas de obtener la contraseña:
Citar
ATA password security can be broken in a number of ways:
While read/write operations to the drive are restricted, firmware updates are not. Hacked firmwares may be available that can remove or disable the ATA passwords. Hardware devices and software applications are readily available that can break the password through brute force, vendor back door passwords, and other techniques. Data recovery services can obtain a copy of the unencrypted data through direct platter observation. This method only applies to non-FDE disks. However, a number of these same services also advertise removal of unknown passwords and this would present a risk to FDE drives as well. Calling the manufacturer. Dell, for example, has a utility that uses the service tag of a computer to generate a master password, which can override an unknown password and provide access to the data. Dell also provides a configuration option (Security Erase) that will destroy all data on the drive if this master password is ever used, but implementation of such a feature by other manufacturers will vary.
Yo le pediría al dueño del disco duro la contraseña si es que se acuerda y la ha puesto el. Desconozco si BitLocker pone un seguro ATA encima del cifrado sobre el disco. Me resulta redundante pero puede ser que añada esa protección extra. Yo no creo que estés tratando con BitLocker, por lo tanto la contraseña no debe estar en el TPM (esta la puso el usuario lo mas probable).
En un disco bloqueado no hay comunicación con el dispositivo prácticamente. 0 I/0. Yo creo que en la lista de Hardware de Windows deberías poder ver que el HDD sigue apareciendo, pero obvio que no verás las particiones.
Yo le pediría al dueño del disco duro la contraseña si es que se acuerda y la ha puesto el. Desconozco si BitLocker pone un seguro ATA encima del cifrado sobre el disco. Me resulta redundante pero puede ser que añada esa protección extra. Yo no creo que estés tratando con BitLocker, por lo tanto la contraseña no debe estar en el TPM (esta la puso el usuario lo mas probable).
En un disco bloqueado no hay comunicación con el dispositivo prácticamente. 0 I/0. Yo creo que en la lista de Hardware de Windows deberías poder ver que el HDD sigue apareciendo, pero obvio que no verás las particiones.
muchas gracias, menos mal que puedo hablar con alguien que sabe algo del tema
No es un HDD, sino un SSD 2.M SATA. En cuanto al dueño, es algo imposible. Se trata de una compu que ha pasado de una persona a otra, la actual propietaria desconoce cual es la contraseña porque es una compu de empresa y ni idea de quien le puso la contraseña. Lo suyo seria borrarlo y punto pero entiendo que al ser un disco de portátil este tendrá el recovery para restaurarlo de fábrica. Por otro lado el hecho que esté bloqueado hace pensar que obviamente que quien se tomó tantas molestias escondía algo, ya que no se limitó a la típica contraseña de Windows de inicio de sesión.
No no fue con Bitlocker si no con una aplicación de Toshiba creo que podría ser HDD Protection Utility. No esta es una extraña aplicación no se muy bien para qué:
« Última modificación: 18 Octubre 2022, 15:00 pm por FJDA »
Si la partición de recuperación está en otro disco entonces quizás si puedas restaurarlo de fabrica. Pero usualmente, esa partición está dentro del mismo disco duro. Habrá herramientas de Toshiba quizás puedan restaurar el sistema de fabrica pero lo mas probable es que tengas que hacer un borrado seguro para dejar el disco utilizable.