VeraCrypt 使用不同的密钥加密每个扇区。这些不同的密钥是从一个主密钥派生的。主密钥本身存储在卷中，受卷密码（和/或密钥文件）保护。您引用的讨论是关于主密钥是否应该存储在 TPM 中，而不是通过密码或磁盘上的密钥文件进行加密。无论哪种情况，VeraCrypt 都需要 RAM 中的主密钥来派生扇区密钥。

让 TPM 计算扇区密钥确实是一种提高 RAM 转储安全性的选项，但我无法判断实用性（例如，我不知道 TPM 是否支持以合适的方式派生子密钥或引入的延迟）那）。然而，具有管理权限的攻击者可以开始向 TPM 请求一个扇区密钥（就像 truecrypt 一样）并记录它们。

你的第二个问题：硬件键盘记录器是一个独立的 USB 代理，安装在主板上的 USB 控制器和键盘之间（它甚至可能在机箱内，特别是如果键盘连接到通过电缆连接的前置端口到主板。

我对使用 TPM 的看法是，如果满足某些条件，它确实可以工作。这甚至适用于 TPM 仅保护主密钥的情况：如果您的计算机未被篡改（如 BIOS 中的软件键盘记录程序或未经授权的操作系统更改），TPM 应该分发主密钥。因此，TPM 应该使对检索主密钥的离线攻击成为不可能。TPM 仍然没有在将主密钥交给 VeraCrypt 后保护它。这个想法是操作系统中没有安全漏洞（已通过安全启动验证），并且密钥存储在内核内存中。操作系统还应该阻止用户模式进程读取内核模式内存，因此没有机会获得 VeraCrypt 主密钥。请注意“没有安全漏洞的操作系统”的非常大胆的假设，这对于当前的操作系统来说不太可能是正确的，因此整个论点都被打破了。似乎这还不够糟糕，即使是没有安全漏洞的操作系统也需要依赖硬件正常工作。如果硬件（如处理器或内存）在没有操作系统允许的情况下将内存内容暴露给用户空间进程，系统受到损害。而这恰恰可以通过最近对大部分计算机的 RowHammer 攻击来实现。

我预览了对 VeraCrypt UEFI 的 TPM 1.2 支持。

主要思想是在 PCRs 保护下的 TPM NVRAM 中设置秘密。它锁定引导链。因此修改 BIOS 和其他组件会导致授权被拒绝。