Cơ chế phân cấp khóa này cho phép dữ liệu hay các khóa được mã hóa sao cho chúng chỉ có thể được giải mã thơng qua TPM. Trong hình vẽ, các dữ liệu được mã hóa sử dụng khóa lưu trữ SK cụ thể. Khóa SK này cũng được mã hóa và lưu bên ngồi TPM. Để truy nhập dữ liệu, khóa mã lưu trữSK được nạp vào trong TPM thông qua bộ quản lý bản sao khóa (Key cache manager) và giải mã bằng khóa lưu trữ gốc SRK. Do khóa SRK ln bên trong TPM và TPM được gắn cứng vào máy tính nên dữ liệu mã hóa chỉ có thể được giải mã từ máy tính đó.
TPM cung cấp hai cơ chế khác cho việc lưu trữ an toàn là gắn (binding) và đóng dấu (sealing). Thao tác gắn mã hóa dữ liệu sử dụng khóa được quản lý như cách nêu trên. Q trình đóng dấu mở rộng thêm bằng cách chỉ cho phép giải mã được tiến hành khi máy tính ở trạng thái xác định. Trạng thái này được thể hiện thông qua các dữ liệu lưu trong các thanh ghi PCR. Như vậy, khi dữ liệu được đóng dấu, khơng chỉ máy tính phải cùng cấu hình mà máy tính cịn phải ở trạng thái xác định trước trước khi dữ liệu có thể được giải mật.
b. Mã hóa ổ đĩa Bitlocker
Microsoft cung cấp dịch vụ mã hóa ổ cứng kết hợp với TPM để tăng khả năng bảo vệ dưới tên gọi Bitlocker. Điều này đảm bảo không chỉ dữ liệu người dùng mà còn chống lại việc xâm nhập máy tính khi hệ thống không hoạt động. Bitlocker có khả năng kiểm chứng tính tồn vẹn của file cho khởi động và hệ thống trước khi giải mã vùng lưu trữ được bảo vệ. Cách thức bảo vệ dữ liệu trên ổ đĩa sử dụng TPM diễn ra theo các bước như dưới đây.