在DMcrypt中使用TPM？

Question

是否可以使用TPM来存储某些私钥？这不是一个全磁盘加密，我希望它与现有的LUKS兼容，只需添加另一个密钥，并将其存储在TPM中。

Answer 1

尝试tpm-luks 1，这是一个脚本，将有助于存储一个新的秘密，无论是在TPM的NVRAM和一个LUKS键槽。

这应该能起作用：

$ tpm-luks -c -d <device>

你可以通过以下方式找到你的LUKS设备：

# blkid -t TYPE=crypto_LUKS

我最近发布了tpm-luks，所以它只在git ATM中可用。

1

Answer 2

据我所知，在实践中没有什么能阻止这一点，但代码尚未编写。不过，您可以在http://publib.boulder.ibm.com/infocenter/lnxinfo/v3r0m0/index.jsp?topic=%2Fliaai%2Fecrypts%2Fliaaiecryptfs.htm上看看

这样做的想法是使用tpm_sealdata加密文件，然后只有在没有篡改引导的情况下才能解锁。

您可能需要使用补丁版本的grub，称为可信grub。我不认为这是集成到grub2中的。

一旦该文件被解锁，您就可以将它作为密码设置的密钥提供给它，如果它失败了，则运行常规的“询问密码”对话框，从而允许在硬件被篡改时启动。当然，这意味着默认情况下系统将在没有密码的情况下启动。

Answer 3

FYI，随着对tpm-luks的小改动，我让它与我们的应用程序一起工作，以保护TPM NVRAM中根分区的LUK密钥。剧本很有魅力。如果不是根分区，但可能是其他分区或文件，这很容易。我将密钥绑定到基于PCRs 0和12和13的NVRAM中。请注意，您的BIOS应该符合NIST SP800147-一些MITRE研究人员发现了一个漏洞。