Posso salvar uma senha ou chave LUKS (ou outra criptografia) no TPM?

Question

Posso salvar uma senha ou chave LUKS (ou outra criptografia) no TPM?

#1 resposta do (1 votos)

3

A especificação é bastante complexa. O software é bastante sensível, então eu o mantenho em um volume criptografado. Minha suposição era SecureBoot com minha própria chave de plataforma para garantir que apenas meu carregador de inicialização assinado fosse executado e, em seguida, manter o disco principal (ou até mesmo apenas os dados com o software) criptografado.

O problema, claro, é a chave de descriptografia. Posso armazenar (ligar ou selar) no TPM, tornando-o decrescível somente nesta plataforma?

Com o SecureBoot garantindo que somente minha inicialização não modificada esteja em execução, minha inicialização lendo a chave de descriptografia do TPM e alguma forma de sensor que faz com que o firmware seja apagado (ou o TPM seja reiniciado) se eu tiver uma moderada caixa segura. Isso não vai parar um ator do governo, mas deve parar de rachaduras casuais.

Posso usar o TPM para isso? Como eu faria isso?

encryption tpm disk-encryption

por deitch 17.02.2016 / 18:03

1 resposta

Tags encryption tpm disk-encryption

O computador faz um barulho estranho Fundindo Scripts ... Tipo Errado de Objeto-Arquivo (Talvez)?

score 1 · Answer 1

A resposta curta é sim. Aqui está o meu design.

SecureBoot ativado
PK e todas as outras chaves substituídas por minhas próprias chaves somente
UEFI protegido por senha impossivelmente longa para impedir alterações não autorizadas
O disco de inicialização tem uma pequena partição bootloader grub não criptografada
O arquivo .uefi de inicialização é assinado digitalmente pela minha chave privada
O boot .uefi está configurado para descriptografar outra partição criptografada pelo LUKS no disco, recuperando a chave do TPM
A chave é carregada no TPM para corresponder ao estado atual exato da partição de inicialização ROM + UEFI + + alerta fechado do chassi não ativado + periféricos + grub

Dessa forma, somente meu sistema operacional será carregado, se você fizer a menor alteração, não poderá recuperar a chave de descriptografia (porque os hashes não corresponderão).