Posso salvar uma senha ou chave LUKS (ou outra criptografia) no TPM?

3

A especificação é bastante complexa. O software é bastante sensível, então eu o mantenho em um volume criptografado. Minha suposição era SecureBoot com minha própria chave de plataforma para garantir que apenas meu carregador de inicialização assinado fosse executado e, em seguida, manter o disco principal (ou até mesmo apenas os dados com o software) criptografado.

O problema, claro, é a chave de descriptografia. Posso armazenar (ligar ou selar) no TPM, tornando-o decrescível somente nesta plataforma?

Com o SecureBoot garantindo que somente minha inicialização não modificada esteja em execução, minha inicialização lendo a chave de descriptografia do TPM e alguma forma de sensor que faz com que o firmware seja apagado (ou o TPM seja reiniciado) se eu tiver uma moderada caixa segura. Isso não vai parar um ator do governo, mas deve parar de rachaduras casuais.

Posso usar o TPM para isso? Como eu faria isso?

    
por deitch 17.02.2016 / 18:03

1 resposta

1

A resposta curta é sim. Aqui está o meu design.

  • SecureBoot ativado
  • PK e todas as outras chaves substituídas por minhas próprias chaves somente
  • UEFI protegido por senha impossivelmente longa para impedir alterações não autorizadas
  • O disco de inicialização tem uma pequena partição bootloader grub não criptografada
  • O arquivo .uefi de inicialização é assinado digitalmente pela minha chave privada
  • O boot .uefi está configurado para descriptografar outra partição criptografada pelo LUKS no disco, recuperando a chave do TPM
  • A chave é carregada no TPM para corresponder ao estado atual exato da partição de inicialização ROM + UEFI + + alerta fechado do chassi não ativado + periféricos + grub

Dessa forma, somente meu sistema operacional será carregado, se você fizer a menor alteração, não poderá recuperar a chave de descriptografia (porque os hashes não corresponderão).

    
por 11.03.2016 / 06:19