Implementei suporte para armazenar sua chave LUKS no TPM NVRAM, e o RHEL6 é a única plataforma em que todos os recursos são totalmente testados, veja este post:
[1] link
Surpreende-me que esta pergunta não seja feita com mais frequência, mas (no RHEL) o LUKS suporta o TPM da mesma forma que o Windows BitLocker faz? Em caso afirmativo, como esse recurso é implementado e ele fornece o mesmo tipo de proteção que o BitLocker para Windows fornece?
O BitLocker é muito popular entre as empresas, e agora que o RHEL6 está obtendo a certificação FIPS para os módulos de criptografia de disco, seria ótimo se também suportasse o mesmo conjunto de recursos.
No entanto, eu entendo que com a maneira como o LUKS funciona, nem todo volume pode ser criptografado, já que o sistema precisaria ler os arquivos /etc/fstab
e /etc/crypttab
para montar os volumes. Acredito que isso esteja OK, desde que /home
, /var
e outros diretórios escolhidos pelo administrador sejam criptografados.
Acho estranho que "TPM" não seja uma tag no serverfault.
Implementei suporte para armazenar sua chave LUKS no TPM NVRAM, e o RHEL6 é a única plataforma em que todos os recursos são totalmente testados, veja este post:
[1] link
Isso não é suportado na caixa, mas você provavelmente pode hackear algo juntos. A ideia é selar a chave LUKS no TPM e, em seguida, configurar um caminho de inicialização confiável que desbloqueia a chave lacrada. Você precisará instalar o TrustedGRUB e escrever um código-chave para /etc/crypttab
, que recupera a chave do TPM. Isso tudo acontecerá no initrd, então provavelmente será necessário incluir as ferramentas do TPM. Este post tem uma boa descrição da instalação básica do TPM.
Tags encryption lvm luks rhel