RHEL6 LUKS com suporte a TPM?

7

Surpreende-me que esta pergunta não seja feita com mais frequência, mas (no RHEL) o LUKS suporta o TPM da mesma forma que o Windows BitLocker faz? Em caso afirmativo, como esse recurso é implementado e ele fornece o mesmo tipo de proteção que o BitLocker para Windows fornece?

O BitLocker é muito popular entre as empresas, e agora que o RHEL6 está obtendo a certificação FIPS para os módulos de criptografia de disco, seria ótimo se também suportasse o mesmo conjunto de recursos.

No entanto, eu entendo que com a maneira como o LUKS funciona, nem todo volume pode ser criptografado, já que o sistema precisaria ler os arquivos /etc/fstab e /etc/crypttab para montar os volumes. Acredito que isso esteja OK, desde que /home , /var e outros diretórios escolhidos pelo administrador sejam criptografados.

Acho estranho que "TPM" não seja uma tag no serverfault.

    
por Phanto 13.12.2011 / 15:21

2 respostas

7

Implementei suporte para armazenar sua chave LUKS no TPM NVRAM, e o RHEL6 é a única plataforma em que todos os recursos são totalmente testados, veja este post:

[1] link

    
por 28.11.2012 / 18:38
1

Isso não é suportado na caixa, mas você provavelmente pode hackear algo juntos. A ideia é selar a chave LUKS no TPM e, em seguida, configurar um caminho de inicialização confiável que desbloqueia a chave lacrada. Você precisará instalar o TrustedGRUB e escrever um código-chave para /etc/crypttab , que recupera a chave do TPM. Isso tudo acontecerá no initrd, então provavelmente será necessário incluir as ferramentas do TPM. Este post tem uma boa descrição da instalação básica do TPM.

    
por 07.06.2012 / 02:56