3

Спецификация довольно сложная. Программное обеспечение довольно чувствительное, поэтому я храню его в зашифрованном виде. Мое предположение было SecureBoot с моим собственным ключом платформы, чтобы гарантировать, что только мой подписанный загрузчик запускается, а затем сохранить основной диск (или даже только данные с программным обеспечением) в зашифрованном виде.

Проблема, конечно же, в ключе дешифрования. Могу ли я сохранить (связать или запечатать) его в доверенном платформенном модуле, чтобы сделать его дешифруемым только на этой платформе?

Благодаря SecureBoot, обеспечивающему запуск только моей неизмененной загрузки, моей загрузке, считывающей ключ дешифрования из TPM, и некоторому виду датчика, который вызывает стирание прошивки (или сброс TPM) в случае ее открытия, у меня должна быть коробка с умеренной безопасностью. Это не остановит правительственного актера, но должно остановить случайные взломы.

Могу ли я использовать TPM для этого? Как мне это сделать?

|источник

1 ответ1

1

Короткий ответ: да. Вот мой дизайн.

  • SecureBoot включен
  • PK и все остальные ключи заменяются только своими ключами
  • UEFI защищен невероятно длинным паролем для предотвращения несанкционированных изменений
  • Загрузочный диск имеет небольшой раздел загрузчика grub, который не зашифрован
  • Загрузочный файл .uefi имеет цифровую подпись моего личного ключа.
  • Загрузочный .uefi настроен на дешифрование зашифрованного LUKS другого раздела на диске, извлекая ключ из TPM
  • Ключ загружается в TPM для точного соответствия текущему состоянию ПЗУ +UEFI + загрузочный раздел + предупреждение о закрытии корпуса не выключено + периферия + grub

Таким образом, будет загружаться только моя ОС, если вы сделаете даже малейшее изменение, вы не сможете получить ключ дешифрования (потому что хэши не будут совпадать).

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .