3

Спецификация довольно сложная. Программное обеспечение довольно чувствительное, поэтому я храню его в зашифрованном виде. Мое предположение было SecureBoot с моим собственным ключом платформы, чтобы гарантировать, что только мой подписанный загрузчик запускается, а затем сохранить основной диск (или даже только данные с программным обеспечением) в зашифрованном виде.

Проблема, конечно же, в ключе дешифрования. Могу ли я сохранить (связать или запечатать) его в доверенном платформенном модуле, чтобы сделать его дешифруемым только на этой платформе?

Благодаря SecureBoot, обеспечивающему запуск только моей неизмененной загрузки, моей загрузке, считывающей ключ дешифрования из TPM, и некоторому виду датчика, который вызывает стирание прошивки (или сброс TPM) в случае ее открытия, у меня должна быть коробка с умеренной безопасностью. Это не остановит правительственного актера, но должно остановить случайные взломы.

Могу ли я использовать TPM для этого? Как мне это сделать?

1 ответ1

1

Короткий ответ: да. Вот мой дизайн.

  • SecureBoot включен
  • PK и все остальные ключи заменяются только своими ключами
  • UEFI защищен невероятно длинным паролем для предотвращения несанкционированных изменений
  • Загрузочный диск имеет небольшой раздел загрузчика grub, который не зашифрован
  • Загрузочный файл .uefi имеет цифровую подпись моего личного ключа.
  • Загрузочный .uefi настроен на дешифрование зашифрованного LUKS другого раздела на диске, извлекая ключ из TPM
  • Ключ загружается в TPM для точного соответствия текущему состоянию ПЗУ +UEFI + загрузочный раздел + предупреждение о закрытии корпуса не выключено + периферия + grub

Таким образом, будет загружаться только моя ОС, если вы сделаете даже малейшее изменение, вы не сможете получить ключ дешифрования (потому что хэши не будут совпадать).

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .