Спецификация довольно сложная. Программное обеспечение довольно чувствительное, поэтому я храню его в зашифрованном виде. Мое предположение было SecureBoot с моим собственным ключом платформы, чтобы гарантировать, что только мой подписанный загрузчик запускается, а затем сохранить основной диск (или даже только данные с программным обеспечением) в зашифрованном виде.
Проблема, конечно же, в ключе дешифрования. Могу ли я сохранить (связать или запечатать) его в доверенном платформенном модуле, чтобы сделать его дешифруемым только на этой платформе?
Благодаря SecureBoot, обеспечивающему запуск только моей неизмененной загрузки, моей загрузке, считывающей ключ дешифрования из TPM, и некоторому виду датчика, который вызывает стирание прошивки (или сброс TPM) в случае ее открытия, у меня должна быть коробка с умеренной безопасностью. Это не остановит правительственного актера, но должно остановить случайные взломы.
Могу ли я использовать TPM для этого? Как мне это сделать?