RHEL6 LUKS 具有 TPM 支持吗?

RHEL6 LUKS 具有 TPM 支持吗?

我很惊讶这个问题并没有被更频繁地问到,但是(在 RHEL 中)LUKS 是否像 Windows BitLocker 那样支持 TPM?如果是,此功能是如何实现的?它是否提供与 BitLocker for Windows 相同类型的保护?

BitLocker 在企业中非常受欢迎,现在 RHEL6 的磁盘加密模块正在获得 FIPS 认证,如果它也支持相同的功能集那就太好了。

但是,我确实明白,按照 LUKS 的工作方式,并非每个卷都可以加密,因为系统需要读取/etc/fstab/etc/crypttab文件才能安装卷。我相信只要管理员选择的/home、 、 和其他目录被加密就可以了。/var

我觉得奇怪的是“TPM”不是服务器故障上的标签。

答案1

我已经实现了对在 TPM NVRAM 中存储 LUKS 密钥的支持,而 RHEL6 恰好是所有功能都经过全面测试的平台,请参阅这篇文章:

[1]https://security.stackexchange.com/a/24660/16522

答案2

这不受开箱即用的支持,但您可能可以一起破解一些东西。这个想法是将 LUKS 密钥密封在 TPM 中,然后设置一个可解锁密封密钥的可信启动路径。你需要安装可信GRUB,并编写一个密钥脚本,用于/etc/crypttab从 TPM 检索密钥。这一切都将发生在 initrd 中,因此可能需要包含 TPM 工具。这个帖子对基本 TPM 安装有很好的描述。

相关内容