我最近在购买服务器,所有服务器都配有支持 TCG Opal 全盘加密(又称 SED)的磁盘。我想要做的是:
- 将静态加密数据存储在磁盘(NVMe 和 SAS)上。
- 不需要在服务器启动时输入密码/密码短语。
- 将加密密钥存储在服务器的 TPM 2.0 模块中。
简单来说,目标是将数据“锁定”到服务器上,确保如果磁盘被移除并插入另一台机器,数据将无法访问。我见过sedutil但还没有尝试过,因为它似乎要求每次启动时都输入密码。我有数百台服务器想要启用此功能,因此在重新启动时必须输入密码(是每个磁盘的密码吗?)不是一个选项。TPM 似乎是存储此类内容的自然场所,所以我想知道是否有人做过类似的事情。我能找到的唯一参考资料是这份 Micron 白皮书。所有服务器都运行 Ubuntu 16.04 (Xenial)。如果这很重要的话,每个服务器都有多个磁盘。
答案1
虽然晚了几年,但根据您的服务器配置,带有 SafeStore 的 Broadcom RAID 控制器(如 9540-8i 或 9560-8i)应该是您的解决方案。它不是将密钥存储在 TPM 中,而是提供自己的安全模块。但您的无密码启动和磁盘移除后无法读取磁盘的要求应该可以满足。
注意:如果攻击者还移除了控制卡,则可能可以访问数据。我尚未验证这一点。