TPM 2.0实例探索2 —— LUKS磁盘加密(2)

已于 2023-02-23 16:24:14 修改
阅读量962 收藏 3
点赞数 1
CC 4.0 BY-SA版权
分类专栏: 磁盘加密 TPM 文章标签: TPM LUKS
于 2023-02-22 12:10:49 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/phmatthaus/article/details/129157407
本文介绍了如何使用LUKS进行磁盘加密,首先创建了一个无保护的文件系统,然后通过LUKS添加加密保护,防止敏感数据泄露。LUKS卷可以在Linux发行版中自动挂载,密码可通过交互式输入或密钥文件提供。虽然LUKS提供了数据机密性,但明文密码存储仍是安全隐患。后续文章将探讨结合TPM 2.0如何增强安全性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

接前文:TPM 2.0实例探索2 —— LUKS磁盘加密(1)

本文大部分内容参考:

Code Sample: Protecting secret data and keys using Intel® Platform...

Linux下使用cryptsetup对磁盘进行加密-良许Linux教程网

二、LUKS磁盘加密实例

磁盘加密保护存储设备不被挂载到可替代的被黑客控制的操作环境中,在此环境下黑客可以观察并篡改敏感信息。本用例将选用一个基本的没有保护的回环挂载的文件系统,然后逐渐添加更强更健壮的保护措施于其上。假设讨论的目的是此回环挂载

了解本专栏 订阅专栏 解锁全文 超级会员免费看
TPM 2.0实例探索2 —— LUKS磁盘加密(3)
phmatthaus的专栏
02-22 1684
将密码存储于TPMLUKS
TPM 2.0实例探索2 —— LUKS磁盘加密(1)
phmatthaus的专栏
02-22 1313
本文对LUKS行了系统介绍
tpm2-utils:用于TPM 2.0设备Linux实用程序
05-22
tpm2-utils 令人惊讶的是,很少有实用程序可以与TPM 2.0设备交互。 该存储库当前包含一个程序,但将来可能会添加更多程序。 您可能需要Linux 4.0或更高版本。 另请参见 tpm2测试 一个简单的工具,可用来测试TPM 2.0设备是否正常运行。 它将对两个TPM_CC_GetCapability请求输出原始响应。
微软Windows 10最低配置升级 要求TPM2.0加密芯片提升安全性
weixin_34283445的博客
07-05 2666
微软向OEM厂商发布了最新的Windows 10最低配置要求,增加了2GB以上内存和配备TPM 2.0加密芯片的要求,TPM 2.0加密是硬件级的安全措施,能够有效提高系统安全性,为Windows Hello验证功能提供支持,并保证软件安全方案难以攻破。今后不配备TPM 2.0加密芯片的Windows 10 PC,智能手机和平板硬件产品都将被视为“非Wi...
【亲测免费】 TPM-LUKS简介及特点
gitblog_00014的博客
03-16 400
TPM-LUKS简介及特点 TPM(Trusted Platform Module)是一种硬件安全模块,它可以用于加密存储设备,如硬盘、SSD等。LUKS(Linux Unified Key Setup)是Linux系统中常用的磁盘加密方式之一。 项目链接: 项目介绍 TPM-LUKS是一个开源项目,旨在利用TPM硬件安全模块为LUKS提供更强的安全性。该项目由Shped Oleg开发并维护。 功...
TPM 2.0实例探索3 —— LUKS磁盘加密(4)
phmatthaus的专栏
03-02 1173
TPM 2.0实例探索3 —— LUKS磁盘加密(4) 将密码存储于TPM的PCR
TPM 2.0实例探索3 —— LUKS磁盘加密(5)
phmatthaus的专栏
03-03 822
TPM 2.0实例探索3 —— LUKS磁盘加密(5) 将密码存储于TPM的PCR
LUKS磁盘加密
weixin_45022883的博客
06-30 1409
磁盘加密 本片主要介绍linux下基础知识–使用luks磁盘加密 LUKS LNKS(Linux Unified Key Setup)是在2004年创建的磁盘加密规范,最初用于linux,虽然大多数硬盘加密软件实现了不同的、不兼容的和无文档的格式,但 LUKS 实现了独立于平台的标准磁盘格式,通过提供标准的磁盘格式,它不仅方便了发行版之间的兼容性,而且还提供了对多个用户密码的安全管理。LUKS 将所有必要的设置信息存储在分区头中,从而实现数据的无缝传输或迁移。 LUKS主页:https://gitlab.
新的TPM 2.0漏洞可能让黑客窃取加密密钥
热门推荐
网络研究观
03-06 1万+
TPM 是一种基于硬件的技术,可为操作系统提供防篡改安全加密功能。
luks-tpm2:用于管理由TPM 2.0密封的LUKS密钥的实用程序
05-11
卢克斯TPM2 一个小的实用程序脚本,用于管理由TPM 2.0密封的LUKS密钥文件。 该脚本假定您在引导过程中将使用密封的密钥文件或存储在TPM中的密钥来解锁根文件系统。 它打算用作内核更新过程的一部分,以生成针对新内核的PCR值密封的密钥。 要求 该脚本要求: v4 TPM 2.0TPM 2.0模拟器 更新过程 该脚本促进了各种内核更新流程。 例如,您可以在更新过程中以交互方式设置一个临时密码: 内核已更新 手动或通过更新挂钩调用luks-tpm2 temp ,并设置一个临时LUKS密码 系统重新启动到新内核中 由于TPM PCR已更改,因此无法打开旧密钥文件 用户输入临时密码来解锁磁盘 调用luks-tpm2 reset ,生成一个新的密钥文件,该文件由TPM密封并删除临时密码 或者,可以使用外部命令预先计算新内核的PCR值。 下面的示例使用 : 内核已更新 luks-t
TPM 2.0 规范 完整版
10-05
这是TPM 2.0 的完整规范文档,包括代码注解。 TPM-Rev-2.0-Part-1-Architecture-01.38 TPM-Rev-2.0-Part-2-Structures-01.38 TPM-Rev-2.0-Part-3-Commands-01.38 TPM-Rev-2.0-Part-3-Commands-01.38-code TPM-Rev-2.0-Part-4-Supporting-Routines-01.38 TPM-Rev-2.0-Part-4-Supporting-Routines-01.38-code
计算机怎么给硬盘加密,电脑上的硬盘如何加密?几种文件加密的方法
weixin_32557421的博客
07-15 7598
随着互联网的飞速发展,人们逐渐发现各种信息传播都会快,隐私一不留神就会泄漏。但无论是生活中,还是工作中,每一个人都会有一些敏感文件不想让其他人看到,所以现在很多人都想到了给私密文件进行加密,保护自己的隐私。不过现在有很多读者对文件加密的方法还不太了解,所以今天笔者就为大家介绍几种文件加密的方法,让大家远离各种“门”。Windows加密从Windows Vista时代开始,微软系统就会自带一个Bit...
linux 下 tpm测试,ubuntu16.04上TPM2.0软件包及TPM模拟器实验
weixin_28304023的博客
05-13 3276
pre-install:安装依赖包:apt install lcov pandoc autoconf-archive liburiparser-dev libdbus-1-dev libglib2.0-dev dbus-x11 libssl-dev \autoconf automake libtool pkg-config gcc libcurl4-gnutls-dev libgcrypt20-...
为什么要为计算机加密,什么是TPM,为什么Windows需要一个磁盘加密
weixin_39790760的博客
07-27 4196
TPMTrusted Platform Module受BitLocker磁盘加密通常需要Windows上的TPM。 微软的EFS加密不能使用TPM。 新的Windows 10和8.1“设备加密”功能还需要一个现代化的TPM,这就是为什么它只是在新的硬件功能。 但是什么是TPMTPM代表“可信平台模块”。 它是您的计算机主板上的一个芯片,有助于启用防篡改全磁盘加密,而不需要极长的密码。究竟是什么?...
Linux与TPM2芯片
chenni6626的专栏
01-14 215
导读 TPM(Total Productive Maintenance)是“全员共同参与的生产性维护和管理”的简称,是一套综合性的企业管理体系,以帮助我们建立并维护适合本企业经营和发展的各类管理系统 。 微软前不久更新了Windows 10...
TPM2.0模拟器的使用与分析(保姆级教程)
qq_62736920的博客
12-25 6779
TPM2.0模拟器的使用与分析
linux下测试tpm,TPM笔记(2)--TPM安装手册
weixin_34582773的博客
05-12 3155
判断机器上是否有TPM芯片的简单方法查看BIOS-Security中是否有TPM设置选项。TPM真实开发环境构建手册实验环境:Ubuntu 11.10Linux Kernel 3.0.0软件包准备:(两条重要的命令,”apt-get install”, “apt-cache search”)trousers-0.3.7.tar.gz(必备)tpm-tools-1.3.5.tar.gz(必备,主要用...
How to use TPM2 tool in Linux
天九歌
12-15 9996
Is Trusted Platform Module (TPM) supported by Red Hat?  SOLUTION UNVERIFIED - Updated 2017年9月1日 -  English  Environment Red Hat Enterprise Linux Issue What is the current status of R
在vm虚拟机中的ubuntu系统是否可以使用?如果可以,他的密钥从哪里来的?
最新发布
03-12
<think>好的,用户之前问过关于/sys/kernel/config/tsm的工作原理,现在接着问在VM虚拟机中的Ubuntu系统是否可以使用这个TSM,以及密钥来源。首先需要确认TSM的功能是否依赖硬件,比如TPM模块。 用户可能想知道在虚拟化环境中能否进行类似物理机的安全操作。VM通常模拟硬件,但TPM需要特定的支持,比如vTPM。需要检查Ubuntu虚拟机是否配置了vTPM,比如通过VMware或VirtualBox的选项。 然后,密钥来源的问题。如果虚拟机启用了vTPM,那么密钥可能由虚拟的TPM生成和管理,类似于物理TPM。需要解释vTPM的工作原理,以及它如何为虚拟机提供安全功能。 另外,要考虑用户的使用场景,比如他们是否在测试安全应用,或者需要可信计算环境。可能需要说明在虚拟机中使用TSM的局限性,比如依赖Hypervisor的安全性和vTPM的实现。 还需要验证Linux内核是否支持TSM模块,以及Ubuntu版本是否包含相关驱动。可能需要指导用户检查内核配置或模块加载情况。 最后,总结虚拟机中的可行性,强调vTPM的作用和密钥生成过程,确保回答清晰且覆盖用户可能的疑问点。</think>### **虚拟机中 Ubuntu 使用 TSM 的可行性及密钥来源** --- #### **1. 虚拟机是否支持 TSM?** - **支持条件**: 虚拟机(VM)中的 Ubuntu 能否使用 `/sys/kernel/config/tsm` 取决于 **虚拟化环境是否模拟了可信硬件**(如虚拟 TPM、SEV 等)。 - **物理 TPM 直通**: - 若宿主机有物理 TPM 芯片,且虚拟机通过 **PCI 直通**(如 Intel VT-d/AMD-Vi)独占访问 TPM,则虚拟机可直接使用 TSM。 - **限制**:需要 Hypervisor(如 KVM、VMware)支持硬件直通,且 TPM 资源不能同时分配给多个虚拟机。 - **虚拟 TPM(vTPM)**: - 主流虚拟化平台(VMware、Hyper-V、QEMU/KVM)支持 **虚拟化 TPM**(vTPM),通过软件模拟或固件实现 TPM 功能。 - **实现方式**: - **QEMU/KVM**:使用 `swtpm` 或 `libtpms` 模拟 TPM 2.0 设备。 - **VMware**:通过 `vSphere` 配置 vTPM(需启用 Secure Boot)。 - **Hyper-V**:基于虚拟化安全功能(如 Shielded VM)提供 vTPM。 - **验证方法**: 在 Ubuntu 虚拟机中检查 TPM 设备是否存在: ```bash ls /dev/tpm* # 查看 TPM 设备节点 dmesg | grep -i tpm # 检查内核是否识别 TPM ``` --- #### **2. 密钥来源** 虚拟机中 TSM 使用的密钥来源分两种情况: ##### **情况 1:使用虚拟 TPM(vTPM)** - **密钥生成**: vTPM 会在虚拟机首次启动时生成 **虚拟 Endorsement Key (EK)** 和 **Storage Root Key (SRK)**,这些密钥存储在 **虚拟 NVRAM** 中。 - **存储位置**: - QEMU/KVM:默认保存在宿主机磁盘文件(如 `vtpm.bin`)中,加密后需由用户管理。 - VMware/Hyper-V:由 Hypervisor 安全存储(如 VMware 的加密虚拟机文件)。 - **密钥特点**: - **绑定虚拟机实例**:vTPM 密钥与虚拟机配置强关联,迁移虚拟机时需同步 vTPM 数据。 - **隔离性**:不同虚拟机的 vTPM 彼此隔离,密钥不可跨虚拟机使用。 ##### **情况 2:物理 TPM 直通** - **密钥生成**: 直接使用物理 TPM 的密钥(如 EK、AIK),与宿主机物理 TPM 的密钥相同。 - **风险**:若多个虚拟机共享同一物理 TPM,可能引发密钥冲突或安全策略冲突。 --- #### **3. 配置示例(QEMU/KVM + vTPM)** **步骤 1:宿主机安装 swtpm** ```bash sudo apt install swtpm swtpm-tools # Ubuntu/Debian ``` **步骤 2:为虚拟机创建 vTPM 数据文件** ```bash mkdir -p ~/vtpm swtpm_setup --tpm2 --tpmstate ~/vtpm/myvm --createek ``` **步骤 3:启动 QEMU 虚拟机并附加 vTPM** ```bash qemu-system-x86_64 \ ...其他参数 \ -chardev socket,id=chrtpm,path=/tmp/swtpm-myvm.sock \ -tpmdev emulator,id=tpm0,chardev=chrtpm \ -device tpm-tis,tpmdev=tpm0 ``` **步骤 4:虚拟机内验证 TSM** ```bash # 检查 TPM 设备 ls /dev/tpm0 # 使用 tpm2-tools 测试 sudo apt install tpm2-tools tpm2_getrandom --hex 8 # 生成随机数 ``` --- #### **4. 安全性分析** | 场景 | 优势 | 风险 | |------------|-------------------------------|-------------------------------| | **物理 TPM 直通** | 直接依赖硬件安全模块 | TPM 资源竞争、迁移复杂性高 | | **虚拟 TPM** | 灵活部署、支持快照和迁移 | 依赖 Hypervisor 安全性,vTPM 数据文件需加密存储 | --- #### **5. 典型应用场景** 1. **远程证明(Remote Attestation)**: 云服务器通过 vTPM 生成可信报告,向客户端证明虚拟机完整性。 2. **密钥保护**: 在虚拟机内使用 TSM 管理加密密钥(如 LUKS 磁盘加密的密钥解封)。 3. **机密计算**: 结合 SEV(AMD Secure Encrypted Virtualization)技术,实现虚拟机内存加密。 --- ### **总结** - **虚拟机可用性**:Ubuntu 虚拟机可通过 **vTPM 或物理 TPM 直通** 使用 TSM 功能。 - **密钥来源**: - **vTPM**:由虚拟化软件生成并隔离存储,绑定到特定虚拟机实例。 - **物理 TPM 直通**:直接使用物理 TPM 的密钥,需避免资源冲突。 - **依赖条件**:需虚拟化平台支持 TPM 模拟或直通,并正确配置安全存储。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

蓝天居士

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值