TPM 2.0实例探索2 —— LUKS磁盘加密(3)

已于 2023-03-01 17:46:06 修改
阅读量1.6k 收藏 4
点赞数
CC 4.0 BY-SA版权
分类专栏: TPM 磁盘加密 文章标签: TPM LUKS
于 2023-02-22 18:32:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/phmatthaus/article/details/129163873
本文介绍了如何使用TPM 2.0来存储LUKS磁盘加密的密码,通过创建密封对象、加密密钥、加载公钥到TPM并替换旧密钥,实现自动化解密过程,增强了系统安全性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

接前文:TPM 2.0实例探索2 —— LUKS磁盘加密(2)

本文大部分内容参考:

Code Sample: Protecting secret data and keys using Intel® Platform...

二、LUKS磁盘加密实例

3. 将密码存储于TPM的LUKS

由于自动挂载需要在运行时提供一个口令(密码)或密钥以执行cryptsetup命令而无需用户交互,它必须在某种程度上是明确的。一个方法被需要以在运行时加密口令或密钥直到它被需要以解密卷。此种方法也保护磁盘与其安装到的系统相分离的情况。这个方法是TPM。

改进的解决方案包括以下两步:

  1. 密封口令或密钥文件到TPM中。
  2. 解密存于内存中的秘密并将其传递给cryptsetup。

了解本专栏 订阅专栏 解锁全文 超级会员免费看
TPM 2.0实例探索2 —— LUKS磁盘加密(1)
phmatthaus的专栏
02-22 1322
本文对LUKS行了系统介绍
TPM 2.0实例探索2 —— LUKS磁盘加密2
phmatthaus的专栏
02-22 967
LUKS磁盘加密实例
luks-tpm2:用于管理由TPM 2.0密封的LUKS密钥的实用程序
05-11
卢克斯TPM2 一个小的实用程序脚本,用于管理由TPM 2.0密封的LUKS密钥文件。 该脚本假定您在引导过程中将使用密封的密钥文件或存储在TPM中的密钥来解锁根文件系统。 它打算用作内核更新过程的一部分,以生成针对新内核的PCR值密封的密钥。 要求 该脚本要求: v4 TPM 2.0TPM 2.0模拟器 更新过程 该脚本促进了各种内核更新流程。 例如,您可以在更新过程中以交互方式设置一个临时密码: 内核已更新 手动或通过更新挂钩调用luks-tpm2 temp ,并设置一个临时LUKS密码 系统重新启动到新内核中 由于TPM PCR已更改,因此无法打开旧密钥文件 用户输入临时密码来解锁磁盘 调用luks-tpm2 reset ,生成一个新的密钥文件,该文件由TPM密封并删除临时密码 或者,可以使用外部命令预先计算新内核的PCR值。 下面的示例使用 : 内核已更新 luks-t
Linux数据加密与备份
最新发布
Made In SQL
06-16 882
数据加密与备份是Linux安全的核心环节。关键要点包括:1)‌存储加密‌:使用LUKS磁盘分区加密,确保物理设备丢失时数据不可读;2)‌传输加密‌:通过SSH/SSL/TLS保护数据传输,避免中间人攻击;3)‌备份策略‌:采用3-2-1原则(3份备份、2种介质、1份离线),结合tar或rsync加密压缩敏感数据,并定期测试恢复流程。推荐工具如VeraCrypt(文件级加密)和BorgBackup(去重加密备份),同时将加密密钥与备份数据分离存储。
LUKS加密
教Linux的李老师
09-25 3071
LUKS 是 Linux 用户中流行的磁盘加密机制。在 Linux 上,LUKS 是最常用的磁盘加密方式。LUKS的功能直接内置于内核中。LUKS 有两个版本,LUKS2 具有更强的头部损坏抗击性,并默认使用 Argon2[4] 加密算法(LUKS1 使用 PBKDF2[5])。在某些情况下,可以在两个版本之间进行转换,但是 LUKS1 可能不支持某些功能。
luks 加密
xys2333的博客
11-13 6073
 LUKS(Linux Unified Key Setup)为Linux硬盘加密提供了一种标准,它不仅能通用于不同的Linux发行版本,还支持多用户/口令。因为它的加密密钥独立于口令,所以如果 口令失密,我们可以迅速改变口令而无需重新加密真个硬盘。通过提供一个标准的磁盘上的格式,它不仅方便之间分布的兼容性,而且还提供了多个用户密码的安全 管理。必须首先对加密的卷进行解密,才能挂载其中的文件系统。 ...
TPM 2.0实例探索3 —— LUKS磁盘加密(4)
phmatthaus的专栏
03-02 1175
TPM 2.0实例探索3 —— LUKS磁盘加密(4) 将密码存储于TPM的PCR
TPM 2.0实例探索3 —— LUKS磁盘加密(5)
phmatthaus的专栏
03-03 824
TPM 2.0实例探索3 —— LUKS磁盘加密(5) 将密码存储于TPM的PCR
使用LUKS对Linux磁盘进行加密
沃和莱特的博客
11-24 1839
使用LUKS对Linux磁盘进行加密,进入紧急模式后修复。
Linux 基础 之 磁盘加密保护(LUKS加密)和 开机自动挂载
JaneNancy的博客
05-03 4665
不能让随便什么人都可以进入磁盘,不然很有可能会导致一些危险的事情发生,所以,我们要学会对磁盘进行加密保护。一、加密保护步骤:[root@localhost ~]# fdisk /dev/vdb                 ##建一个id1Welcome to fdisk (util-linux 2.23.2).Changes will remain in memory only, until ...
LUKS硬盘加密
03-27
整理了LUKS加密方法的步骤,已在Ubuntu下实验成功,可以放心使用。
LUKS 磁盘加密
u012077593的博客
08-20 1555
前言 LUKS 的使用步骤 开机自动识别加密磁盘 根分区自动识别 忘记密码怎么办? 前言 LUKS (Linux Unified Key Setup)是 Linux 硬盘加密的标准。通过提供标准的磁盘格式,它不仅可以促进发行版之间的兼容性,还可以提供对多个用户密码的安全管理。 与现有解决方案相比,LUKS 将所有必要的设置信息存储在分区信息首部中,使用户能够无缝传...
LUKS磁盘加密
weixin_45022883的博客
06-30 1411
磁盘加密 本片主要介绍linux下基础知识–使用luks磁盘加密 LUKS LNKS(Linux Unified Key Setup)是在2004年创建的磁盘加密规范,最初用于linux,虽然大多数硬盘加密软件实现了不同的、不兼容的和无文档的格式,但 LUKS 实现了独立于平台的标准磁盘格式,通过提供标准的磁盘格式,它不仅方便了发行版之间的兼容性,而且还提供了对多个用户密码的安全管理。LUKS 将所有必要的设置信息存储在分区头中,从而实现数据的无缝传输或迁移。 LUKS主页:https://gitlab.
磁盘加密LUKS
weixin_43350897的博客
11-14 1267
LUKS简介 LUKS(Linux Unified Key Setup)为Linux硬盘加密提供了一种标准,它不仅能通用于不同的Linux发行版本,还支持多用户/口令。因为它的加密密钥独立于口令,所以如果口令失密,我们可以迅速改变口令而无需重新加密真个硬盘。通过提供一个标准的磁盘上的格式,它不仅方便之间分布的兼容性,而且还提供了多个用户密码的安全管理。必须首先对加密的卷进行解密,才能挂载其中的文件...
Linux下LUKS加密磁盘
m0_46097570的博客
04-08 1470
1.介绍 当我们有重要文件需要保护时,可以采用Linux统一密钥设置(Linux Unified Key Setup,LUKS)就是这样一个加密技术,它允许Linux的分区进行加密LUKS具有如下功能: 可以使用LUSK加密整个块设备,非常适合于保护可移动存储介质或者笔记本磁盘的数据。 一旦被加密,块设备上的内容看起来就像是随机的,所以它对于交换设备的加密非常有用。 LUSK使用了现有的设备映...
linux020luks磁盘加密
m493096871的博客
11-11 325
/mnt 是挂载点 绿色是 xfs    在绿色层加密东西 牢靠度差 先铺设加密层  再铺设文件系统 luks 加密 这样如果破坏加密层  加密层被破解后 数据没法进行解密 就无法读取设备 先加密 再做文件系统  存储文件时候先打开加密层 cryptsetup 加密命令 cryptsetup  luksFormat  /dev/vdb2 大写 yes 覆盖 mount /d...
linux luks自动加密和挂载磁盘
莫忘、初心
07-10 4530
如果要使用这个分区,必须对这个分区做一个映射,映射到/dev/mapper这个目录里去,我们只能挂载这个映射才能使用。然而做映射的时候是需要输入解密密码的。Linux 统一密钥设置(Linux Unified Key Setup)LUKS)是一个很好的工具,也是 Linux 磁盘加密的通用标准。cryptsetup是linux下的一个分区加密工具,它通过调用内核中的"dm-crypt"来实现磁盘加密的功能。我们这里使用默认值,执行的过程中,命令会警告你将会清除磁盘上的所有数据,并要求你输入两次密码。
在vm虚拟机中的ubuntu系统是否可以使用?如果可以,他的密钥从哪里来的?
03-12
<think>好的,用户之前问过关于/sys/kernel/config/tsm的工作原理,现在接着问在VM虚拟机中的Ubuntu系统是否可以使用这个TSM,以及密钥来源。首先需要确认TSM的功能是否依赖硬件,比如TPM模块。 用户可能想知道在虚拟化环境中能否进行类似物理机的安全操作。VM通常模拟硬件,但TPM需要特定的支持,比如vTPM。需要检查Ubuntu虚拟机是否配置了vTPM,比如通过VMware或VirtualBox的选项。 然后,密钥来源的问题。如果虚拟机启用了vTPM,那么密钥可能由虚拟的TPM生成和管理,类似于物理TPM。需要解释vTPM的工作原理,以及它如何为虚拟机提供安全功能。 另外,要考虑用户的使用场景,比如他们是否在测试安全应用,或者需要可信计算环境。可能需要说明在虚拟机中使用TSM的局限性,比如依赖Hypervisor的安全性和vTPM的实现。 还需要验证Linux内核是否支持TSM模块,以及Ubuntu版本是否包含相关驱动。可能需要指导用户检查内核配置或模块加载情况。 最后,总结虚拟机中的可行性,强调vTPM的作用和密钥生成过程,确保回答清晰且覆盖用户可能的疑问点。</think>### **虚拟机中 Ubuntu 使用 TSM 的可行性及密钥来源** --- #### **1. 虚拟机是否支持 TSM?** - **支持条件**: 虚拟机(VM)中的 Ubuntu 能否使用 `/sys/kernel/config/tsm` 取决于 **虚拟化环境是否模拟了可信硬件**(如虚拟 TPM、SEV 等)。 - **物理 TPM 直通**: - 若宿主机有物理 TPM 芯片,且虚拟机通过 **PCI 直通**(如 Intel VT-d/AMD-Vi)独占访问 TPM,则虚拟机可直接使用 TSM。 - **限制**:需要 Hypervisor(如 KVM、VMware)支持硬件直通,且 TPM 资源不能同时分配给多个虚拟机。 - **虚拟 TPM(vTPM)**: - 主流虚拟化平台(VMware、Hyper-V、QEMU/KVM)支持 **虚拟化 TPM**(vTPM),通过软件模拟或固件实现 TPM 功能。 - **实现方式**: - **QEMU/KVM**:使用 `swtpm` 或 `libtpms` 模拟 TPM 2.0 设备。 - **VMware**:通过 `vSphere` 配置 vTPM(需启用 Secure Boot)。 - **Hyper-V**:基于虚拟化安全功能(如 Shielded VM)提供 vTPM。 - **验证方法**: 在 Ubuntu 虚拟机中检查 TPM 设备是否存在: ```bash ls /dev/tpm* # 查看 TPM 设备节点 dmesg | grep -i tpm # 检查内核是否识别 TPM ``` --- #### **2. 密钥来源** 虚拟机中 TSM 使用的密钥来源分两种情况: ##### **情况 1:使用虚拟 TPM(vTPM)** - **密钥生成**: vTPM 会在虚拟机首次启动时生成 **虚拟 Endorsement Key (EK)** 和 **Storage Root Key (SRK)**,这些密钥存储在 **虚拟 NVRAM** 中。 - **存储位置**: - QEMU/KVM:默认保存在宿主机磁盘文件(如 `vtpm.bin`)中,加密后需由用户管理。 - VMware/Hyper-V:由 Hypervisor 安全存储(如 VMware 的加密虚拟机文件)。 - **密钥特点**: - **绑定虚拟机实例**:vTPM 密钥与虚拟机配置强关联,迁移虚拟机时需同步 vTPM 数据。 - **隔离性**:不同虚拟机的 vTPM 彼此隔离,密钥不可跨虚拟机使用。 ##### **情况 2:物理 TPM 直通** - **密钥生成**: 直接使用物理 TPM 的密钥(如 EK、AIK),与宿主机物理 TPM 的密钥相同。 - **风险**:若多个虚拟机共享同一物理 TPM,可能引发密钥冲突或安全策略冲突。 --- #### **3. 配置示例(QEMU/KVM + vTPM)** **步骤 1:宿主机安装 swtpm** ```bash sudo apt install swtpm swtpm-tools # Ubuntu/Debian ``` **步骤 2:为虚拟机创建 vTPM 数据文件** ```bash mkdir -p ~/vtpm swtpm_setup --tpm2 --tpmstate ~/vtpm/myvm --createek ``` **步骤 3:启动 QEMU 虚拟机并附加 vTPM** ```bash qemu-system-x86_64 \ ...其他参数 \ -chardev socket,id=chrtpm,path=/tmp/swtpm-myvm.sock \ -tpmdev emulator,id=tpm0,chardev=chrtpm \ -device tpm-tis,tpmdev=tpm0 ``` **步骤 4:虚拟机内验证 TSM** ```bash # 检查 TPM 设备 ls /dev/tpm0 # 使用 tpm2-tools 测试 sudo apt install tpm2-tools tpm2_getrandom --hex 8 # 生成随机数 ``` --- #### **4. 安全性分析** | 场景 | 优势 | 风险 | |------------|-------------------------------|-------------------------------| | **物理 TPM 直通** | 直接依赖硬件安全模块 | TPM 资源竞争、迁移复杂性高 | | **虚拟 TPM** | 灵活部署、支持快照和迁移 | 依赖 Hypervisor 安全性,vTPM 数据文件需加密存储 | --- #### **5. 典型应用场景** 1. **远程证明(Remote Attestation)**: 云服务器通过 vTPM 生成可信报告,向客户端证明虚拟机完整性。 2. **密钥保护**: 在虚拟机内使用 TSM 管理加密密钥(如 LUKS 磁盘加密的密钥解封)。 3. **机密计算**: 结合 SEV(AMD Secure Encrypted Virtualization)技术,实现虚拟机内存加密。 --- ### **总结** - **虚拟机可用性**:Ubuntu 虚拟机可通过 **vTPM 或物理 TPM 直通** 使用 TSM 功能。 - **密钥来源**: - **vTPM**:由虚拟化软件生成并隔离存储,绑定到特定虚拟机实例。 - **物理 TPM 直通**:直接使用物理 TPM 的密钥,需避免资源冲突。 - **依赖条件**:需虚拟化平台支持 TPM 模拟或直通,并正确配置安全存储。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

蓝天居士

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值