web-dev-qa-db-ja.com

LinuxでのTPMの使用

評価目的で外出するために、Javaアプリケーションが含まれている会社のラップトップ(Dell e6540)が必要です。このため、HDDが保護されていることを確認したいと思いますJavaアプリをラップトップから取り外してソースを表示できるようにする顧客(または他の誰でも)。私たちは多くの必要な予防策を講じ、OSを強化してカスタムの "キオスクのような"モード。

私の最後の障害は、DellラップトップのTPMに保存されているディスク暗号化のキーを取得することです。このようにして、顧客にパスワード/キーを与えることなく、暗号化されたディスクを作成できます。これは、Ubuntu 12ではこれまでのところ悪夢であることが判明しています。私が見つけたすべてのドキュメントは、少なくとも4〜5年前のものです。 LUXとTPM-LUKSおよびTrousersの相互作用は、新しいLinuxバージョンでは不安定です(せいぜい)

要件は、ユーザーにパスワードを提供する必要のないディスク暗号化(パーティションまたはFDE)です。 Linuxでの解決策を知っている人はいますか?これは、BitLockerを使用するWindowsではシームレスです。私はSecureDocをソリューションとして提案しましたが、彼らは自社の製品を適切とは考えていません。

8
agregory

TPM-LUKS があなたが探しているものだと思います。

広くサポートされているluks暗号化ボリュームを使用し、TPM(NVRAM)内にパスワード/キーを格納します。

キーは、適切なブートシーケンス(BIOS、PCI ROM、MBR、ブートローダーなど)に対して封印(Trusted Computing用語)できます。つまり、キーは実行中の環境から取得されます。何かが変更された場合、キーは同じにならないため、ボリュームの復号化は機能しません。

6
northox

DRMソリューションが本当に必要なため、これはセキュリティの質問です。彼らが試した場合、あなたが使用するものを打ち負かすという事実を無視しましょう。 ;)物を盗んでカジュアルな攻撃者を阻止するのが面倒になるだけです。これはあなたのためのゼロからの解決策です:

  1. これらを介した挿入やリークを防ぐために、BIOSでUSB、ネットワークなどを無効にします。十分なデバイスをオンのままにして、ローカルでアプリを操作できるようにします。ネットワークアプリの場合は、オンボードのクライアント+サーバーでそれをシミュレートし、とにかくネットワークハードウェアを無効にします。そして、パスワードロックはBIOSに変更されます。

  2. オープンなもので苦労している場合は、BestCryptやPGP Whole Disk Encryptionなどの使いやすい市販のFDE製品を使用してください。どちらもTPMをサポートしています。

  3. システムは、ソフトウェアのデモのみを実行できる制限付き特権アカウントで自動起動する必要があります。この部分はカバーされているようです。

  4. デモ中に永続ストレージアプリが必要とする場合は、RAMdiskまたは低特権の一時フォルダーを使用します。

2
Nick P