TPM 1.2のNVRAMから暗号化キーを安全に読み取る
セキュアブート付きのTPMでLUKSを使用してLinuxでディスク暗号化を構成しました。
暗号化キーは、TPM_NV_ReadValueAuthコマンドを使用して、NVメモリからTPMからロードされます。
問題は、それがクリアテキストとして読み取られ、安価な論理アナライザーを使用してLPCバスでキャプチャできることです。
私の想定では、攻撃者はハードウェアに物理的にアクセスできるため、キーを取得してディスクを復号化できると思います。
TPMからクリアテキストのキーを送信しないようにし、TPMからRAMに移動するキーを盗聴または盗聴しないようにするにはどうすればよいですか?
LPCバスにワイヤーをはんだ付けできる誰かがそれらをメモリモジュールにはんだ付けし、メモリからキーを取得できるため、この問題は解決できないと思います。
私が知っている最良の代替策は、フラッシュドライブのように、キーをマシンから分離して、マシンが改ざんされていないことを確認した後、必要な場合にのみ接続することです。そのようにして、マシンを盗む誰かは、どんなに努力しても(量子コンピューターを除く)、そのストレージを解読する方法がありません。