web-dev-qa-db-ja.com

TPMをサポートするRHEL6LUKS?

この質問が頻繁に行われないことに驚いていますが、(RHELでは)LUKSはWindows BitLockerと同じようにTPMをサポートしていますか?その場合、この機能はどのように実装され、BitLocker for Windowsが提供するのと同じタイプの保護を提供しますか?

BitLockerは企業の間で非常に人気があり、RHEL6がディスク暗号化モジュールのFIPS認定を取得しているので、同じ機能セットもサポートしていれば素晴らしいと思います。

ただし、システムがボリュームをマウントするために/etc/fstabファイルと/etc/crypttabファイルを読み取る必要があるため、LUKSの動作方法では、すべてのボリュームを暗号化できるわけではないことを理解しています。 /home/var、および管理者が選択したその他のディレクトリが暗号化されている限り、これは問題ないと思います。

「TPM」がserverfaultのタグではないのは奇妙だと思います。

7
Phanto

LUKSキーをTPMNVRAMに保存するためのサポートを実装しましたが、RHEL6は、すべての機能が完全にテストされている1つのプラットフォームです。次の投稿を参照してください。

[1] https://security.stackexchange.com/a/24660/16522

7
shpedoikal

これはそのままではサポートされていませんが、おそらく一緒に何かをハックすることができます。アイデアは、TPMでLUKSキーを封印してから、封印された鍵のロックを解除するトラステッドブートパスを設定することです。 TrustedGRUB をインストールし、TPMからキーを取得する/etc/crypttabのキースクリプトを作成する必要があります。これはすべてinitrdで発生するため、おそらくTPMツールを含める必要があります。 この投稿 基本的なTPMインストールの適切な説明があります。

1
mgorven