RHEL6 LUKS mit TPM-Unterstützung?

7

Ich bin überrascht, dass diese Frage nicht häufiger gestellt wird, aber (in RHEL) unterstützt LUKS TPMs wie Windows BitLocker? Wenn ja, wie wird diese Funktion implementiert und bietet sie denselben Schutz wie BitLocker für Windows?

BitLocker ist bei Unternehmen sehr beliebt. Da RHEL6 nun die FIPS-Zertifizierung für die Festplattenverschlüsselungsmodule erhält, wäre es großartig, wenn es auch denselben Funktionsumfang unterstützen würde.

Ich verstehe jedoch, dass mit der Funktionsweise von LUKS nicht jedes Volume verschlüsselt werden kann, da das System die /etc/fstabund die /etc/crypttabDateien lesen müsste, um die Volumes bereitzustellen. Ich glaube , das ist in Ordnung, solange /home, /varund andere vom Administrator ausgewählten Verzeichnissen verschlüsselt sind.

Ich finde es seltsam, dass "TPM" kein Tag bei Serverfault ist.

Phanto
quelle
3
Die einzige Partition, die s / boot nicht authentifiziert werden muss.
Zoredache
Ich habe das noch nie versucht (ich muss damit experimentieren), aber unterstützt der GRUB in RHEL6 dies sofort?
Phanto
1
Grub sollte nichts wissen müssen. Grub würde sich /bootzusammen mit dem Kernel und initrd auf dem unverschlüsselten Volume befinden. Die eigentliche Frage ist, ob Sie den RHEL leicht dazu bringen können, eine initrd zu generieren, die alles enthält, was Sie zum Mounten Ihres Root-Dateisystems benötigen.
Zoredache

Antworten:

7

Ich habe Unterstützung für das Speichern Ihres LUKS-Schlüssels im TPM-NVRAM implementiert, und RHEL6 ist zufällig die einzige Plattform, auf der alle Funktionen vollständig getestet wurden. Siehe diesen Beitrag:

[1] https://security.stackexchange.com/a/24660/16522

shpedoikal
quelle
Ich werde das auf jeden Fall untersuchen müssen. Ich werde dies als Antwort markieren.
Phanto
1

Dies wird nicht sofort unterstützt, aber Sie können wahrscheinlich etwas zusammen hacken. Die Idee ist, den LUKS-Schlüssel im TPM zu versiegeln und dann einen vertrauenswürdigen Startpfad einzurichten, der den versiegelten Schlüssel entsperrt. Sie müssen TrustedGRUB installieren und ein Keyscript schreiben, für /etc/crypttabdas der Schlüssel aus dem TPM abgerufen wird. Dies wird alles in der initrd geschehen, so dass wahrscheinlich die TPM-Tools enthalten sein müssen. Dieser Beitrag enthält eine gute Beschreibung der grundlegenden TPM-Installation.

mgorven
quelle
Autsch, das ist viel Arbeit. Leider scheint das wirklich der einzige Weg zu sein, wie es funktionieren wird. Es ist schade, dass die Linux-Entwickler diese Funktion nicht einfacher implementiert haben. Ich werde dies als Antwort markieren, da es keine andere Antwort gegeben hat.
Phanto