Usando un TPM con Linux

9

Tengo la necesidad de una computadora portátil de la empresa (Dell e6540) que contenga nuestra aplicación java para salir para fines de evaluación. Por esta razón, me gustaría asegurarme de que la unidad de disco duro esté protegida de los clientes (o de cualquier otra persona) que puedan sacar nuestra aplicación java de la computadora portátil y ver la fuente. Hemos tomado las precauciones necesarias y hemos reforzado el sistema operativo al ponerlo en un modo "similar a un kiosco" personalizado.

Mi último obstáculo es obtener la clave para el cifrado del disco almacenado en el TPM de la computadora portátil Dell. De esta manera, puedo tener un disco encriptado sin dar a un cliente la contraseña / clave. Esto ha demostrado ser una pesadilla hasta ahora en Ubuntu 12. Todos los documentos que encuentro tienen al menos 4-5 años de antigüedad. La interacción de usar LUKS con TPM-LUKS y Pantalones es inestable en las versiones más nuevas de Linux (en el mejor de los casos)

Los requisitos son el cifrado de disco (ya sea partición o FDE) sin tener que proporcionar la contraseña a los usuarios. ¿Alguien está al tanto de una solución en Linux? Esto es transparente en Windows usando BitLocker. He ofrecido SecureDoc como una solución pero no ven su producto como un buen ajuste.

    
pregunta agregory 21.05.2014 - 01:01
fuente

2 respuestas

7

Sospecho que TPM-LUKS es lo que estás buscando.

Utiliza luks encriptado volumen que es ampliamente compatible y almacena la contraseña / clave dentro del TPM (NVRAM).

La clave se puede sellar (terminología de Trusted Computing) contra la secuencia de inicio adecuada (BIOS, PCI ROM, MBR, cargador de arranque, etc.). En otras palabras, la clave se deriva del entorno en ejecución. Si algo cambia, la clave no será la misma, por lo tanto, el descifrado del volumen no funciona.

    
respondido por el northox 27.08.2014 - 22:01
fuente
2

Esta es una pregunta de seguridad porque realmente desea una solución DRM. Ignoremos el hecho de que si lo intentan, superarán cualquier cosa que uses. ;) Solo quieres que sea un dolor robar tus cosas para disuadir a los atacantes ocasionales. Aquí hay una solución para usted:

  1. Desactive USB, redes, etc. en BIOS para evitar inyecciones o fugas a través de estos. Simplemente deje suficientes dispositivos para permitir que interactúen con la aplicación localmente. Si se trata de una aplicación en red, simule eso con un cliente + servidor integrado & Desactive el hardware de red de todos modos. Y el bloqueo de contraseña cambia a BIOS.

  2. Si tiene dificultades con las cosas abiertas, use un producto FDE comercial fácil de usar, como BestCrypt o PGP Whole Disk Encryption. Ambos soportan TPM's.

  3. El sistema debería iniciar automáticamente una cuenta de privilegio limitado que solo puede demostrar el software. Parece que tienes esta parte cubierta.

  4. Use un RAMdisk o una carpeta temporal de bajo privilegio para cualquier necesidad de almacenamiento persistente durante la demostración.

respondido por el Nick P 28.05.2014 - 19:14
fuente

Lea otras preguntas en las etiquetas