网站建设导航栏变化,简单网页制作模板,龙华网络推广方式,wordpress修改邮箱文字接前文#xff1a;TPM 2.0实例探索3 —— LUKS磁盘加密#xff08;4#xff09;
本文大部分内容参考#xff1a;
Code Sample: Protecting secret data and keys using Intel Platform... 二、LUKS磁盘加密实例
4. 将密码存储于TPM的PCR
现在将TPM非易失性存储器中保护…接前文TPM 2.0实例探索3 —— LUKS磁盘加密4
本文大部分内容参考
Code Sample: Protecting secret data and keys using Intel® Platform... 二、LUKS磁盘加密实例
4. 将密码存储于TPM的PCR
现在将TPM非易失性存储器中保护磁盘加密的密封对象替换为一个新的对象其添加了我们刚刚创建的作为用以访问密封秘密的身份验证的pcr策略
注
此步骤需要承接前几篇文章中的基础步骤可以参加本系列前几篇文章。重点参考
物理真机上LUKS结合TPM的各个测试脚本
以下步骤需要在执行“第一阶段建立脚本”create_1.sh的基础上进行。
4创建主对象
命令如下
tpm2_createprimary -Q --hierarchyo --key-contextprim.ctx
命令及实际结果如下
$ sudo /usr/local/bin/tpm2_createprimary --hierarchyo --key-contextprim.ctx
name-alg:value: sha256raw: 0xb
attributes:value: fixedtpm|fixedparent|sensitivedataorigin|userwithauth|restricted|decryptraw: 0x30072
type:value: rsaraw: 0x1
exponent: 65537
bits: 2048
scheme:value: nullraw: 0x10
scheme-halg:value: (null)raw: 0x0
sym-alg:value: aesraw: 0x6
sym-mode:value: cfbraw: 0x43
sym-keybits: 128
rsa: b45cd070a8b71ba21a5dce69f93035671e4a32bc3758490629f21458171884171a94d1d6446aceb61b6a1d0df65a7f0c0a1cfa4fdbd221c12c69204b0cb8ab146014b9dc439c90b0ed7f538c2a9e0b8f1d16598d572f26f7ca1bcd76d2b1a4a56ee492f1bee45fc255096fb3972c3844a1191245bc2d3e8adcf694223f976a2af739ef6d6223eab4f71593b10233ead81d0d861912c600dfe97f37108fa53ec32f8307f1061689da224af65feccf510758aa8331402e341bfaea38f9203d74c21b54d9aa388351a13852613be8453f47caf6dae5c4a0af73175c40acb6df4e6e2b71b622eb6df4d084b411f4be8ba9c0240f614816e191ff4412839917d8afbb$ ls
disk.key enc.disk key_info.dat mountpoint pcr0.sha256.policy prim.ctx session.ctx
5生成哈希值并保存到文件
命令如下
sudo tpm2_hash -C o -g sha256 -o hash.key -t ticket.bin key_info.dat
实际命令及脚本如下
$ sudo /usr/local/bin/tpm2_hash -C o -g sha256 -o hash.key -t ticket.bin key_info.dat
$
$ ls
disk.key enc.disk hash.key key_info.dat mountpoint pcr0.sha256.policy prim.ctx session.ctx ticket.bin6创建对象
命令如下
sudo tpm2_create --hash-algorithmsha256 --publicseal.pub --privateseal.priv --sealing-inputhash.key --parent-contextprim.ctx
实际命令及结果如下
$ sudo /usr/local/bin/tpm2_create --hash-algorithmsha256 --publicseal.pub --privateseal.priv --sealing-inputhash.key --parent-contextprim.ctx
name-alg:value: sha256raw: 0xb
attributes:value: fixedtpm|fixedparent|userwithauthraw: 0x52
type:value: keyedhashraw: 0x8
algorithm: value: nullraw: 0x10
keyedhash: 19df99d34d219b51f4a9c2e7c903d840b34660116920cce4ff5ca05c9ca75e04$ ls
disk.key enc.disk hash.key key_info.dat mountpoint pcr0.sha256.policy prim.ctx seal.priv seal.pub session.ctx ticket.bin7加载对象到TPM
命令如下
tpm2_load -Q --parent-contextprim.ctx --publicseal.pub --privateseal.priv --nameseal.name --key-contextseal.ctx
实际命令及结果如下
$ sudo /usr/local/bin/tpm2_load --parent-contextprim.ctx --publicseal.pub --privateseal.priv --nameseal.name --key-contextseal.ctx
$
$ ls
disk.key enc.disk hash.key key_info.dat mountpoint pcr0.sha256.policy prim.ctx seal.ctx seal.name seal.priv seal.pub session.ctx ticket.bin
8将对象从易失性空间移存到非易失性空间中
命令如下
tpm2_evictcontrol --hierarchyo --object-contextseal.ctx 0x81010002
实际命令及结果如下
$ sudo /usr/local/bin/tpm2_evictcontrol --hierarchyo --object-contextseal.ctx 0x81010002
persistent-handle: 0x81010002
action: persisted9建立另一个新对象
命令如下
tpm2_unseal --object-context0x81010002 | tpm2_create -Q --hash-algorithmsha256 --publicpcr_seal_key.pub --privatepcr_seal_key.priv --sealing-input- --parent-contextprim.ctx --policypcr0.sha256.policy
实际命令及结果如下
$ sudo /usr/local/bin/tpm2_unseal --object-context0x81010002 | sudo /usr/local/bin/tpm2_create --hash-algorithmsha256 --publicpcr_seal_key.pub --privatepcr_seal_key.priv --sealing-input- --parent-contextprim.ctx --policypcr0.sha256.policy
name-alg:value: sha256raw: 0xb
attributes:value: fixedtpm|fixedparentraw: 0x12
type:value: keyedhashraw: 0x8
algorithm: value: nullraw: 0x10
keyedhash: e7d80b687f769a271f706cddade60a9f98c54b87234f32fa0a7f23fcb263bc6f
authorization policy: 4bc350fced1d9ec748eb9fac5576eed06178b715969525d1f967451ff89395bf$ ls
disk.key hash.key mountpoint pcr_seal_key.priv prim.ctx seal.name seal.pub ticket.bin
enc.disk key_info.dat pcr0.sha256.policy pcr_seal_key.pub seal.ctx seal.priv session.ctx10将永久性对象从非易失性空间中移除
命令如下
tpm2_evictcontrol --hierarchyo --object-context0x81010002
实际命令及结果如下
$ sudo /usr/local/bin/tpm2_evictcontrol --hierarchyo --object-context0x81010002
persistent-handle: 0x81010002
action: evicted11加载新对象到TPM
命令如下
tpm2_load -Q --parent-contextprim.ctx --publicpcr_seal_key.pub --privatepcr_seal_key.priv --namepcr_seal_key.name --key-contextpcr_seal_key.ctx实际命令及结果如下
$ sudo /usr/local/bin/tpm2_load --parent-contextprim.ctx --publicpcr_seal_key.pub --privatepcr_seal_key.priv --namepcr_seal_key.name --key-contextpcr_seal_key.ctx
$
$ ls
disk.key hash.key mountpoint pcr_seal_key.ctx pcr_seal_key.priv prim.ctx seal.name seal.pub ticket.bin
enc.disk key_info.dat pcr0.sha256.policy pcr_seal_key.name pcr_seal_key.pub seal.ctx seal.priv session.ctx12将新对象从易失性空间移存到非易失性空间中
命令如下
tpm2_evictcontrol --hierarchyo --object-contextpcr_seal_key.ctx 0x81010002
实际命令及结果如下
$ sudo /usr/local/bin/tpm2_evictcontrol --hierarchyo --object-contextpcr_seal_key.ctx 0x81010002
persistent-handle: 0x81010002
action: persisted现在再次尝试挂载加密的磁盘只是这一次秘密被密封在了一个TPM对象中其解密操作只能在满足了PCR策略才能进行。换句话说依靠预期的系统软件状态进行身份验证此系统软件状态如PCR值所反映的那样保持不变。
13再次将enc.disk虚拟成块设备
命令如下
sudo losetup /dev/loop0 enc.disk
实际命令及结果如下
$ sudo losetup /dev/loop0 enc.disk
$
$ lsblk
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINTS
loop0 7:0 0 50M 0 loop
nvme0n1 259:0 0 476.9G 0 disk
……/usr/local/opt/home/data14启动一个策略会话并保存会话数据到一个文件中
命令如下
tpm2_startauthsession --policy-session --sessionsession.ctx
实际命令及结果如下
$ sudo /usr/local/bin/tpm2_startauthsession --policy-session --sessionsession.ctx
$
$ ls
disk.key hash.key mountpoint pcr_seal_key.ctx pcr_seal_key.priv prim.ctx seal.name seal.pub ticket.bin
enc.disk key_info.dat pcr0.sha256.policy pcr_seal_key.name pcr_seal_key.pub seal.ctx seal.priv session.ctx15创建一个包含指定PCR值的策略
命令如下
tpm2_policypcr -Q --sessionsession.ctx --pcr-listsha256:0 --policypcr0.sha256.policy
实际命令及结果如下
$ sudo /usr/local/bin/tpm2_policypcr --sessionsession.ctx --pcr-listsha256:0 --policypcr0.sha256.policy
4bc350fced1d9ec748eb9fac5576eed06178b715969525d1f967451ff89395bf$ ls
disk.key hash.key mountpoint pcr_seal_key.ctx pcr_seal_key.priv prim.ctx seal.name seal.pub ticket.bin
enc.disk key_info.dat pcr0.sha256.policy pcr_seal_key.name pcr_seal_key.pub seal.ctx seal.priv session.ctx此时此刻合乎理想地你想要解封保存在内存中的秘密并且直接将它放入另一端到cryptsetup的管道中像这样“tpm2_unseal --authsession:session.ctx --object-context0x81010002 | sudo cryptsetup luksOpen --key-file- /dev/loop0 encvolume”。但是出于在之后的一个小节中证明PCR灵活性的目的我们将做一个解封秘密的拷贝。
16解封秘密到文件
命令如下
tpm2_unseal --authsession:session.ctx --object-context0x81010002 disk_secret.bkup
实际命令及结果如下
$ sudo /usr/local/bin/tpm2_unseal --authsession:session.ctx --object-context0x81010002 disk_secret.bkup
$
$ ls
disk.key enc.disk key_info.dat pcr0.sha256.policy pcr_seal_key.name pcr_seal_key.pub seal.ctx seal.priv session.ctx
disk_secret.bkup hash.key mountpoint pcr_seal_key.ctx pcr_seal_key.priv prim.ctx seal.name seal.pub ticket.bin17
