Uso di un TPM con Linux

9

Ho bisogno di un laptop aziendale (Dell e6540) che contenga la nostra applicazione java su di esso per uscire a scopo di valutazione. Per questo motivo vorrei fare in modo che l'HDD sia protetto dai clienti (o da chiunque altro) in grado di togliere la nostra app java dal laptop e visualizzare la sorgente. Abbiamo preso molte precauzioni necessarie e abbiamo rafforzato il sistema operativo mettendola in una modalità personalizzata simile a un chiosco.

Il mio ultimo ostacolo è quello di ottenere la chiave per la crittografia del disco memorizzata sul TPM del portatile Dell. In questo modo posso avere un disco crittografato senza dare al cliente la password / chiave. Questo è stato finora un incubo sotto Ubuntu 12. Tutti i documenti che ho trovato hanno almeno 4-5 anni. L'interazione dell'uso di LUKS con TPM-LUKS e Trousers è instabile sulle nuove versioni di Linux (nella migliore delle ipotesi)

I requisiti sono Disk Encryption (o partizione o FDE) senza dover fornire la password agli utenti. Qualcuno è a conoscenza di una soluzione su Linux? Questo è trasparente su Windows utilizzando BitLocker. Ho offerto SecureDoc come soluzione, ma non vedono il loro prodotto come una buona soluzione.

    
posta agregory 21.05.2014 - 01:01
fonte

2 risposte

7

Sospetto che TPM-LUKS sia quello che stai cercando.

Utilizza il volume crittografato di luks ampiamente supportato e memorizza la password / chiave all'interno del TPM (NVRAM).

La chiave può essere sigillata (terminologia Trusted Computing) rispetto alla sequenza di avvio corretta (BIOS, PCI ROM, MBR, Boot Loader, ecc.). In altre parole, la chiave è derivata dall'ambiente in esecuzione. Se qualcosa cambia, la chiave non sarà la stessa quindi la decrittografia del volume non funziona.

    
risposta data 27.08.2014 - 22:01
fonte
2

Questa è una domanda di sicurezza perché vuoi davvero una soluzione DRM. Ignoriamo il fatto che, se provano, batteranno qualsiasi cosa tu usi. ;) Vuoi solo fare del male a rubare le tue cose per scoraggiare gli aggressori occasionali. Ecco una soluzione a terra per te:

  1. Disabilita USB, rete, ecc. nel BIOS per impedire iniezioni o perdite tramite questi. Lasciare un numero sufficiente di dispositivi per consentire loro di interagire con l'app localmente. Se è un'app di rete, simula quella con un client onboard + server & disabilitare comunque l'hardware di rete. E il blocco della password cambia nel BIOS.

  2. Se hai difficoltà con le cose aperte, usa un prodotto FDE commerciale di facile utilizzo come BestCrypt o PGP Whole Disk Encryption. Entrambi supportano TPM.

  3. Il sistema dovrebbe avviarsi automaticamente in un account con privilegi limitati che può solo demoare il software. Sembra che tu abbia coperto questa parte.

  4. Utilizza un disco RAM o una cartella temporanea con privilegi bassi per tutte le applicazioni di archiviazione persistenti necessarie durante le demo.

risposta data 28.05.2014 - 19:14
fonte

Leggi altre domande sui tag