이 특정 문제에 대한 또 다른 접근 방식은 TPM을 사용하여 암호화 키를 저장하는 것이지만이를 방어하기 위해서는 사용자가이를 신뢰해야합니다. 초보적인 RHEL7 기반 솔루션은 tpm-luks ( https://github.com/GeisingerBTI/tpm-luks )입니다.
작동 방식은 부팅시이며 부팅 프로세스의 각 단계는 다음 단계를 측정하고이 측정 값을 TPM의 PCR에 저장합니다. 부팅 프로세스가 완료되면 tpm-luks는 "알려진 정상"구성과 비교하여 PCR 상태를 확인합니다. "알려진 올바른"구성 인 경우 TPM은 LUKS 키를 풀고 tpm-luks는이 데이터를 전달하여 루트 LUKS 파티션의 잠금을 해제합니다.
중요한 모든 것은 암호화 해시로 측정되기 때문에 악의적 인 하녀가 GRUB / 커널 / 램 디스크를 대체하여 FDE 암호 문구를 악의적으로 수집 할 수있는 방법이 없습니다. 추가 보너스로 FDE 암호가 전혀 필요하지 않습니다! 이론적으로 사람이 읽을 수있는 암호를 완전히 제거하고 tpm-luks에 전적으로 의존 할 수 있지만이 경로를 사용하는 경우 LUKS 헤더를 저장하고 백업으로 유지하는 것이 좋습니다.
내가 언급했듯이, 이것은 사용자에 대한 근면이 필요합니다. 컴퓨터를 무인 상태로두고 암호문 프롬프트가 표시되면 조사를 마칠 때까지 입력하는 것이 좋지 않은 것입니다. 이 시점에서 라이브 CD 환경으로 부팅하여 tpm-luks에 버그가 있는지 또는 /boot
파티션이 실제로 변경 되었는지 확인해야 합니다. 여전히 /boot
파티션을 암호화하지 않은 채로두고 있지만 중요한 사항이 변경되면 주 디스크는 절대 해독되지 않습니다.