使用SED加密磁盘并将密钥存储在TPM中?
使用SED加密磁盘并将密钥存储在TPM中?
提问于 2017-07-31 18:27:01
我最近正在购买服务器,它们都有支持TCG Opal全磁盘加密(又名SED)的磁盘。我想做的是:
- 将加密的数据存储在磁盘上(NVMe & SAS)。
- 无需在服务器启动时输入密码/密码。
- 将加密密钥存储在服务器的TPM2.0模块中。
为了简化起见,我们的目标是将数据“锁定”到服务器上,确保如果一个磁盘被移除并插入到另一台计算机中,则无法访问数据。我见过皮脂糖,但还没有玩过它,因为它看起来需要在每次引导时输入密码。我有数以百计的服务器,我想启用它,所以必须输入一个密码(这是每个磁盘吗?)在重新启动时不是一个选项。TPM似乎是存储这类东西的天然场所,所以我想知道是否有人做过这样的事情。我能找到的唯一类似的参考是在这张微米白纸中。服务器都在运行Ubuntu16.04 (Xenial)。如果这重要的话,每个服务器都有多个磁盘。
回答 1
Server Fault用户
发布于 2022-09-23 20:26:28
已经晚了几年,但取决于您的服务器配置,带有SafeStore的Broadcom控制器(如9540-8i或9560-8i )应该是您的解决方案。它没有将密钥存储在TPM中,而是提供了自己的安全模块。但是,如果磁盘被移除,则应该满足无密码启动和不可读磁盘的要求。
注意:如果攻击者还删除了控制器卡,则可能会访问数据。我还没有证实这一点。
页面原文内容由Server Fault提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://serverfault.com/questions/866137
复制相关文章
相似问题
腾讯云开发者
