8.2. 신뢰할 수 있는 암호화된 키
신뢰할 수 있는 키와 암호화된 키는 시스템 보안을 강화하는 데 중요한 부분입니다.
신뢰할 수 있고 암호화된 키는 커널 키링 서비스를 사용하는 커널에서 생성되는 변수 길이 대칭 키입니다. 예를 들어 EVM(Extended verification module)에서 실행 중인 시스템의 무결성을 확인하고 확인할 수 있도록 키의 무결성을 확인할 수 있습니다. 사용자 수준 프로그램은 암호화된 Blob 형식의 키만 액세스할 수 있습니다.
- 신뢰할 수 있는 키
신뢰할 수 있는 키에는 키를 생성하고 암호화(seal)하는 데 사용되는 신뢰할 수 있는 플랫폼 모듈(TPM) 칩이 필요합니다. 각 TPM에는 TPM 자체에 저장된 스토리지 루트 키라는 마스터 래핑 키가 있습니다.
참고Red Hat Enterprise Linux 8은 TPM 1.2 및 TPM 2.0을 모두 지원합니다. 자세한 내용은 Red Hat에서 지원하는 Red Hat Knowledgebase 솔루션 Is Trusted Platform Module (TPM) 을 참조하십시오.
TPM 2.0 칩의 상태를 확인할 수 있습니다.
$ cat /sys/class/tpm/tpm0/tpm_version_major 2TPM 2.0 칩을 활성화하고 머신 펌웨어의 설정을 통해 TPM 2.0 장치를 관리할 수도 있습니다.
또한 신뢰할 수 있는 키를 TPM의 플랫폼 구성 레지스터 (PCR) 값 세트로 봉인할 수 있습니다. PCR에는 펌웨어, 부트 로더 및 운영 체제를 반영하는 무결성 관리 값 세트가 포함되어 있습니다. PCRsealed 키는 암호화된 시스템의 TPM에서만 해독할 수 있습니다. 그러나 인증 키에 PCRsealed 신뢰할 수 있는 키를 로드하면 연결된 PCR 값이 확인됩니다. 확인 후 새 커널 부팅을 지원하기 위해 새 또는 향후 PCR 값으로 키를 업데이트할 수 있습니다. 또한 단일 키를 각각 다른 PCR 값을 가진 여러 Blob으로 저장할 수 있습니다.
- 암호화된 키
- 암호화된 키에는 AES(커널 고급 암호화 표준)를 사용하므로 TPM이 필요하지 않으므로 신뢰할 수 있는 키보다 더 빠릅니다. 암호화된 키는 커널 생성 임의 번호를 사용하여 생성되고 마스터 키로 사용자 공간 Blob으로 내보낼 때 암호화됩니다.
마스터 키는 신뢰할 수 있는 키 또는 사용자 키입니다. 마스터 키를 신뢰할 수 없는 경우 암호화된 키의 보안은 암호화에 사용된 사용자 키에 따라 달라집니다.
