9.8. Implementando um cliente de criptografia com uma política TPM 2.0
O seguinte procedimento contém passos para configurar o desbloqueio automático de um volume criptografado com uma política do Trusted Platform Module 2.0 (TPM 2.0).
Pré-requisitos
- A estrutura Clevis está instalada. Ver Instalação de um cliente de criptografia - Clevis
- Um sistema com a arquitetura Intel de 64 bits ou AMD de 64 bits
Procedimento
Para implantar um cliente que codifica usando um chip TPM 2.0, use o sub-comando
clevis encrypt tpm2com o único argumento na forma do objeto de configuração JSON:$ clevis encrypt tpm2 '{}' < input-plain.txt > secret.jwePara escolher uma hierarquia diferente, hash e algoritmos chave, especificar as propriedades de configuração, por exemplo:
$ clevis encrypt tpm2 '{"hash":"sha1","key":"rsa"}' < input-plain.txt > secret.jwePara decodificar os dados, forneça o texto cifrado no formato JSON Web Encryption (JWE):
$ clevis decrypt < secret.jwe > output-plain.txt
O pino também suporta dados de vedação para um estado de Registros de Configuração de Plataforma (PCR). Dessa forma, os dados só podem ser des selados se os valores dos PCRs corresponderem à política usada na selagem.
Por exemplo, para selar os dados para o PCR com índices 0 e 1 para o banco SHA-1:
$ clevis encrypt tpm2 '{"pcr_bank":"sha1","pcr_ids":"0,1"}' < input-plain.txt > secret.jweRecursos adicionais
-
Para mais informações e a lista de possíveis propriedades de configuração, consulte a página de manual
clevis-encrypt-tpm2(1).
