6.6. 关于使用 TPM 和 PCR 保护的磁盘加密
您可以使用 SiteConfig 自定义资源(CR)中的 diskEncryption 字段来使用 TPM 和 PCR 保护来配置磁盘加密。
TPM 是一个硬件组件,它存储加密密钥并评估系统的安全状态。TPM 中的 PCR 用于存储代表系统当前硬件和软件配置的哈希值。您可以使用以下 PCR 寄存器来保护加密密钥以进行磁盘加密:
- PCR 1
- 代表统一可扩展固件接口 (UEFI) 状态。
- PCR 7
- 代表安全引导状态。
TPM 通过将加密密钥链接到系统的当前状态(在 PCR 1 和 PCR 7 中记录)来保护加密密钥。dmcrypt 工具使用这些密钥来加密磁盘。如果需要,加密密钥和预期的 PCR 寄存器之间的绑定会在升级后自动更新。
在系统引导过程中,dmcrypt 工具程序使用 TPM PCR 值来解锁磁盘。如果当前的 PCR 值与之前链接的值匹配,则可以成功解锁。如果 PCR 值不匹配,则无法释放加密密钥,磁盘仍保持加密且无法访问的状态。
重要
使用 SiteConfig CR 中的 diskEncryption 字段配置磁盘加密只是一个技术预览功能。技术预览功能不受红帽产品服务等级协议(SLA)支持,且功能可能并不完整。红帽不推荐在生产环境中使用它们。这些技术预览功能可以使用户提早试用新的功能,并有机会在开发阶段提供反馈意见。
有关红帽技术预览功能支持范围的更多信息,请参阅技术预览功能支持范围。
其他资源
- TPM 加密
- 有关启用磁盘加密的详情,请参考使用 TPM 和 PCR 保护启用磁盘加密。
