8.4. 可信和加密的密钥

受信任和 加密的密钥是内核生成的可变长度对称密钥，供内核密钥环服务使用。这种类型的密钥永远不会以未加密的形式出现在用户空间中，这意味着可以验证其完整性。因此，例如扩展验证模块(EVM)可以使用它们来验证并确认运行中系统的完整性。用户级别程序只能访问加密的 Blob 格式的密钥。

受信任的密钥需要硬件组件：受信任的平台模块(TPM)芯片，它用于创建和加密密钥。TPM 使用名为存储根密钥(SRK)的 2048 位 RSA 密钥密封密钥。

有关可信和加密密钥的更多信息，请参阅 RHEL 7 安全指南中的受 信任和加密密钥 部分。