Red Hat Training

A Red Hat training course is available for RHEL 8

11.8. 使用 TPM 2.0 策略部署加密客户端

以下步骤使用受信任的平台模块 2.0(TPM 2.0)策略配置加密卷的自动解锁。

先决条件

流程

  1. 要部署使用 TPM 2.0 芯片加密的客户端,请使用 clevis encrypt tpm2 子命令以及 JSON 配置对象的唯一参数:

    $ clevis encrypt tpm2 '{}' < input-plain.txt > secret.jwe

    要选择不同的层次结构、哈希和关键算法,请指定配置属性,例如:

    $ clevis encrypt tpm2 '{"hash":"sha1","key":"rsa"}' < input-plain.txt > secret.jwe
  2. 要解密数据,以 JSON Web 加密(JWE)格式提供密码文本:

    $ clevis decrypt < secret.jwe > output-plain.txt

pin 还支持将数据封装到平台配置寄存器(PCR)状态。这样,只有 PCRs 哈希值与密封时所用的策略匹配,数据才能被取消密封。

例如,使用 SHA-1 银行的索引 0 和 1 将数据封装到 PCR:

$ clevis encrypt tpm2 '{"pcr_bank":"sha1","pcr_ids":"0,1"}' < input-plain.txt > secret.jwe

其它资源

  • clevis-encrypt-tpm2(1) man page