本文与前一篇文章物理真机上LUKS结合TPM的测试 —— 使用自己生成的密钥(问题版)相对应。
1. 创建磁盘空间
命令如下:
dd if=/dev/zero of=enc.disk bs=1M count=50实际命令及结果如下:
$ dd if=/dev/zero of=enc.disk bs=1M count=50
输入了 50+0 块记录
输出了 50+0 块记录
52428800 字节 (52 MB, 50 MiB) 已复制,0.0597509 s,877 MB/s$ ls
enc.disk
2. 创建密钥
命令如下:
dd if=/dev/urandom of=disk.key bs=1 count=32实际命令及结果如下:
$ dd if=/dev/urandom of=disk.key bs=1 count=32
输入了 32+0 块记录
输出了 32+0 块记录
32 字节已复制,0.00304557 s,10.5 kB/s$ ls
disk.key enc.disk
3. 将enc.disk虚拟成块设备
命令如下:
sudo losetup /dev/loop0 enc.disk实际命令及结果如下:
$ sudo losetup /dev/loop0 enc.disk$ lsblk
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINTS
loop0 7:0 0 50M 0 loop
nvme0n1 259:0 0 476.9G 0 disk
……/usr/local/opt/home/data
4. 加密enc.disk
命令如下:
sudo cryptsetup --key-file=disk.key luksFormat /dev/loop0实际命令及结果如下:
$ sudo cryptsetup --key-file=disk.key luksFormat /dev/loop0
WARNING!
========
这将覆盖 /dev/loop0 上的数据,该动作不可取消。
Are you sure? (Type 'yes' in capital letters): YES$ lsblk
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINTS
loop0 7:0 0 50M 0 loop
nvme0n1 259:0 0 476.9G 0 disk
……/usr/local/opt/home/data
5. 映射磁盘
命令如下:
sudo cryptsetup --key-file=disk.key open /dev/loop0 enc_volume实际命令及结果如下:
$ sudo cryptsetup --key-file=disk.key open /dev/loop0 enc_volume$ ls /dev/mapper/
control enc_volumels /dev/mapper -l
总计 0
crw-rw---- 1 root root 10, 236 2月20日 11:14 control
lrwxrwxrwx 1 root root 7 3月 1日 14:27 enc_volume -> ../dm-0
6. 格式化映射分区
命令如下:
sudo mkfs.ext4 -j /dev/mapper/enc_volume实际命令及结果如下:
$ sudo mkfs.ext4 -j /dev/mapper/enc_volume
mke2fs 1.46.5 (30-Dec-2021)
创建含有 34816 个块(每块 1k)和 8720 个inode的文件系统文件系统UUID:e2c828cc-7570-40d5-ab37-8a0b61f7a1e7
超级块的备份存储于下列块: 8193, 24577正在分配组表: 完成
正在写入inode表: 完成
创建日志(4096 个块)完成写入超级块和文件系统账户统计信息: 已完成
7. 创建挂载点并挂载
命令如下:
mkdir mountpointsudo mount /dev/mapper/enc_volume mountpoint实际命令及结果如下:
$ mkdir mountpoint
$ ls
disk.key enc.disk mountpoint
$ sudo mount /dev/mapper/enc_volume mountpoint$ df -h
文件系统 大小 已用 可用 已用% 挂载点/
dev/nvme0n1p4 20G 13G 5.8G 69% /
devtmpfs 4.0M 0 4.0M 0% /dev
tmpfs 7.7G 182M 7.5G 3% /dev/shm
tmpfs 3.1G 237M 2.9G 8% /run
tmpfs 7.7G 105M 7.6G 2% /tmp
……
tmpfs 1.6G 48K 1.6G 1% /run/user/1000
/dev/mapper/enc_volume 28M 14K 25M 1% /home/penghao/TApp/experiment3/mountpoint
8. 准备明文文件
命令如下:
sudo sh -c 'echo "This is my plain text" > mountpoint/plain.txt'实际命令及结果如下:
$ sudo sh -c 'echo "This is my plain text" > mountpoint/plain.txt'$ cat mountpoint/plain.txt
This is my plain text
9. 卸载
命令如下:
sudo umount mountpoint实际命令及结果如下:
$ sudo umount mountpoint
$
10. 关闭加密分区
命令如下:
sudo cryptsetup remove enc_volume实际命令及结果如下:
$ sudo cryptsetup remove enc_volume$ ls /dev/mapper/
control
11. 卸除回环设备
命令如下:
sudo losetup -d /dev/loop0实际命令及结果如下:
$ sudo losetup -d /dev/loop0
$
12. 创建主对象
命令如下:
tpm2_createprimary -Q --hierarchy=o --key-context=prim.ctx实际命令及结果如下:
$ sudo /usr/local/bin/tpm2_createprimary --hierarchy=o --key-context=prim.ctx
name-alg:value: sha256raw: 0xb
attributes:value: fixedtpm|fixedparent|sensitivedataorigin|userwithauth|restricted|decryptraw: 0x30072
type:value: rsaraw: 0x1
exponent: 65537
bits: 2048
scheme:value: nullraw: 0x10
scheme-halg:value: (null)raw: 0x0
sym-alg:value: aesraw: 0x6
sym-mode:value: cfbraw: 0x43
sym-keybits: 128
rsa: b45cd070a8b71ba21a5dce69f93035671e4a32bc3758490629f21458171884171a94d1d6446aceb61b6a1d0df65a7f0c0a1cfa4fdbd221c12c69204b0cb8ab146014b9dc439c90b0ed7f538c2a9e0b8f1d16598d572f26f7ca1bcd76d2b1a4a56ee492f1bee45fc255096fb3972c3844a1191245bc2d3e8adcf694223f976a2af739ef6d6223eab4f71593b10233ead81d0d861912c600dfe97f37108fa53ec32f8307f1061689da224af65feccf510758aa8331402e341bfaea38f9203d74c21b54d9aa388351a13852613be8453f47caf6dae5c4a0af73175c40acb6df4e6e2b71b622eb6df4d084b411f4be8ba9c0240f614816e191ff4412839917d8afbb$ ls
disk.key enc.disk mountpoint prim.ctx
13. 将用户名和设备ID组合到文件
脚本如下(key_gen.sh):
#!/bin/bashusr_info=$(whoami)
dev_info=$(sudo dmidecode | grep "Serial Number" | head -n 1)
dev_info=${dev_info#*: }
echo "usr_info: ${usr_info}"
echo "dev_info: ${dev_info}"echo "${usr_info}" > key_info.dat
echo "${dev_info}" >> key_info.dat
运行脚本生成目标文件key_info.dat。
$ ls
disk.key enc.disk key_info.dat mountpoint prim.ctx具体信息涉及隐私,在此略。
14. 生成哈希值并保存到文件
命令如下:
sudo tpm2_hash -C o -g sha256 -o hash.key -t ticket.bin key_info.dat实际命令及脚本如下:
$ sudo /usr/local/bin/tpm2_hash -C o -g sha256 -o hash.key -t ticket.bin key_info.dat$ ls
disk.key enc.disk hash.key key_info.dat mountpoint prim.ctx ticket.bin
15. 创建对象
命令如下:
sudo tpm2_create --hash-algorithm=sha256 --public=seal.pub --private=seal.priv --sealing-input=hash.key --parent-context=prim.ctx实际命令及结果如下:
$ sudo /usr/local/bin/tpm2_create --hash-algorithm=sha256 --public=seal.pub --private=seal.priv --sealing-input=hash.key --parent-context=prim.ctx
name-alg:value: sha256raw: 0xb
attributes:value: fixedtpm|fixedparent|userwithauthraw: 0x52
type:value: keyedhashraw: 0x8
algorithm: value: nullraw: 0x10
keyedhash: 82a56b8556b4cf0fea489c06a29a4bff2edd34af228fecfd156aaf32bed4d5a4$ ls
disk.key enc.disk hash.key key_info.dat mountpoint prim.ctx seal.priv seal.pub ticket.bin
16. 加载对象到TPM
命令如下:
tpm2_load -Q --parent-context=prim.ctx --public=seal.pub --private=seal.priv --name=seal.name --key-context=seal.ctx实际命令及结果如下:
$ sudo /usr/local/bin/tpm2_load --parent-context=prim.ctx --public=seal.pub --private=seal.priv --name=seal.name --key-context=seal.ctx$ ls
disk.key enc.disk hash.key key_info.dat mountpoint prim.ctx seal.ctx seal.name seal.priv seal.pub ticket.bin
17. 将对象从易失性空间移存到非易失性空间中
命令如下:
tpm2_evictcontrol --hierarchy=o --object-context=seal.ctx 0x81010002实际命令及结果如下:
$ sudo /usr/local/bin/tpm2_evictcontrol --hierarchy=o --object-context=seal.ctx 0x81010002
persistent-handle: 0x81010002
action: persisted
18. 用新的密钥替换旧的密钥
注意:之前的错误问题就出在这一步。
旧的命令如下:
tpm2_unseal -Q --object-context=0x81010002 | sudo cryptsetup --key-file=disk.key luksChangeKey enc.disk 旧的实际命令及结果如下:
$ sudo /usr/local/bin/tpm2_unseal --object-context=0x81010002 | sudo cryptsetup --key-file=disk.key luksChangeKey enc.disk
$
这一步虽然替换密钥的时候没有出现问题,但是到下边使用新密钥的时候就会出现问题了。
新的命令如下:
tpm2_unseal -Q --object-context=0x81010002 --output=tmp.key sudo cryptsetup --key-file=disk.key luksChangeKey enc.disk tmp.key新的命令和执行结果如下:
$ sudo /usr/local/bin/tpm2_unseal --object-context=0x81010002 --output=tmp.key$ ls
disk.key enc.disk hash2.key hash.key key_info.dat mountpoint prim.ctx seal.ctx seal.name seal.priv seal.pub ticket.bin tmp.key$ sudo cat tmp.key
z�B�����@Y��Q�Zd
/�����Y`�,�$ sudo cryptsetup --key-file=disk.key luksChangeKey enc.disk tmp.key
$
而第一条命令中如果不加--output=tmp.key选项,则终端输出为:
$ sudo /usr/local/bin/tpm2_unseal --object-context=0x81010002
z�B�����@Y��Q�Zd
/�����Y`�,�即使带上-Q选项,终端输出仍然为:
$ sudo /usr/local/bin/tpm2_unseal -Q --object-context=0x81010002
z�B�����@Y��Q�Zd
/�����Y`�,�
或者将终端输出重定向到文件中,再比较与指定--output=选项输出到文件时的差异:
$ sudo /usr/local/bin/tpm2_unseal --object-context=0x81010002 > kkk.key$ sudo /usr/local/bin/tpm2_unseal --object-context=0x81010002 --output=tmp.key$ sudo diff tmp.key kkk.key
$
可以看到,两者完全一样,并无任何差异。
19. 彻底清除旧密钥
命令如下:
shred disk.key
rm -f disk.key实际命令及结果如下:
$ shred disk.key
$ ls
disk.key enc.disk hash2.key hash.key key_info.dat kkk.key mountpoint prim.ctx seal.ctx seal.name seal.priv seal.pub ticket.bin tmp.key$ rm -f disk.key
$ ls
enc.disk hash2.key hash.key key_info.dat kkk.key mountpoint prim.ctx seal.ctx seal.name seal.priv seal.pub ticket.bin tmp.key
20. 再次将enc.disk虚拟成块设备
命令如下:
sudo losetup /dev/loop0 enc.disk实际命令及结果如下:
$ sudo losetup /dev/loop0 enc.disk$ lsblk
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINTS
loop0 7:0 0 50M 0 loop
nvme0n1 259:0 0 476.9G 0 disk
……/usr/local/opt/home/data
21. 使用保存于TPM中的密钥映射磁盘
命令如下:
tpm2_unseal -Q --object-context=0x81010002 | sudo cryptsetup --key-file=- luksOpen /dev/loop0 enc_volume实际命令及结果如下:
$ sudo /usr/local/bin/tpm2_unseal --object-context=0x81010002 | sudo cryptsetup --key-file=- luksOpen /dev/loop0 enc_volume
$$ ls -l /dev/mapper/
总计 0
crw-rw---- 1 root root 10, 236 2月20日 11:14 control
lrwxrwxrwx 1 root root 7 3月 1日 15:56 enc_volume -> ../dm-0可见,由于在步骤18中没有直接使用一条命令,而是拆成了两条命令,并且将密钥保存到了(中间临时)文件中,到这里就不会出现“此口令无可用的密钥。”的错误了。但其实使用一句即标准输入方式与拆分成两句即临时中间文件方式并没有本质区别,内容也是相同的。具体原因只有留待以后深入研究了,很蹊跷。目前初步断定大概率是cryptsetup存在bug,小概率是终端下有看不见的字符进入了标准输入。
更进一步,如果步骤18中没有进行命令拆分,即使将本步骤中一条命令同样拆成两条,前一个命令将新密钥存入文件,后一条命令使用新密钥的文件进行磁盘映射,也仍然会出问题。
22. 再次挂载
命令如下:
sudo mount /dev/mapper/enc_volume mountpoint实际命令及结果如下:
$ sudo mount /dev/mapper/enc_volume mountpoint
$
$ df -h
文件系统 大小 已用 可用 已用% 挂载点
/dev/nvme0n1p4 20G 13G 5.7G 69% /
devtmpfs 4.0M 0 4.0M 0% /dev
tmpfs 7.7G 170M 7.5G 3% /dev/shm
tmpfs 3.1G 323M 2.8G 11% /run
tmpfs 7.7G 115M 7.6G 2% /tmp
……
tmpfs 1.6G 52K 1.6G 1% /run/user/1000
/dev/mapper/enc_volume 28M 15K 25M 1% /home/penghao/TApp/experiment3/mountpoint
23. 查看挂载点中的内容
命令如下:
ls mountpoint实际命令及结果如下:
$ ls mountpoint/
lost+found plain.txt$ cat mountpoint/plain.txt
This is my plain text
24. 卸载
命令如下:
sudo umount mountpoint实际命令及结果如下:
$ sudo umount mountpoint $ df -h
文件系统 大小 已用 可用 已用% 挂载点
/dev/nvme0n1p4 20G 13G 5.7G 69% /
devtmpfs 4.0M 0 4.0M 0% /dev
tmpfs 7.7G 166M 7.5G 3% /dev/shm
tmpfs 3.1G 323M 2.8G 11% /run
tmpfs 7.7G 116M 7.6G 2% /tmp
……
tmpfs 1.6G 52K 1.6G 1% /run/user/1000
25. 关闭加密分区
命令如下:
sudo cryptsetup remove enc_volume实际命令及结果如下:
$ sudo cryptsetup remove enc_volume$ ls /dev/mapper/
control
26. 卸除回环设备
命令如下:
sudo losetup -d /dev/loop0实际命令及结果如下:
$ sudo losetup -d /dev/loop0$ lsblk
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINTS
nvme0n1 259:0 0 476.9G 0 disk
……/usr/local/opt/home/data
27. 将对象从非易失性空间中移除
命令如下:
tpm2_evictcontrol --hierarchy=o --object-context=0x81010002实际命令及结果如下:
$ sudo /usr/local/bin/tpm2_evictcontrol --hierarchy=o --object-context=0x81010002
persistent-handle: 0x81010002
action: evicted
