TPM 2.0实例探索3 —— LUKS磁盘加密（5）

接前文：TPM 2.0实例探索3 —— LUKS磁盘加密（4）

本文大部分内容参考：

Code Sample: Protecting secret data and keys using Intel® Platform...

二、LUKS磁盘加密实例

4. 将密码存储于TPM的PCR

现在将TPM非易失性存储器中保护磁盘加密的密封对象替换为一个新的（对象），其添加了我们刚刚创建的作为用以访问密封秘密的身份验证的pcr策略：

注：

此步骤需要承接前（几）篇文章中的基础步骤，可以参加本系列前几篇文章。重点参考：

物理真机上LUKS结合TPM的各个测试脚本

以下步骤需要在执行“第一阶段建立脚本”create_1.sh的基础上进行。

（4）创建主对象

命令如下：

tpm2_createprimary -Q --hierarchy=o --key-context=prim.ctx

命令及实际结果如下：

$ sudo /usr/local/bin/tpm2_createprimary --hierarchy=o --key-context=prim.ctx
name-alg:value: sha256raw: 0xb
attributes:value: fixedtpm|fixedparent|sensitivedataorigin|userwithauth|restricted|decryptraw: 0x30072
type:value: rsaraw: 0x1
exponent: 65537
bits: 2048
scheme:value: nullraw: 0x10
scheme-halg:value: (null)raw: 0x0
sym-alg:value: aesraw: 0x6
sym-mode:value: cfbraw: 0x43
sym-keybits: 128
rsa: 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$ ls
disk.key  enc.disk  key_info.dat  mountpoint  pcr0.sha256.policy  prim.ctx  session.ctx

（5）生成哈希值并保存到文件

命令如下：

sudo tpm2_hash -C o -g sha256 -o hash.key -t ticket.bin key_info.dat

实际命令及脚本如下：

$ sudo /usr/local/bin/tpm2_hash -C o -g sha256 -o hash.key -t ticket.bin key_info.dat
$ 
$ ls
disk.key  enc.disk  hash.key  key_info.dat  mountpoint  pcr0.sha256.policy  prim.ctx  session.ctx  ticket.bin

（6）创建对象

命令如下：

sudo tpm2_create --hash-algorithm=sha256 --public=seal.pub --private=seal.priv --sealing-input=hash.key --parent-context=prim.ctx

实际命令及结果如下：

$ sudo /usr/local/bin/tpm2_create --hash-algorithm=sha256 --public=seal.pub --private=seal.priv --sealing-input=hash.key --parent-context=prim.ctx
name-alg:value: sha256raw: 0xb
attributes:value: fixedtpm|fixedparent|userwithauthraw: 0x52
type:value: keyedhashraw: 0x8
algorithm: value: nullraw: 0x10
keyedhash: 19df99d34d219b51f4a9c2e7c903d840b34660116920cce4ff5ca05c9ca75e04$ ls
disk.key  enc.disk  hash.key  key_info.dat  mountpoint  pcr0.sha256.policy  prim.ctx  seal.priv  seal.pub  session.ctx  ticket.bin

（7）加载对象到TPM

命令如下：

tpm2_load  -Q --parent-context=prim.ctx --public=seal.pub --private=seal.priv --name=seal.name --key-context=seal.ctx

实际命令及结果如下：

$ sudo /usr/local/bin/tpm2_load --parent-context=prim.ctx --public=seal.pub --private=seal.priv --name=seal.name --key-context=seal.ctx
$ 
$ ls
disk.key  enc.disk  hash.key  key_info.dat  mountpoint  pcr0.sha256.policy  prim.ctx  seal.ctx  seal.name  seal.priv  seal.pub  session.ctx  ticket.bin

（8）将对象从易失性空间移存到非易失性空间中

命令如下：

tpm2_evictcontrol --hierarchy=o --object-context=seal.ctx 0x81010002

实际命令及结果如下：

$ sudo /usr/local/bin/tpm2_evictcontrol --hierarchy=o --object-context=seal.ctx 0x81010002
persistent-handle: 0x81010002
action: persisted

（9）建立另一个新对象

命令如下：

tpm2_unseal --object-context=0x81010002 | tpm2_create -Q --hash-algorithm=sha256 --public=pcr_seal_key.pub --private=pcr_seal_key.priv --sealing-input=- --parent-context=prim.ctx --policy=pcr0.sha256.policy

实际命令及结果如下：

$ sudo /usr/local/bin/tpm2_unseal --object-context=0x81010002 | sudo /usr/local/bin/tpm2_create --hash-algorithm=sha256 --public=pcr_seal_key.pub --private=pcr_seal_key.priv --sealing-input=- --parent-context=prim.ctx --policy=pcr0.sha256.policy
name-alg:value: sha256raw: 0xb
attributes:value: fixedtpm|fixedparentraw: 0x12
type:value: keyedhashraw: 0x8
algorithm: value: nullraw: 0x10
keyedhash: e7d80b687f769a271f706cddade60a9f98c54b87234f32fa0a7f23fcb263bc6f
authorization policy: 4bc350fced1d9ec748eb9fac5576eed06178b715969525d1f967451ff89395bf$ ls
disk.key  hash.key      mountpoint          pcr_seal_key.priv  prim.ctx  seal.name  seal.pub     ticket.bin
enc.disk  key_info.dat  pcr0.sha256.policy  pcr_seal_key.pub   seal.ctx  seal.priv  session.ctx

（10）将永久性对象从非易失性空间中移除

命令如下：

tpm2_evictcontrol --hierarchy=o --object-context=0x81010002

实际命令及结果如下：

$ sudo /usr/local/bin/tpm2_evictcontrol --hierarchy=o --object-context=0x81010002
persistent-handle: 0x81010002
action: evicted

（11）加载新对象到TPM

命令如下：

tpm2_load -Q --parent-context=prim.ctx --public=pcr_seal_key.pub --private=pcr_seal_key.priv --name=pcr_seal_key.name --key-context=pcr_seal_key.ctx

实际命令及结果如下：

$ sudo /usr/local/bin/tpm2_load --parent-context=prim.ctx --public=pcr_seal_key.pub --private=pcr_seal_key.priv --name=pcr_seal_key.name --key-context=pcr_seal_key.ctx
$
$ ls
disk.key  hash.key      mountpoint          pcr_seal_key.ctx   pcr_seal_key.priv  prim.ctx  seal.name  seal.pub     ticket.bin
enc.disk  key_info.dat  pcr0.sha256.policy  pcr_seal_key.name  pcr_seal_key.pub   seal.ctx  seal.priv  session.ctx

（12）将新对象从易失性空间移存到非易失性空间中

命令如下：

tpm2_evictcontrol --hierarchy=o --object-context=pcr_seal_key.ctx 0x81010002

实际命令及结果如下：

$ sudo /usr/local/bin/tpm2_evictcontrol --hierarchy=o --object-context=pcr_seal_key.ctx 0x81010002 
persistent-handle: 0x81010002
action: persisted

现在再次尝试挂载加密的磁盘，只是这一次秘密被密封在了一个TPM对象中，其解密操作只能在满足了PCR策略才能进行。换句话说，依靠预期的系统软件状态进行身份验证，此系统软件状态如PCR值所反映的那样保持不变。

（13）再次将enc.disk虚拟成块设备

命令如下：

sudo losetup /dev/loop0 enc.disk

实际命令及结果如下：

$ sudo losetup /dev/loop0 enc.disk
$ 
$ lsblk
NAME        MAJ:MIN RM   SIZE RO TYPE MOUNTPOINTS
loop0         7:0    0    50M  0 loop 
nvme0n1     259:0    0 476.9G  0 disk 
……/usr/local/opt/home/data

（14）启动一个策略会话并保存会话数据到一个文件中

命令如下：

tpm2_startauthsession --policy-session --session=session.ctx

实际命令及结果如下：

$ sudo /usr/local/bin/tpm2_startauthsession --policy-session --session=session.ctx
$ 
$ ls
disk.key  hash.key      mountpoint          pcr_seal_key.ctx   pcr_seal_key.priv  prim.ctx  seal.name  seal.pub     ticket.bin
enc.disk  key_info.dat  pcr0.sha256.policy  pcr_seal_key.name  pcr_seal_key.pub   seal.ctx  seal.priv  session.ctx

（15）创建一个包含指定PCR值的策略

命令如下：

tpm2_policypcr -Q --session=session.ctx --pcr-list="sha256:0" --policy=pcr0.sha256.policy

实际命令及结果如下：

$ sudo /usr/local/bin/tpm2_policypcr --session=session.ctx --pcr-list="sha256:0" --policy=pcr0.sha256.policy
4bc350fced1d9ec748eb9fac5576eed06178b715969525d1f967451ff89395bf$ ls
disk.key  hash.key      mountpoint          pcr_seal_key.ctx   pcr_seal_key.priv  prim.ctx  seal.name  seal.pub     ticket.bin
enc.disk  key_info.dat  pcr0.sha256.policy  pcr_seal_key.name  pcr_seal_key.pub   seal.ctx  seal.priv  session.ctx

此时此刻，合乎理想地，你想要解封保存在内存中的秘密并且直接将它放入（另一端）到cryptsetup的管道中，像这样：“tpm2_unseal --auth=session:session.ctx --object-context=0x81010002 | sudo cryptsetup luksOpen --key-file=- /dev/loop0 encvolume”。但是，出于在之后的一个小节中证明PCR灵活性的目的，我们将做一个解封秘密的拷贝。

（16）解封秘密到文件

命令如下：

tpm2_unseal --auth=session:session.ctx --object-context=0x81010002 > disk_secret.bkup

实际命令及结果如下：

$ sudo /usr/local/bin/tpm2_unseal --auth=session:session.ctx --object-context=0x81010002 > disk_secret.bkup
$ 
$ ls
disk.key          enc.disk  key_info.dat  pcr0.sha256.policy  pcr_seal_key.name  pcr_seal_key.pub  seal.ctx   seal.priv  session.ctx
disk_secret.bkup  hash.key  mountpoint    pcr_seal_key.ctx    pcr_seal_key.priv  prim.ctx          seal.name  seal.pub   ticket.bin

（17）