История изменений
Исправление QsUPt7S, (текущая версия) :
Завязать KDF на PCR c конфигурацией секурбута?
Что-то похожее используется в офтопике для BitLocker. Но как тогда гарантировать уничтожение информации для формирования ключа, если не TPM исполняет код, который может сбросить этот TPM по запросу? Тут нужна возможность исполнения такого кода самим TPM, причём без возможности изменения, либо чтения хранимого кода без сброса TPM.
В принципе, если попытаться обобщить, подойдёт любая технология, отделяющая используемый ключ, от вводимого пользователем пароля, и позволяющая быстро и надёжно уничтожить информацию, используемую для формирования ключа по запросу: TPM с возможностью исполнения кода, или с emergency button, надёжный удалённый сервис формирующий часть ключа и обеспечивающий экстренный сброс, или, на худой конец, флешка с ключевым файлом в оболочке из термитной смеси.
Исходная версия QsUPt7S, :
Завязать KDF на PCR c конфигурацией секурбута?
Что-то похожее используется в офтопике для BitLocker. Но как тогда гарантировать уничтожение информации для формирования ключа, если не TPM исполняет код, который может сбросить этот TPM по запросу? Тут нужна возможность исполнения такого кода самим TPM, причём без возможности изменения, либо чтения хранимого кода без сброса TPM.
В принципе, если попытаться обобщить, подойдёт любая технология, отделяющая используемый ключ, от вводимого пользователем пароля, и позволяющая быстро и надёжно уничтожить информацию, используемую для формирования ключа по запросу: TPM с возможностью исполнения кода, или с emergency button, надёжный удалённый сервис формирующий часть ключа, имитирующий возможности TPM, или, на худой конец, флешка с ключевым файлом в оболочке из термитной смеси.