Ключ хранилища запечатан с помощью SHA1 PCR Решение для измеренной загрузки, реализованное в EVE OS, опирается на механизм блокировки PCR. …

Ключ хранилища запечатан с помощью SHA1 PCR Решение для измеренной загрузки, реализованное в EVE OS, опирается на механизм блокировки PCR. Различные части системы обновляют различные значения PCR в TPM, что приводит к уникальному значению для каждой записи PCR. Эти PCR затем используются для запечатывания/распломбирования ключа из TPM, который используется для шифрования/дешифрования каталога “хранилища”. Этот каталог “хранилища” является наиболее чувствительным местом в системе, и поэтому его содержимое должно быть защищено. Этот механизм отмечен в документации Zededa как механизм “измеренной загрузки”, предназначенный для защиты указанного “хранилища”. Код, отвечающий за создание и получение ключа из TPM, предполагает, что PCR SHA256 используются для запечатывания/распломбирования ключа, и поэтому проверяется их наличие. Проблема здесь в том, что ключ запечатан не с помощью PCR SHA256, а с помощью PCR SHA1. Это приводит к нескольким проблемам: • Машины, у которых включены PCR SHA256, но отключены PCR SHA1, а также вообще не запечатывают свои ключи, что означает, что “хранилище” не защищено от злоумышленника. • SHA1 считается небезопасным и снижает уровень сложности, необходимый для распломбирования ключа на машинах, у которых включены PCR SHA1. Злоумышленник может очень легко получить содержимое “хранилища”, что фактически делает механизм “измеренной загрузки” бессмысленным.