一篇文章搞懂：啥叫基于 TPM 的全磁盘加密

發布人 Brave 2026-02-05 05:49

基于 TPM 的全磁盘加密 (Full Disk Encryption, FDE) 是一种安全机制，它利用计算机主板上的可信平台模块 (Trusted Platform Module, TPM) 芯片来保护整个硬盘驱动器上的数据。

一、核心概念与工作原理

1.1 什么是 TPM

TPM（可信平台模块）是一个专用安全芯片，符合国际可信计算组织 (TCG) 制定的标准规范，用于生成和存储加密密钥。

📌 TPM 的核心功能包括：

功能	说明
密钥生成与存储	在硬件层面生成非对称密钥对，私钥永不离开芯片
平台完整性度量	通过 PCR（平台配置寄存器）记录系统启动链的状态
密封/解封操作	将密钥绑定到特定的系统状态，只有状态匹配时才能解密
随机数生成	提供硬件级别的真随机数生成器 (TRNG)
远程证明 (Remote Attestation)	允许第三方验证设备的软硬件配置是否可信

1.2 全磁盘加密的工作流程

在基于 TPM 的 FDE 中，加密与解密过程遵循以下机制：

┌─────────────────────────────────────────────────────────────────┐
│                        系统启动流程                              │
├─────────────────────────────────────────────────────────────────┤
│  UEFI 固件 → 引导加载程序 → 内核 → initramfs                     │
│      ↓            ↓           ↓        ↓                        │
│  [度量值]     [度量值]    [度量值]  [度量值]                      │
│      ↓            ↓           ↓        ↓                        │
│  ════════════════════════════════════════                       │
│           扩展到 TPM 的 PCR 寄存器中                             │
│  ════════════════════════════════════════                       │
│                       ↓                                         │
│         PCR 值与预期"黄金状态"对比                               │
│                       ↓                                         │
│     ┌─────────┬─────────────────┐                               │
│     │  匹配   │     不匹配       │                               │
│     ↓         ↓                 │                               │
│  释放密钥   拒绝解封             │                               │
│     ↓         ↓                 │                               │
│  磁盘解密   系统无法启动         │                               │
└─────────────────────────────────────────────────────────────────┘

🔐 关键要点：

加密密钥的一部分存储在 TPM 芯片中，而不是仅仅存储在磁盘上
如果没有 TPM 芯片，即使有人拿走了硬盘，也无法访问其中的数据
TPM 通过"密封 (Sealing)"技术将密钥绑定到特定的 PCR 值，只有当系统启动链完整无篡改时，才会释放密钥

1.3 平台配置寄存器 (PCR) 详解

PCR（Platform Configuration Registers）是 TPM 内部的特殊寄存器，用于存储系统状态的加密度量值。

📊 常见 PCR 分配表：

PCR 编号	度量内容	变更触发条件
PCR 0	UEFI 固件代码	固件更新
PCR 1	硬件配置 (CPU/RAM)	硬件更换
PCR 2	可选 ROM 代码	扩展卡变更
PCR 3	可选 ROM 配置	扩展卡配置变更
PCR 4	MBR/引导加载程序	引导程序更新
PCR 5	MBR 配置/GPT 分区表	分区结构变更
PCR 6	状态转换和唤醒事件	休眠/唤醒操作
PCR 7	Secure Boot 状态	启用/禁用 Secure Boot、证书更新
PCR 8-15	操作系统定义	由 Linux/Windows 等系统自定义使用

⚠️ 重要提示：

PCR 值只能通过 Extend（扩展） 操作更新，无法直接写入
扩展操作公式：新值 = Hash(旧值 || 新度量值)
系统重启时 PCR 值重置为初始状态（通常为全 0 或全 F）
这种单向演进机制确保了度量链的不可篡改性

二、安全性分析

2.1 核心安全优势

这种加密方式提供了很高的安全性，因为密钥的一部分存储在硬件中（TPM 芯片），这使得攻击者很难通过移除硬盘或篡改主板来绕过加密。只有当设备使用授权的软件启动时，才能访问数据。

🛡️ 多层防护机制：

防护层	保护目标	技术实现
硬件层	密钥存储安全	TPM 防篡改设计、抗物理攻击
固件层	启动链完整性	Secure Boot + Measured Boot
软件层	运行时保护	加密文件系统 (LUKS/BitLocker)
身份层	用户认证	PIN/密码/生物识别

✅ 与传统软件加密相比的优势：

防暴力破解： TPM 具备硬件级防锤击 (Anti-Hammering) 保护，限制错误尝试次数
防离线攻击： 密钥绑定到特定硬件，磁盘移除后无法解密
防启动篡改： 任何引导链的修改都会改变 PCR 值，导致解封失败
防中间人攻击： 启动环境的完整性度量可防止恶意引导程序

2.2 已知攻击向量与缓解措施

尽管 TPM-FDE 提供了强大的保护，但仍存在一些已知的攻击方式：

📡 TPM 嗅探攻击 (TPM Sniffing Attack)

攻击原理： 分立式 TPM 通常通过 LPC 或 SPI 总线与主板通信，攻击者可使用逻辑分析仪捕获传输中的密钥。

┌─────────┐    明文密钥传输    ┌─────────┐
│   CPU   │ ←───────────────→ │   TPM   │
└─────────┘    (LPC/SPI总线)   └─────────┘
                   ↑
              逻辑分析仪
              (攻击者设备)

🔧 缓解措施：

启用 TPM 2.0 的会话加密功能
使用 fTPM（固件 TPM）而非分立式 TPM
配置 PIN/密码作为额外保护因子——2024 年的研究表明，即使启用了 BitLocker PIN，仍可能通过特定技术实现提权攻击，因此建议采用多因素认证

❄️ 冷启动攻击 (Cold Boot Attack)

攻击原理： 利用 DRAM 的数据残留特性，在系统运行时通过物理冷却 RAM 延长数据保持时间，然后重启到恶意系统中提取内存中的密钥。

冷却方式	数据保持时间
压缩空气喷雾	约 10 分钟
液氮冷却	数小时

⚠️ 重要：TPM 无法防御冷启动攻击。 原因是 TPM 可以阻止密钥被加载到内存中，但无法阻止已在内存中的密钥被提取。只有当所有加密操作都在 TPM 内部完成、密钥永不暴露给外部程序时，才能彻底消除此风险。

🔧 缓解措施：

启用内存加密技术（如 Intel TME、AMD SME/SEV）
配置系统在休眠/睡眠时清除内存中的密钥
物理安全措施（防止未授权物理访问）

🔓 CrashXTS 攻击 (CVE-2025-21210)

这是 2024 年公开披露的一种针对 BitLocker 的密码学攻击：

攻击者通过精确破坏 SYSTEM 注册表配置单元，导致休眠文件 (hiberfile) 以明文形式写入。通过多次获取加密分区的镜像，可以定位并破坏 SYSTEM 配置，使加密休眠文件的驱动程序不被加载，从而获取完整的明文内存转储，包括卷密钥。

🔧 缓解措施：

及时应用安全更新
禁用休眠功能（适用于高安全环境）
使用 TPM + PIN 双因素认证

三、与密码的关系

传统的全磁盘加密通常需要用户设置一个密码来解锁硬盘。而基于 TPM 的 FDE 可以不需要密码，因为 TPM 芯片会自动处理密钥的生成和管理。当然，也可以结合密码使用，以提供更高级别的安全性。

🔑 认证模式对比：

模式	安全级别	用户体验	适用场景
仅 TPM	⭐⭐⭐	无感知启动	低风险环境、便捷性优先
TPM + PIN	⭐⭐⭐⭐	需输入短密码	企业标准配置
TPM + 启动密钥 (USB)	⭐⭐⭐⭐	需插入 USB	高安全环境
TPM + PIN + USB	⭐⭐⭐⭐⭐	多因素认证	最高安全要求
TPM + 密码短语	⭐⭐⭐⭐⭐	需输入完整密码	Ubuntu 25.10 新增选项

💡 最佳实践建议：

企业环境强烈建议启用 TPM + PIN 模式
PIN 码至少 6 位，避免使用简单数字组合
考虑使用 TPM + 密码短语组合，这是 Ubuntu 25.10 引入的新选项，提供了额外的安全层

四、主流操作系统实现

4.1 Windows BitLocker

这种加密方式常见于现代操作系统，如 Windows (BitLocker)。BitLocker 是 Windows 内置的全磁盘加密解决方案，在企业环境中部署最为广泛。

📋 BitLocker 配置要点：

配置项	推荐设置	说明
TPM 版本	2.0	Windows 11 强制要求
加密算法	XTS-AES-256	最高安全级别
认证方式	TPM + PIN	平衡安全与便捷
恢复密钥	AD/Azure AD 托管	企业集中管理

⚠️ BitLocker 当前的安全局限：

根据最新的安全研究，BitLocker 目前仍存在以下已知问题：

不支持 TPM 命令和参数加密： 这使得针对分立式 TPM 的嗅探攻击仍然可行（如果未配置 PIN）
密钥派生强度不足： 对于密码保护的卷，BitLocker 使用的密钥拉伸算法在当今标准下被认为较弱
休眠文件漏洞 (CVE-2025-21210)： 如前文所述的 CrashXTS 攻击

🆕 Windows 11 24H2 与硬件加速 BitLocker：

Windows 11 24H2 版本对 BitLocker 进行了重要更新：

放宽了设备加密要求： 不再强制要求 Modern Standby、HSTI 和 Secure Boot 合规性
移除了 DMA 接口黑名单要求
引入硬件加速 BitLocker： 这是一项新功能，需要 CPU/SoC 具备集成的加密加速能力（如 AES-XTS 卸载），目前主要在新一代 Intel 平台上可用

4.2 Ubuntu/Linux 生态

例如，Ubuntu 23.10 引入了实验性的 TPM 支持的全磁盘加密功能。经过两年多的开发，这一功能预计将在 Ubuntu 25.10 (Questing Quokka) 中趋于成熟。

🐧 Linux TPM-FDE 技术栈：

┌─────────────────────────────────────────┐
│           用户空间应用                   │
├─────────────────────────────────────────┤
│  systemd-cryptenroll / clevis           │
├─────────────────────────────────────────┤
│         LUKS2 (dm-crypt)                │
├─────────────────────────────────────────┤
│      tpm2-tools / tpm2-tss              │
├─────────────────────────────────────────┤
│         Linux 内核 TPM 驱动             │
├─────────────────────────────────────────┤
│            TPM 2.0 硬件                  │
└─────────────────────────────────────────┘

🆕 Ubuntu 25.10 TPM-FDE 新特性（预计 2025 年 10 月发布）：

特性	说明
安装程序集成	直接在图形化安装器中选择 TPM-FDE
双重认证选项	支持仅 TPM 自动解锁或 TPM + 密码短语组合
恢复密钥管理	安装过程中强制生成恢复密钥，支持 QR 码导出
固件更新提醒	固件更新器会在应用可能影响 TPM 状态的更新前请求恢复密钥
安全中心集成	新增设置面板用于更改密码短语和生成新的恢复密钥

⚠️ 当前限制：

在某些系统（如 Ubuntu）中，基于 TPM 的全磁盘加密可能依赖于特定的软件包格式（如 Snaps），包括内核和引导加载程序。此外，Ubuntu 官方明确建议该功能目前不应用于生产环境：

仅支持通用内核，不支持需要额外驱动的设备（如 NVIDIA 显卡、某些摄像头）
工具链仍在完善中，管理操作可能较为繁琐
预计在 Ubuntu 26.04 LTS 中达到生产就绪状态

🔧 LUKS + TPM 2.0 技术实现：

LUKS 加密卷可以使用 TPM 2.0 策略实现无密码自动解锁。Clevis 是一个可插拔的自动解密框架，可用于提供 LUKS 卷的自动解锁。如果 TPM 芯片中的密码损坏或无法访问，Clevis 会自动提示输入密码短语/恢复密钥，无需人工干预。

4.3 macOS FileVault 与安全芯片

作为对比，Apple 采用了与 TPM 不同但功能类似的安全架构：

📱 Apple 安全芯片演进：

芯片类型	引入时间	搭载设备	特点
T2	2017 年	Intel Mac	安全协处理器，独立于主 CPU
M1/M2/M3/M4	2020 年起	Apple Silicon Mac	Secure Enclave 集成在 SoC 中

🔐 FileVault vs BitLocker 对比：

特性	FileVault (macOS)	BitLocker (Windows)
加密算法	XTS-AES-128/256	XTS-AES-128/256
硬件绑定	T2/Apple Silicon	TPM 2.0
默认状态	M1+ 设备默认开启硬件加密	需手动启用
密钥存储	Secure Enclave (UID 密钥烧录在芯片中)	TPM
取证难度	T2/M 系列芯片目前无已知破解方案	存在已知攻击向量

⚠️ 重要提示：即使在 T2/Apple Silicon Mac 上，仍建议启用 FileVault！

原因是：虽然 Mac 的存储始终加密，但如果不启用 FileVault，系统一旦启动到登录界面，加密就已解除。攻击者可能通过软件漏洞或硬件方法访问已挂载运行的驱动器数据。启用 FileVault 后，系统会先启动到恢复分区，要求输入授权账户密码后才解密磁盘，提供了类似 TPM + PIN 的保护级别。

五、硬件要求与 TPM 类型

需要计算机主板上有一个 TPM 芯片。截至 2025 年，几乎所有 PC 和笔记本制造商都在其产品中提供 TPM。TPM 2.0 是 Windows 11 的系统要求之一。

5.1 TPM 实现类型

TPM 有多种实现方式，安全性和适用场景各有不同：

类型	全称	实现方式	安全级别	典型应用
dTPM	Discrete TPM	独立物理芯片	⭐⭐⭐⭐⭐	企业/政府/高安全环境
fTPM	Firmware TPM	运行在 CPU TEE 中的固件	⭐⭐⭐⭐	消费级设备
Intel PTT	Platform Trust Technology	Intel fTPM 实现	⭐⭐⭐⭐	Intel 平台
AMD fTPM	AMD Firmware TPM	AMD fTPM 实现	⭐⭐⭐⭐	AMD 平台
sTPM	Software TPM	纯软件模拟	⭐⭐	开发测试环境

5.2 dTPM vs fTPM 安全性对比

这是一个常见的技术选择问题，两者各有优劣：

对比维度	分立式 TPM (dTPM)	固件 TPM (fTPM)
物理隔离	✅ 独立芯片，完全隔离	⚠️ 与 CPU 共享硅片
认证级别	✅ 可获得 FIPS 140-2/3 Level 3 认证	❌ 通常无法获得同等认证
抗物理攻击	✅ 设计有专门的防篡改措施	⚠️ 依赖 CPU TEE 的保护
嗅探攻击风险	⚠️ LPC/SPI 总线可能被嗅探	✅ 无外部总线暴露
成本	较高（需额外芯片）	较低（软件实现）
空间占用	需要 PCB 空间	无额外空间需求
背书密钥证书	✅ 出厂预置	⚠️ 可能需要额外配置
合规要求	金融、政府等需要 FIPS 认证的场景必选	满足一般商业需求

💡 选择建议：

需要 FIPS 或 CC 认证的合规场景： 必须使用 dTPM
一般企业和消费者： fTPM 已足够安全
Windows 和 Linux 对两种类型的支持没有区别

六、企业级解决方案

除了操作系统内置的加密方案外，企业环境中还有多种第三方全磁盘加密解决方案：

6.1 主流企业方案对比（2025 年）

解决方案	厂商	主要特点	适用规模	市场份额
BitLocker	Microsoft	系统集成、AD/Intune 管理	各种规模	30.6%（最高）
Sophos SafeGuard	Sophos	云管理、同步安全、评分最高 (8.9)	中大型企业	-
ESET Endpoint Encryption	ESET	易部署、性价比高	中小企业	-
McAfee Complete Data Protection	McAfee	强 DLP 集成、集中管理	大型企业	-
Symantec Endpoint Encryption	Broadcom	老牌方案、功能全面	大型企业	-

6.2 企业部署考量

📋 选型关键因素：

考量维度	评估要点
集中管理	密钥托管、策略下发、合规报告
跨平台支持	Windows/macOS/Linux 一致体验
恢复机制	自助恢复、管理员恢复、离线恢复
合规性	GDPR、HIPAA、PCI-DSS 等法规要求
总体拥有成本	许可证、部署、运维、培训
与现有安全栈集成	SIEM、EDR、IAM 等系统的联动

七、实施建议与最佳实践

7.1 部署前检查清单

✅ 硬件与系统要求：

检查项	要求
TPM 版本	TPM 2.0（TPM 1.2 已过时，不支持现代算法）
BIOS 模式	UEFI 原生模式（TPM 2.0 不支持 Legacy/CSM 模式）
Secure Boot	建议启用
固件版本	更新到最新版本
备份	重要数据已备份

7.2 恢复密钥管理

恢复密钥是 TPM-FDE 系统的生命线，必须妥善管理：

🔑 恢复密钥触发场景：

场景	说明
TPM 固件更新	PCR 值变化导致解封失败
硬件更换	主板、CPU 等关键硬件变更
BIOS/UEFI 更新	可能影响 PCR 0 的值
引导程序更新	影响 PCR 4 的值
Secure Boot 配置变更	影响 PCR 7 的值
忘记 PIN/密码	需要恢复密钥重置

📁 恢复密钥存储建议：

存储方式	安全级别	适用场景
Active Directory/Azure AD	⭐⭐⭐⭐⭐	企业环境首选
打印并锁入保险柜	⭐⭐⭐⭐	物理隔离存储
密码管理器	⭐⭐⭐	个人用户
U 盘存储	⭐⭐	仅作为备用
QR 码拍照	⭐⭐⭐	Ubuntu 25.10 新增便捷方式

八、小结

总而言之，基于 TPM 的全磁盘加密是一种硬件和软件结合的安全解决方案，提供了强大的数据保护，防止未经授权的访问。

📌 核心要点回顾：

维度	关键内容
原理	TPM 存储密钥 + PCR 度量启动链 + 密封/解封机制
优势	硬件级保护、防暴力破解、防离线攻击、防启动篡改
局限	无法防御冷启动攻击、分立式 TPM 存在嗅探风险
认证	建议 TPM + PIN/密码短语，避免仅 TPM 模式
实现	Windows BitLocker、Linux LUKS+TPM、macOS FileVault
硬件	TPM 2.0 已成为标准，dTPM 更安全但 fTPM 足够日常使用

🔮 发展趋势：

2025-2026 年： Ubuntu 26.04 LTS 将实现生产就绪的 TPM-FDE
硬件加速： 新一代 CPU 将原生支持加密卸载，提升性能
零信任架构： TPM 将在远程证明、设备健康认证中发挥更大作用
后量子密码学： 未来 TPM 标准将引入抗量子算法

参考资料

📚 官方文档与标准：

📰 技术资讯与研究：

🔐 安全研究：

🖥️ 平台对比：

Brave 回复 1 day, 20 hours ago 1 成員 · 0 回复

0 回复

歡迎留言回复交流。

登入後即可回复

网络安全与大数据研究小组

組織者: