Linux TPM安全地将加密密钥存储在系统内的替代方案

我需要部署一个包含非常敏感数据的服务器。 更准确地说，这台（linux）服务器将部署在一辆满载天线的货车上，在世界各地旋转，我需要防止数据泄漏，即使不受信任的货车运营商最终将直接访问硬盘驱动器

实际的（以前的）配置基于加密的FS，并且在服务器驻留在某个服务器机房之前工作正常，即使这会迫使受信任的人在重新启动时输入密钥

但此解决方案不适用于这种新的场景，即服务器将经常重新启动，并且不会有授权访问数据的人跟随。 我们的一些新服务器配备了，因此问题在这种情况下得到了解决，但提供的大多数服务器不包括此安全功能

我如何存储这些加密的敏感数据，而不需要用户在引导时进行说明，也不需要在硬盘上保存普通密码

我们正在考虑一些基于模糊代码机检查的密钥生成器，就像某些许可证验证软件的工作方式一样，但我不知道从何处开始。

您需要一个类似银行的服务器，用于存储私人信用卡付款信息（如PIN）。它们具有物理安全性，因此如果您未经授权打开服务器的案例，它将删除密钥

TPM并不是问题的真正解决方案，因为服务器可能会被卸载和被盗。如果启动时不需要密码，它将使用私有信息，在内部对其进行解密。有一些硬件嗅探解决方案可以从工作服务器获取此信息，比如这个（用于CPU的jtag调试器）或这个（断电后冻结的dimm内存保存数据）

我不是硬件安全领域的专家，所以我只能推荐几个web链接，比如&（3级和4级）

迟来的答案，但对于在这个问题上结结巴巴的人可能还是有帮助的

您可以使用TPM保护密钥，而无需在每次启动时输入密码。您需要使用该功能

此方法的一个示例是使用TPM保护完整磁盘加密密钥的方法

另外一个好处是，不仅您可以安全地存储密钥，而且不需要输入密码，而且您还允许仅当您指定的特定软件加载到计算机上时才使用密码