防止加密分區在其他 PC 上執行

簡潔的問題：是否有可能以某種方式將分區加密綁定到硬體，因此不可能（非常困難）將系統複製到另一台 PC 並在那裡執行？

全文：我們開發了一台在設備內部執行 Linux 的小型嵌入式 PC。當設備打開時，嵌入式 PC 會執行，向使用者顯示數據，直到斷電。

這台 PC 上的軟體是我們的商業競爭優勢，因此我們希望盡可能防止對其進行訪問（請參閱 PS）。

所以這個想法是加密系統快閃記憶體或至少其中的一部分。但是可以只複製整個快閃記憶體。然後，下一個想法是將加密綁定到硬體。但是怎麼做？

PS 我知道一切都是逆向工程的主題，但這並不是讓你的產品逆向工程平淡無奇的理由。

PPS 我對複制並不偏執。不幸的是，我們知道競爭對手會試圖通過名稱竊取技術 =)

您可以使用可信平台模組(TPM)將加密數據綁定到特定設備。這些在過去幾年中在x86筆記型電腦中變得非常普遍，並且也可以安裝在許多伺服器中。

使用 TPM，您可以生成僅存在於模組中的加密密鑰，並使用它來加密數據；如果您生成的密鑰無法備份，那麼您可以確定數據只能使用相應的 TPM 進行加密。複製原始儲存設備是沒有用的。在 Linux 上，您可以使用TrouSerS來管理它。

在 ARM 平台上，您可以對使用TrustZone儲存的密鑰執行類似的操作，但我不知道詳細資訊。

引用自：https://unix.stackexchange.com/questions/194134