我希望能够加密文件夹,然后让我的程序只能解密文件夹。 我知道我可能必须让我的程序以其自己的用户身份运行,但我想知道的是,如果已经有一个 TPM 所有者,即使我的程序是请求并存储该密钥的程序,该所有者是否可以访问我存储的密钥?
我不介意管理员是否能够删除加密文件夹,但我不希望计算机的任何用户能够获取密钥并解密内容。
编辑:https://play.google.com/store/books/details?id=F69zBgAAQBAJ&rdid=book-F69zBgAAQBAJ&rdot=1&source=gbs_vpt_read&pcampaignid=books_booksearch_viewport
因此,根据此文本,这是一种可能的情况,但您必须向 TPM 传递 authValue 才能对实体进行操作。
但是,如果您的程序在内存中运行并且可以推断出此值,您将如何存储此 authValue?
这在Windows中使用TBS上下文是可能的。 更多内容可以在这里阅读:
https://msdn.microsoft.com/en-us/library/windows/desktop/ms725663(v=vs.85).aspx
这些服务可供以下用户使用,并包含其自己的上下文:
管理员、NT AUTHORITY\LocalService 和 NT AUTHORITY\NetworkService