目录
master
分支88
标签30
+ 疑修
Web IDE
Kun Lai
ci: pass –define ‘with_rustup 1’ to all yum-builddep invocations


Ensures yum-builddep respects the with_rustup conditional so Rust
toolchain is consistently provided via rustup instead of yum, matching
the rpmbuild flag already used in all targets.
15天前385次提交
README_zh.md

cryptpilot:TEEOS 中操作系统启动和静态数据的机密性保护

Building GitHub Release License

cryptpilot 为机密计算环境提供全面的加密解决方案,保护系统启动完整性和静态数据。

项目结构

cryptpilot 分为多个专用软件包:

cryptpilot-fde

全盘加密 - 加密整个系统磁盘并提供启动完整性保护。

FDE 模块拆分为两个软件包:

  • cryptpilot-fde-host — 主机端工具,用于磁盘镜像转换和配置。仅在 cryptpilot-convert / cryptpilot-enhance 工作流中使用。包含重量级依赖(qemu-img、libguestfs),不应部署到客户机镜像中。
  • cryptpilot-fde-guest — 客户机启动时组件。在目标虚拟机内部运行(initrd 阶段),用于设置 dm-crypt、dm-verity、LVM 和 overlayfs。这是安装到最终客户机磁盘镜像中的包。

快速开始:

# 加密磁盘镜像(需要 cryptpilot-fde-host)
cryptpilot-convert --in ./original.qcow2 --out ./encrypted.qcow2 \
    -c ./config_dir/ --rootfs-passphrase MyPassword

📖 完整文档 | 快速开始指南

cryptpilot-crypt

运行时卷加密 - 在系统运行期间管理加密的数据卷。

  • LUKS2 卷加密
  • 启动时自动打开
  • 多种密钥提供者(KBS、KMS、TPM2 等)
  • 使用 dm-integrity 保护完整性

快速开始:

# 初始化并打开卷
cryptpilot-crypt init data0
cryptpilot-crypt open data0
mount /dev/mapper/data0 /mnt/data0

📖 完整文档 | 快速开始指南

cryptpilot-verity

静态数据度量工具 - 用于计算和验证静态数据的哈希值。

功能特性

  • 全盘加密:保护整个系统磁盘,包括 rootfs
  • 卷加密:加密单个数据分区
  • 远程证明:度量并验证启动完整性
  • 灵活的密钥管理:支持 KBS(远程证明)、KMS(阿里云)、OIDC(联合身份)和自定义提供者
  • 完整性保护:支持 dm-verity 和 dm-integrity
  • 自动挂载:启动时自动解密和挂载

安装

从发布版本安装

最新发布版本下载:

# 用于全盘加密
# host 包提供 cryptpilot-convert、cryptpilot-enhance 等构建加密镜像的工具
rpm --install cryptpilot-fde-host-*.rpm

# guest 包包含目标虚拟机启动时运行的组件
# 它会在 cryptpilot-convert 转换过程中自动安装到客户机 rootfs 中
rpm --install cryptpilot-fde-guest-*.rpm

# 用于运行时卷加密
rpm --install cryptpilot-crypt-*.rpm

# (可选)主包,用于配置目录
rpm --install cryptpilot-*.rpm

从源码构建

构建 RPM 包:

make create-tarball rpm-build
rpm --install /root/rpmbuild/RPMS/x86_64/cryptpilot-*.rpm

或构建 DEB 包:

make create-tarball deb-build
dpkg -i /tmp/cryptpilot_*.deb

快速示例

加密虚拟机磁盘镜像(FDE)

cryptpilot-convert --in ./source.qcow2 --out ./encrypted.qcow2 \
    -c ./config_dir/ --rootfs-passphrase MyPassword

📖 FDE 详细示例

加密数据卷(Crypt)

cryptpilot-crypt init data0
cryptpilot-crypt open data0
mount /dev/mapper/data0 /mnt/data0

📖 Crypt 详细示例

支持的发行版

文档

软件包文档

开发

许可证

Apache-2.0

贡献

欢迎贡献!请参阅开发指南

参见

关于
rustshellmakefile
README.md
2.3 MB
邀请码
    Gitlink(确实开源)
  • 加入我们
  • 官网邮箱:gitlink@ccf.org.cn
    • QQ群
  • QQ群
    • 公众号
  • 公众号

版权所有:中国计算机学会技术支持:开源发展技术委员会
京ICP备13000930号-9 京公网安备 11010802047560号