将 USB 闪存驱动器插入容器并安全存储其他副本

系统启动(开机)时或要访问加密系统,加密密钥必须由外部源提供,这样才能访问系统。从用于存储系统初始化期间创建的密钥副本的 USB 闪存驱动器中读取加密密钥。

如果希望系统自动重新引导,包含加密密钥的 USB 闪存驱动器必须保持插在两个容器中,这样两个容器在开机时便能够访问加密密钥。该方法要求系统所在的物理环境非常安全,从而可防止未经授权的人员创建 USB 闪存驱动器上加密密钥的副本并访问系统上存储的数据。

最安全的做法是不要使 USB 闪存驱动器保持插在系统上的容器中。但是,该方法要求在重新引导系统前,手动将包含加密密钥副本的 USB 闪存驱动器插入两个容器。需要加密密钥访问加密数据,加密密钥仅驻留在 USB 闪存驱动器副本和其他形式存储器上的任何其他副本上。如果所有用户维护的副本丢失或不可恢复,IBM 将无法恢复或重新生成加密密钥。