已配置Claw高级加密通道:一、启用TLS 1.3强制加密;二、配置双向证书认证(mTLS);三、启用国密SM4-GCM加密插件;四、配置硬件级密钥保护(TPM/HSM)。
☞☞☞AI 智能聊天, 问答助手, AI 智能搜索, 免费无限量使用 DeepSeek R1 模型☜☜☜
如果您已安装WorkBuddy并启用Claw,但远程指令传输未启用端到端加密,可能导致敏感操作指令被中间设备截获。以下是配置Claw高级加密通道的具体方法:
一、启用TLS 1.3强制加密通道
该方法通过强制Claw与WorkBuddy通信链路使用TLS 1.3协议,禁用所有弱加密套件,确保指令数据在传输层即完成高强度加密。
1、打开WorkBuddy客户端,点击右上角头像,进入「Claw 设置」。
2、在左侧导航栏选择「安全通道」选项卡。
3、将「加密协议版本」下拉菜单切换至TLS 1.3 only。
4、勾选「禁止降级协商」与「禁用不安全重协商」两项开关。
5、点击「应用并重启Claw服务」,等待状态栏显示Secure Tunnel: Active (TLS 1.3)。
二、配置双向证书认证(mTLS)
该方法要求Claw客户端与WorkBuddy服务端互相验证数字证书,杜绝伪造终端接入,适用于企业内网高敏环境。
1、访问WorkBuddy主界面,进入「设置」→「安全」→「mTLS管理」。
2、点击「生成根CA证书」,保存生成的ca.crt与ca.key至本地安全目录。
3、点击「为当前设备签发客户端证书」,填写设备标识(如:HR-PC-01),下载client.crt与client.key。
4、在Claw配置目录(默认:%APPDATA%\WorkBuddy\claw\config\)中,新建tls.conf文件,填入以下内容:
ca_file = "ca.crt"
cert_file = "client.crt"
key_file = "client.key"
5、重启Claw进程,观察日志中出现mTLS handshake succeeded标识。
三、启用国密SM4-GCM加密插件
该方法调用国家密码管理局认证的SM4-GCM对称加密算法,对Claw下发的每条指令载荷进行独立加密,满足等保2.0三级合规要求。
1、确认系统已安装WorkBuddy v2.4.0+版本,且操作系统为Windows 10 21H2或macOS 13.6+。
2、进入「Claw 设置」→「加密插件」→「国密支持」,点击「启用SM4-GCM引擎」。
3、输入由管理员分发的SM4密钥种子(32字节十六进制字符串),例如:7a9f2b1e4c8d5a0f3b7e9c1a5d8f2b0e。
4、勾选「指令级加密」与「响应体加密」两项。
5、点击「加载密钥并验证」,成功后状态灯变为绿色SM4图标。
四、配置硬件级密钥保护(TPM/HSM)
该方法将SM4密钥材料直接注入设备可信平台模块(TPM)或外接HSM设备,实现密钥永不离开安全芯片,杜绝内存提取风险。
1、确保设备已启用TPM 2.0(Windows可在「设备管理器」→「安全设备」中确认;macOS需为M1/M2/M3芯片机型)。
2、在「Claw 设置」→「安全」→「硬件密钥绑定」中,点击「初始化TPM密钥容器」。
3、输入管理员PIN码(至少8位,含大小写字母与数字)。
4、选择「绑定至当前设备TPM」,点击「创建密钥句柄」。
5、系统返回句柄ID(如:0x81000001),将其填入Claw配置文件secure_config.json的"tpm_handle"字段。
6、重启Claw后,控制台输出Key bound to TPM: OK即表示绑定成功。
