現在、LUKS暗号化されたルートパーティションをTPM2にバインドする2つの最近の方法を知っています。systemd-cryptenroll
どちらclevis
もキーシールPCRを正常に確認した後、暗号化キーを解放するようです。
しかし、ユーザーの対話なしにボリュームを解読するという考えは気に入らない。私は、Windows用のBitLockerが提供するものと同様のTPMと追加のPINまたは回復キーを備えたソリューションを好みます。
オンラインでの徹底的な検索にもかかわらず、これに関するヒントが見つかりませんでした。誰もが解決策を知っていますか?
--recovery-key
編集:オプションがありますsystemd-cryptenroll
。 TPMを使用するときに必要な追加のPINを取得する方法に関する質問にのみ興味があります。
答え1
2022-05-21 - システムv251
TPM2+ PIN のサポートは systemd-cryptenroll にマージされ、v251 リリースの一部として提供されます。
ディスク暗号化の変更:
systemd-cryptenrollは、新しい--tpm2-with-pin =オプションを使用してTPMベースのボリュームロック解除を使用するときにユーザーがPINを入力するかどうかを制御できるようになりました。
tpm2-pin= オプションは /etc/crypttab で使用できます。
答え2
現在、LUKS デバイスを開くと、デュアル認証はサポートされません。しかし、将来のある時点ではそうなるかもしれません。
LUKS自体は、特定のデバイスにアクセスするために2つの「パスワード」(パスワード、キーファイル、TPMキー...)を必要とせず、そのうちの1つはデバイスのロックを解除するのに十分です。ここにLUKSサポートに加えて、他の認証メカニズムのサポートを追加して追加の認証を提供するツールなので、一種のPINを必要とする最良の場所はおそらくそこにあります。 Clevisとsystemdの開発者の両方が、次のような関心を認識しています。
- TPM2+「Tang or Password」でデバイスをロック解除これはU字型クランプの関連機能要件です。
- 「未来」セクションTPM2 などの systemd 248 サポートに関する Lennart Poettering の投稿です。WindowsのPIN + TPM2メカニズムについて言及しました。