ルーク+TPM2+ピン

ルーク+TPM2+ピン

現在、LUKS暗号化されたルートパーティションをTPM2にバインドする2つの最近の方法を知っています。systemd-cryptenrollどちらclevisもキーシールPCRを正常に確認した後、暗号化キーを解放するようです。

しかし、ユーザーの対話なしにボリュームを解読するという考えは気に入らない。私は、Windows用のBitLockerが提供するものと同様のTPMと追加のPINまたは回復キーを備えたソリューションを好みます。

オンラインでの徹底的な検索にもかかわらず、これに関するヒントが見つかりませんでした。誰もが解決策を知っていますか?

--recovery-key編集:オプションがありますsystemd-cryptenroll。 TPMを使用するときに必要な追加のPINを取得する方法に関する質問にのみ興味があります。

答え1

2022-05-21 - システムv251

TPM2+ PIN のサポートは systemd-cryptenroll にマージされ、v251 リリースの一部として提供されます。

ディスク暗号化の変更:

  • systemd-cryptenrollは、新しい--tpm2-with-pin =オプションを使用してTPMベースのボリュームロック解除を使用するときにユーザーがPINを入力するかどうかを制御できるようになりました。

    tpm2-pin= オプションは /etc/crypttab で使用できます。

源泉

答え2

現在、LUKS デバイスを開くと、デュアル認証はサポートされません。しかし、将来のある時点ではそうなるかもしれません。

LUKS自体は、特定のデバイスにアクセスするために2つの「パスワード」(パスワード、キーファイル、TPMキー...)を必要とせず、そのうちの1つはデバイスのロックを解除するのに十分です。ここにLUKSサポートに加えて、他の認証メカニズムのサポートを追加して追加の認証を提供するツールなので、一種のPINを必要とする最良の場所はおそらくそこにあります。 Clevisとsystemdの開発者の両方が、次のような関心を認識しています。

関連情報