Systemd
LUKS + TPM2 + PIN
我目前知道最近有兩種將 LUKS 加密的根分區綁定到 TPM2 的方法:
systemd-cryptenroll和clevis. 在成功檢查了密鑰被密封的 PCR 後,他們似乎都釋放了加密密鑰。但我不喜歡在沒有使用者互動的情況下解密卷的想法。我寧願有一個像 BitLocker for Windows 提供的解決方案:TPM 和額外的 PIN 或恢復密鑰。
即使我非常詳盡地搜尋了網路,我也無法找到這個方向的任何提示。有人知道解決方案嗎?
編輯: 有一個
--recovery-key選項systemd-cryptenroll。我只關心在使用 TPM 時如何獲得額外的 PIN 要求的問題。
目前打開 LUKS 設備時不支持雙重身份驗證。但是,將來可能會在某個時候出現。
LUKS 本身沒有任何需要兩個“密碼”(密碼片語、密鑰文件、TPM 密鑰…)來訪問給定設備的概念;它只知道密鑰槽,其中一個就足以解鎖設備。添加對其他身份驗證機制的支持而不是 LUKS 支持的其他身份驗證機制的工具,並且由於它們提供了額外的身份驗證,因此需要某種 PIN 的最佳位置可能就在那裡。Clevis 和 systemd 的開發人員都知道有興趣:
- 通過 TPM2 +“Tang or Passphrase”解鎖設備是 Clevis 的相關功能請求;
- Lennart Poettering 關於 systemd 248 對 TPM2 等的支持的文章的“未來”部分提到了 Windows 的 PIN + TPM2 機制。