5

Я хотел бы использовать TPM для защиты моего процесса загрузки для моего ноутбука Linux. В любом руководстве, руководстве или руководстве по этой теме, которое я нашел, упоминается, что я должен использовать загрузчик TrustedGrub, чтобы поддерживать цепочку доверия. TrustedGrub, однако, отсутствует в репозиториях какого-либо крупного дистрибутива, он основан на Grub1, поэтому число файловых систем, с которых он может загружаться, весьма ограничено, и, что хуже всего, он не может загружаться из UEFI, поэтому я просто не могу его использовать ,

Что я хочу сделать, так это запечатать пароль для разблокировки зашифрованного диска в TPM.

Вопрос в моей голове: действительно ли я должен использовать TrustedGrub, чтобы использовать TPM, или я могу использовать другой загрузчик, такой как Grub2, Shim, Gummiboot или whatelse? Действительно ли загрузчик имеет значение, какой загрузчик я выберу?

3 ответа3

1

Это зависит от ваших требований. Вы всегда можете получить доступ к TPM и выполнить операции запечатывания / распечатывания.

Но если вам нужна безопасная загрузка, у вас есть только два варианта:

  • Используйте загрузчик, расширяющий цепочку доверия.
  • Выполните поздний запуск, например, с помощью Intel tboot и Intel TXT.

Если вы этого не сделаете, вы не можете доверять конфигурации вашей платформы.


РЕДАКТИРОВАТЬ: 30 января 2014 года TBoot объявил о поддержке UEFI.

0

В случае как безопасной, так и безопасной загрузки вам нужно получить надежный grub. Trusted Grub будет измерять процесс загрузки. Я не знаю ничего, что не использует доверенный grub.

0

Вам не нужно устанавливать или настраивать TrustedGRUB для использования инструментов TPM в Linux.

Я экспериментировал с инструментами в моей системе, и они работали без установки TrustedGRUB, включая запечатывание и распечатывание файлов. Вы, вероятно, запечатали бы файл, содержащий ключ, а затем подключились к существующему загрузочному сценарию (или добавили загрузочный скрипт), чтобы распечатать ключ и использовать его для запуска cryptsetup luksOpen ... --key-file {your unsealed key on a tmpfs} или аналогичный.

Конечно, возьмите в собственность TPM и перезагрузите компьютер в первую очередь.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .