在新安装的 NUC10i7FNK(今年的型号)上,带有已清除的 TPM2 芯片。
我尝试按照我能找到的所有 Google 搜索结果进行操作。我找到的最接近与当前版本的 tpm2 工具匹配的东西是使用带有 tpm2 引脚的 U 形夹(诚然,来自 Redhat),但这在配方的第一步就失败了:
$ sudo clevis luks bind -d /dev/nvme0n1p3 tpm2 '{"pcr_bank":"sha1","pcr_ids":"0,1"}'
ERROR: pcr-input-file filesize does not match pcr set-list
ERROR: Could not build pcr policy
ERROR: Unable to run tpm2_createpolicy
手册页(写得非常糟糕)根本没有提供任何帮助。有人会想,如果 Canonical 提供了 clevis-tpm2 和 tpm2-tools 包,他们会实际测试它们并提供某种文档吗?我从 Canonical 找到的只是 2018 年的一些博客文章,使用的是非常旧的 tpm2_tools 版本,大多数命令不再可用。
帮助?
答案1
sha1您的 tpm2 芯片/cpu 上可能已禁用该库。您可以使用tpm2_pcrread不带参数的应用程序来查看哪些库已启用。如果您看到其下的 pcr 哈希列表sha1已启用,否则您可能需要选择另一个确实列出了 pcr 的库。
您有可能可以使用sha256银行,此时您的命令将类似于以下内容:
sudo clevis luks bind -d /dev/nvme0n1p3 tpm2 '{"pcr_bank":"sha256","pcr_ids":"0,1"}'