我想使用 TPM 来保护我的 Linux 笔记本电脑的启动过程。我找到的有关此主题的任何手册、操作指南或教程都提到我必须使用 TrustedGrub 引导加载程序来保持信任链。但是,TrustedGrub 不在任何主要发行版的存储库中,它基于 Grub1,因此它可以从中启动的文件系统数量非常有限,最糟糕的是,它无法从 UEFI 启动,所以我根本无法使用它。
我想要做的是密封一个用于解锁 TPM 中加密驱动器的密钥。
我心中的问题是:我是否真的必须使用 TrustedGrub 才能使用 TPM,或者我可以使用其他引导加载程序,如 Grub2、Shim、Gummiboot 或其他什么?我选择哪个引导加载程序真的很重要吗?
答案1
这取决于您的要求。您始终可以访问 TPM 并执行密封/解封操作。
但如果您想要安全启动,那么您只有两个选择:
- 使用扩展信任链的引导加载程序。
- 执行延迟推出例如英特尔的启动和 Intel TXT。
如果您不这样做,您就无法信任您的平台配置。
编辑:2014年1月30日,TBoot 宣布支持 UEFI。
答案2
如果同时使用安全启动和受信任启动,则需要获取受信任的 grub。受信任的 grub 将测量启动过程。我不知道有什么东西没有使用受信任的 grub。
答案3
您无需安装或配置 TrustedGRUB 即可使用 Linux 中的 TPM 工具。
我尝试了系统上的这些工具,它们在未安装 TrustedGRUB 的情况下也能正常工作,包括密封和解封文件。您可能会密封一个包含密钥的文件,然后挂接到现有的启动脚本(或添加启动脚本)以解封密钥并使用它来运行cryptsetup luksOpen ... --key-file {your unsealed key on a tmpfs}或类似操作。
当然,首先要取得 TPM 的所有权并重新启动。