解决消息“将 jwk 加载到 TPM2 失败!”

解决消息“将 jwk 加载到 TPM2 失败!”

我对此一筹莫展。带有 TPM 模块的 CentOS 7 机器。

如果我从终端重新启动它,似乎没问题。但如果我硬重启它,它显然会陷入这种状态,并吐出:

Nov 13 15:17:44 dracut-initqueue: Loading jwk to TPM2 failed!

为了两个小时,吐出之前:

systemd-cryptsetup: Set cipher aes, mode xts-plain64, key size 512 bits for device /dev/disk/by-uuid/xxx.
Nov 13 15:17:52 kernel: alg: No test for fips(ansi_cprng) (fips_ansi_cprng)
Nov 13 15:17:53 systemd: Found device /dev/mapper/luks-xxx.
Nov 13 15:17:53 systemd: Started Cryptography Setup for luks-xxx.
Nov 13 15:17:53 systemd: Reached target Local Encrypted Volumes.
Nov 13 15:17:53 systemd: Reached target System Initialization.
Nov 13 15:17:53 systemd: Reached target Basic System. 

最后加载操作系统。

我不懂这啥意思。

答案1

这对于介绍(可能)正在发生的事情可能很有用: https://blog.dowhile0.org/2017/10/18/automatic-luks-volumes-unlocking-using-a-tpm2-chip/

根据这些消息,您的系统配置了 LUKS 磁盘加密,显然使用 TPM 模块作为密钥存储。之后的消息两个小时'等待看起来像激活加密根文件系统的正常诊断消息。

LUKS 和 TPM 工具之间的基础设施可能由该包提供clevis,这Loading jwk to TPM2 failed!看起来确实像是来自 的消息clevis

通过快速谷歌搜索,我发现了这个:https://github.com/latchset/clevis/issues/95

显然,现在/曾经存在某种问题会触发 TPM 的速率限制功能。这让我认为解决方法可能是在启动用于检索/解密磁盘加密解锁密钥的 TPM 过程之前应用某种延迟或检查 TPM 模块是否已完全准备好。

这可能不符合完整的答案,但我希望它至少可以帮助您了解可能发生的情况,并可能为您提供进一步诊断的想法。

相关内容