在我的笔记本电脑中,我在打开笔记本电脑时设置了 bios 密码,一旦我输入该密码,笔记本电脑就会启动我的 linux 发行版并解密磁盘,而无需输入任何其他密码。为此,我设置了 TPM,如果 PCR 未发生改变,则自动解密磁盘。
但是现在我正在研究 TPM 的 PCR,以便能够防止某些窃贼偷走我的笔记本电脑(开机时有 bios 密码)来启动任何东西。我想设置一个 PCR,当 UEFI 状态改变时改变(因此当潜在的小偷重置 CMOS 时也会重置 UEFI 并删除 bios 密码),这样我的 linux 发行版就会提示解密密码,小偷就无能为力了。
但是我尝试了 PCR1,它应该与 UEFI 设置相关,如果我在 UEFI 设置中更改任何内容,则不会发生任何变化。因此,我尝试了所有 PCR,但如果我编辑 UEFI 设置,则不会发生任何变化。为什么?我可以做些什么来阻止重置 CMOS 并启动笔记本电脑的可能性?
编辑: 由于所有这些都不起作用并且 PCR 不考虑 BIOS/UEFI 变化等.................... 我反映说,与其使用 TPM 只是为了防止询问解密密码,我只需禁用 SecureBoot 而不使用 TPM,然后输入解密磁盘密码即可。但是,我没有输入两个密码(bios 启动密码和解密磁盘密码),而是用 bios 设置密码替换了 bios 启动密码(因此它只会在我想要访问 bios 或想要更改启动顺序时询问我),因此当我打开笔记本电脑时,我只需要输入一个密码:磁盘解密密码 :)