現在、LUKS暗号化されたルートパーティションをTPM2にバインドする2つの最近の方法を知っています。systemd-cryptenroll
どちらclevis
もキーシールPCRを正常に確認した後、暗号化キーを解放するようです。
しかし、ユーザーの対話なしにボリュームを解読するという考えは気に入らない。私は、Windows用のBitLockerが提供するものと同様のTPMと追加のPINまたは回復キーを備えたソリューションを好みます。
オンラインでの徹底的な検索にもかかわらず、これに関するヒントが見つかりませんでした。誰もが解決策を知っていますか?
--recovery-key
編集:オプションがありますsystemd-cryptenroll
。 TPMを使用するときに必要な追加のPINを取得する方法に関する質問にのみ興味があります。
ベストアンサー1
2022-05-21 - システムv251
TPM2+ PIN のサポートは systemd-cryptenroll にマージされ、v251 リリースの一部として提供されます。
ディスク暗号化の変更:
systemd-cryptenrollは、新しい--tpm2-with-pin =オプションを使用してTPMベースのボリュームロック解除を使用するときにユーザーがPINを入力するかどうかを制御できるようになりました。
tpm2-pin= オプションは /etc/crypttab で使用できます。