현재 LUKS 암호화된 루트 파티션을 TPM2에 바인딩하는 두 가지 최근 방법을 알고 있습니다. systemd-cryptenroll
둘 clevis
다 키 밀봉 PCR을 성공적으로 확인한 후 암호화 키를 해제하는 것 같습니다.
하지만 사용자 상호 작용 없이 볼륨을 해독한다는 아이디어는 마음에 들지 않습니다. 저는 Windows용 BitLocker가 제공하는 것과 유사한 TPM과 추가 PIN 또는 복구 키를 갖춘 솔루션을 선호합니다.
온라인에서 철저한 검색에도 불구하고 이에 대한 팁을 찾을 수 없었습니다. 누구든지 해결책을 알고 있습니까?
--recovery-key
편집: 옵션이 있습니다 systemd-cryptenroll
. TPM을 사용할 때 필요한 추가 PIN을 얻는 방법에 대한 질문에만 관심이 있습니다.
답변1
2022-05-21 - 시스템 v251
TPM2 + PIN에 대한 지원이 systemd-cryptenroll에 병합되었으며 v251 릴리스의 일부로 제공됩니다.
디스크 암호화 변경 사항:
systemd-cryptenroll은 이제 새로운 --tpm2-with-pin= 옵션을 통해 TPM 기반 볼륨 잠금 해제를 사용할 때 사용자가 PIN을 입력해야 하는지 여부를 제어할 수 있습니다.
tpm2-pin= 옵션은 /etc/crypttab에서 사용할 수 있습니다.
답변2
현재 LUKS 장치를 열 때 이중 인증은 지원되지 않습니다. 그러나 미래의 어느 시점에는 그렇게 될 수도 있습니다.
LUKS 자체는 특정 장치에 액세스하는 데 두 개의 "비밀번호"(비밀번호, 키 파일, TPM 키...)가 필요하지 않으며, 그 중 하나는 장치 잠금을 해제하는 데 충분합니다. 여기에 LUKS 지원 외에 다른 인증 메커니즘에 대한 지원을 추가하고 추가 인증을 제공하는 도구이므로 일종의 PIN을 요구하는 가장 좋은 장소는 아마도 거기일 것입니다. Clevis와 systemd 개발자 모두 다음과 같은 관심을 인식하고 있습니다.
- TPM2 + "Tang 또는 비밀번호"를 통해 장치 잠금 해제이는 U자형 클램프의 관련 기능 요구 사항입니다.
- "미래"섹션TPM2 등에 대한 systemd 248 지원에 대한 Lennart Poettering의 게시물입니다.Windows의 PIN+TPM2 메커니즘을 언급했습니다.