web-dev-qa-db-ja.com

TrustedGrubなしでLinuxでTPMを使用できますか?

TPMを使用して、Linuxラップトップの起動プロセスを保護したいと思います。このトピックについて私が見つけたマニュアル、ハウツー、またはチュートリアルには、TrustedGrubブートローダーを使用して信頼チェーンを維持する必要があると記載されています。ただし、TrustedGrubは主要なディストリビューションのリポジトリにはなく、Grub1に基づいているため、起動できるファイルシステムの数は非常に限られており、最悪の場合、UEFIから起動できないため、単に使用できません。 。

私がやりたいのは、TPMで暗号化されたドライブのロックを解除するためのパスキーを封印することです。

私の頭の中にある質問は、TPMを使用するためにTrustedGrubを絶対に使用する必要があるのか​​、それともGrub2、Shim、Gummibootなどの別のブートローダーを使用できるのかということです。ブートローダーは、実際にどのブートローダーを選択するかが重要ですか?

5
Peter

それはあなたの要件に依存します。いつでもTPMにアクセスして、封印/開封操作を実行できます。

ただし、安全なブートが必要な場合は、次の2つのオプションしかありません。

  • 信頼の連鎖を拡張しているブートローダーを使用します。
  • たとえば、Intelの tboot およびIntel TXTを使用して、latelaunchを実行します。

どちらも行わないと、プラットフォーム構成を信頼できません。


編集:2014年1月30日、 TBootはUEFIのサポートを発表しました

1
Scolytus

セキュアブートとトラステッドブートの両方の場合、トラステッドgrubを取得する必要があります。信頼できるgrubが起動プロセスを測定します。信頼できるgrubを使用していないものは何も知りません。

0
Geek

LinuxでTPMツールを使用するためにTrustedGRUBをインストールまたは構成する必要はありません。

私は自分のシステムでツールを試しましたが、ファイルの封印や開封など、TrustedGRUBをインストールしなくても機能しました。キーを含むファイルを封印してから、既存のブートスクリプトにフックして(またはブートスクリプトを追加して)キーを開封し、それを使用してcryptsetup luksOpen ... --key-file {your unsealed key on a tmpfs}などを実行します。

もちろん、TPMの所有権を取得し、最初に再起動します。

0
LawrenceC