Gostaria de usar o TPM para proteger o processo de inicialização do meu laptop linux. Qualquer manual, howto ou tutorial que encontrei sobre este tópico menciona que tenho que usar o gerenciador de inicialização TrustedGrub para manter a cadeia de confiança. O TrustedGrub, no entanto, não está nos repositórios de nenhuma distribuição principal, é baseado no Grub1, portanto, o número de sistemas de arquivos dos quais ele pode inicializar é bastante limitado e, pior de tudo, não pode inicializar a partir do UEFI. .
O que eu quero fazer é selar uma chave de acesso para desbloquear uma unidade criptografada no TPM.
A pergunta em minha mente é: eu realmente preciso usar TrustedGrub para usar o TPM, ou posso usar outro gerenciador de inicialização como o Grub2, o Shim, o Gummiboot ou o que há de novo? O bootloader realmente importa qual bootloader eu escolho?Depende dos seus requisitos. Você sempre pode acessar o TPM e executar operações de vedação / abertura.
Mas se você quiser uma inicialização segura, você tem apenas duas opções:
Se você não fizer isso, não poderá confiar na configuração da sua plataforma.
EDIT: Em 30 de janeiro de 2014, TBoot anunciou suporte para UEFI .
No caso de ambos, inicialização segura e inicialização confiável, você precisa obter o grub confiável. O grub confiável medirá o processo de inicialização. Não tenho conhecimento de nada que não esteja usando o grub confiável.
Você não precisa instalar ou configurar o TrustedGRUB para usar as ferramentas do TPM no Linux.
Eu experimentei as ferramentas no meu sistema e elas funcionaram sem o TrustedGRUB ser instalado, incluindo arquivos de selagem e desselagem. Você provavelmente selaria um arquivo contendo a chave e então entraria em um script de inicialização existente (ou adicionaria um script de inicialização) para abrir a chave e usá-la para executar um cryptsetup luksOpen ... --key-file {your unsealed key on a tmpfs} ou similar.
Claro, assuma a propriedade do TPM e reinicie primeiro.
Tags boot bootloader tpm linux grub