Posso usar o TPM no linux sem TrustedGrub?

5

Gostaria de usar o TPM para proteger o processo de inicialização do meu laptop linux. Qualquer manual, howto ou tutorial que encontrei sobre este tópico menciona que tenho que usar o gerenciador de inicialização TrustedGrub para manter a cadeia de confiança. O TrustedGrub, no entanto, não está nos repositórios de nenhuma distribuição principal, é baseado no Grub1, portanto, o número de sistemas de arquivos dos quais ele pode inicializar é bastante limitado e, pior de tudo, não pode inicializar a partir do UEFI. .

O que eu quero fazer é selar uma chave de acesso para desbloquear uma unidade criptografada no TPM.

A pergunta em minha mente é: eu realmente preciso usar TrustedGrub para usar o TPM, ou posso usar outro gerenciador de inicialização como o Grub2, o Shim, o Gummiboot ou o que há de novo? O bootloader realmente importa qual bootloader eu escolho?

    
por Peter 14.07.2013 / 20:48

3 respostas

1

Depende dos seus requisitos. Você sempre pode acessar o TPM e executar operações de vedação / abertura.

Mas se você quiser uma inicialização segura, você tem apenas duas opções:

  • Use um gerenciador de inicialização que está ampliando a cadeia de confiança.
  • Execute um lançamento tardio , por exemplo, com o tboot e o Intel TXT da Intel.

Se você não fizer isso, não poderá confiar na configuração da sua plataforma.

EDIT: Em 30 de janeiro de 2014, TBoot anunciou suporte para UEFI .

    
por 15.07.2013 / 21:26
0

No caso de ambos, inicialização segura e inicialização confiável, você precisa obter o grub confiável. O grub confiável medirá o processo de inicialização. Não tenho conhecimento de nada que não esteja usando o grub confiável.

    
por 18.11.2013 / 19:29
0

Você não precisa instalar ou configurar o TrustedGRUB para usar as ferramentas do TPM no Linux.

Eu experimentei as ferramentas no meu sistema e elas funcionaram sem o TrustedGRUB ser instalado, incluindo arquivos de selagem e desselagem. Você provavelmente selaria um arquivo contendo a chave e então entraria em um script de inicialização existente (ou adicionaria um script de inicialização) para abrir a chave e usá-la para executar um cryptsetup luksOpen ... --key-file {your unsealed key on a tmpfs} ou similar.

Claro, assuma a propriedade do TPM e reinicie primeiro.

    
por 18.11.2013 / 19:40