Es fing gut mit diesen, beiden Tutorials an und endete damit, dass ich mich 2h lang in die Dokumentation vom tpm-tools vpm-werkzeuge (vpm = vertrauenswürdiges Plattform Modul)eingelesen habe nur um eine verficke pcr-policy pcr-regel zu erstellen und damit im Endeffekt nichts funktioniert (ich habe die pcr-regel nicht erstellen können).

  • mech@feddit.org
    11·
    3 days ago

    Ich arbeite als Systemadministrator und weiß bis heute nicht, was ein TPM Modul macht, oder wozu es gut ist.
    Wo liegt der Vorteil gegenüber Festplattenverschlüsselung mit einem Passwort + Autologin?

      • Wofls@feddit.org
        12·
        3 days ago

        Also kp, aber LUKS-Encryption ist bei den meisten Linux Installs ne Option und meiner Erfahrung nach sehr pflegeleicht

        • Missy@feddit.org
          1·
          3 days ago

          Ja echt cool, bin nicht super Linux versiert und habe LUKS1 auf Grub und Festplatte angewendet. Ist bei CachyOS leicht einzurichten.

      • mech@feddit.org
        3·
        3 days ago

        Verschlüsselung und Anmeldung sind komplett separate Systeme.
        Bei einer benutzerfreundlichen Linux-Verteilung kann man üblicherweise die Verschlüsselung mit Passwort bei der Installation einrichten.
        Und bei Gnom und KDE kann man in den Einstellungen zur Anmeldung die automatische Benutzeranmeldung ohne Passwort einstellen.
        Dann braucht man das lange, sichere Passwort zur Entschlüsselung nur einmal beim Stiefeln. Das Benutzer-Passwort kann dann kürzer sein und wird nur für sudo gebraucht.

        Wenn man so dumm ist wie ich und Schlaffware nutzt, ist es ein Bisschen komplizierter.

    • Zoneflasher@feddit.orgDeutsch
      4·
      3 days ago

      Du kannst dir das TPM stark vereinfacht wie einen Passwortmanager für Schlüssel vorstellen. Die Konfiguration des Systemstarts wird auch als Schlüssel gespeichert (PCRs nennen sich die Register dafür). Damit kann dann überprüft werden, ob das Gerät ordnungsgemäß gestartet ist und Zugriff auf andere Schlüssel gewährt werden darf.

      Wird z.B. bei BitLocker (größtenteils zusätzlich zu einem Passwort) eingesetzt. Damit kommst du dann nicht an Daten, wenn du nur das Passwort und die Festplatte hast oder sich der Startvorgang aufgrund eines Angriffs auf das System verändert hat. Vorteile wären:

      • Zusätzlicher Schutz zu Passwort
      • oder kein Passwort merken notwendig
      • Schlüssel war nie auf der Festplatte und konnte / kann nicht abgegriffen werden
      • Schutz, ohne dass der User das in seinem Alltag merkt (bei Verschlüsselung wie BitLocker und LUKS2 merkt man es nicht und es wird auch als “Schutz” für die Lizenz von Microsoft Produkten wie Office verwendet)

      Nur bei technischen Defekten brauchst du dringend Backups bzw. einen weiteren Schlüssel für die verwendete Verschlüsselung, aber die sollten ja sowieso immer da sein…

    • bennypr0fane@discuss.tchncs.deDeutsch
      41·
      3 days ago

      Ist TPM nicht so eine neumodische Mikroweich-Erfindung? Ich habe mich ja beim Lesen des Pfostentitels gleich gewundert, dass das funktionieren sollte, und siehe da… Es klingt fast so ähnlich wie “Bash-Skripte mit MS Word schreiben” oder “Linux-User mit Azure Active Directory managen” oder so. Bei Datenträger-Verschlüsselung unter Linux denke ich, wie die anderen Zuhausis, auch zuerst an LUKS. Keine Ahnung, ob die Hartware dafür dann das TPM verwenden will, ist mir eig egal. Sicher ist es direkt bei der Installation viel unkomplizierter einzurichten als nachträglich

  • da_cow (she/her)@feddit.orgOP
    7·
    2 days ago

    Für die die es genau interessiert (Achtung ich werde auf Zangendeutsch verzichten):

    Das eine Tutorial meinte, dass ich einen key und einen Keyslot für die Verschlüsselung erstellen soll und den Key anschließend an das TPM binde.

    # Create a new key slot 

sudo cryptsetup luksAddKey /dev/sda1 /root/tpm_key   

\# Seal the key to the TPM   

sudo tpm2_createprimary -C o -c primary.ctx   

sudo tpm2_create -C primary.ctx -u key.pub -r key.priv -a "fixedtpm|fixedparent|sensitivedataorigin|userwithauth|restricted|decrypt" -L "sha256:0000000000000000000000000000000000000000000000000000000000000000" -i /root/tpm_key -o sealed_key

    tpm2_create will nach der Dokumentation für den -L Parameter entweder einen HEX-String oder eine pcr.policy haben und hat sich beschwert, dass es mit der sha256 summe nicht klar kam. Das hat ein ziemlich tiefes Hasenloch geöffnet, wie ich an so eine räudige policy drankomme. Wie so etwas funktionieren soll wird hier beschrieben, Problemchen war nur, dass tpm2.policycreate sich beschwert hat, dass es nicht mit den pcr beispielen klarkam.

    Falls jemand von euch weiß, wie ich das ganze doch noch hinbekomme würde ich mich freuen.

    Würde mich auch darüber freuen, wenn mir wer sagen kann, wie ich längere code blöcke hier einfügen und formatieren kann, ohne dass entweder die Formatierung zerschossen wird (wenn ich den code in \´ setze) oder bis zum Ende des Kommentars geht (wenn ich den code in ``` setze)

  • biber@feddit.orgDeutsch
    2·
    3 days ago

    In opensuse konnte ich das beim installieren auswählen - funktioniert einwandfrei, nur muss ich den tpm2 key beim booten fünf Mal eingeben, kp warum.

    Ich spar mir die >5h das zu fixen und geb lieber alle paar Wochen das Passwort fünfmal ein :)

    • da_cow (she/her)@feddit.orgOP
      1·
      2 days ago

      Ich richte aktuell eine Laptopausleihe in unserem Fachbereich ein und die Vorgabe ist, dass wir Bitlocker (also unter Windows wäre das Bitlocker) verwenden sollen. Dementsprechend wird das halt auch der Vorgabe entsprechend eingerichtet.