Es fing gut mit diesen, beiden Tutorials an und endete damit, dass ich mich 2h lang in die Dokumentation vom tpm-tools vpm-werkzeuge (vpm = vertrauenswürdiges Plattform Modul)eingelesen habe nur um eine verficke pcr-policy pcr-regel zu erstellen und damit im Endeffekt nichts funktioniert (ich habe die pcr-regel nicht erstellen können).
Ich arbeite als Systemadministrator und weiß bis heute nicht, was ein TPM Modul macht, oder wozu es gut ist.
Wo liegt der Vorteil gegenüber Festplattenverschlüsselung mit einem Passwort + Autologin?
Wusste gar nicht, dass sowas auch geht. Das würde mir glaube einiges an Arbeit ersparen.
Also kp, aber LUKS-Encryption ist bei den meisten Linux Installs ne Option und meiner Erfahrung nach sehr pflegeleicht
LUKS war kein Problem. Das ganze mit TPM zu verbinden ist ein ganz anderes Level von nervig.
Ja echt cool, bin nicht super Linux versiert und habe LUKS1 auf Grub und Festplatte angewendet. Ist bei CachyOS leicht einzurichten.
Verschlüsselung und Anmeldung sind komplett separate Systeme.
Bei einer benutzerfreundlichen Linux-Verteilung kann man üblicherweise die Verschlüsselung mit Passwort bei der Installation einrichten.
Und bei Gnom und KDE kann man in den Einstellungen zur Anmeldung die automatische Benutzeranmeldung ohne Passwort einstellen.
Dann braucht man das lange, sichere Passwort zur Entschlüsselung nur einmal beim Stiefeln. Das Benutzer-Passwort kann dann kürzer sein und wird nur für sudo gebraucht.
Wenn man so dumm ist wie ich und Schlaffware nutzt, ist es ein Bisschen komplizierter.
Ah OK, das ist für mich keine Option (aufgrund von verschiedenen anderen Anforderungen)
KDE-> Kühle Schreibtisch UmgebungKDE steht schon seit 18 Jahren nicht mehr für irgendetwas anderes als den KDE e.V.
Du kannst dir das TPM stark vereinfacht wie einen Passwortmanager für Schlüssel vorstellen. Die Konfiguration des Systemstarts wird auch als Schlüssel gespeichert (PCRs nennen sich die Register dafür). Damit kann dann überprüft werden, ob das Gerät ordnungsgemäß gestartet ist und Zugriff auf andere Schlüssel gewährt werden darf.
Wird z.B. bei BitLocker (größtenteils zusätzlich zu einem Passwort) eingesetzt. Damit kommst du dann nicht an Daten, wenn du nur das Passwort und die Festplatte hast oder sich der Startvorgang aufgrund eines Angriffs auf das System verändert hat. Vorteile wären:
Nur bei technischen Defekten brauchst du dringend Backups bzw. einen weiteren Schlüssel für die verwendete Verschlüsselung, aber die sollten ja sowieso immer da sein…
Ist TPM nicht so eine neumodische Mikroweich-Erfindung? Ich habe mich ja beim Lesen des Pfostentitels gleich gewundert, dass das funktionieren sollte, und siehe da… Es klingt fast so ähnlich wie “Bash-Skripte mit MS Word schreiben” oder “Linux-User mit Azure Active Directory managen” oder so. Bei Datenträger-Verschlüsselung unter Linux denke ich, wie die anderen Zuhausis, auch zuerst an LUKS. Keine Ahnung, ob die Hartware dafür dann das TPM verwenden will, ist mir eig egal. Sicher ist es direkt bei der Installation viel unkomplizierter einzurichten als nachträglich
Der Grund wieso ich das mache ist, dass ich eine Laptopausleihe an der Uni (vom Fachschaftsrat aus) einrichte und wir die Vorgabe haben “Bitlocker” zu verwenden (also LUKS mit TPM unter Linux). Das hat durchaus auch Sicherheitstechnische Vorteile und nein, TPM ist nicht “nur eine Erfindung von MS”. Das hat durchaus seine Daseinsberechtigung.
https://www.simplified.guide/linux/install-internet-explorer