使用 TPM 和 Raspberry Pi 以无人值守模式启动 LUKS 加密分区
Use TPM with Raspberry Pi to boot LUKS encrypted partition in unattended mode
我需要在无人值守模式下使用 LUKS 加密根分区启动 Raspberry Pi。
据我了解,对于此任务,我可以使用 TPM(可信平台模块)芯片(我可以使用扩展板与 RaspberryPi 集成)和 tpm-luks。
我想知道是否真的可以在RaspberryPi中使用TPM模块来自动验证引导分区完整性并使用TPM芯片获取解密根分区的密钥。
不,这不可能。 TPM 是一个被动设备,它不能"validate boot partition integrity"。为了确保任何类型的完整性,您需要一个用于测量的信任根,这绝不是 TPM。您将需要一个可信赖且锁定的固件,其功能类似于 RTM。 Pi 的专有固件中没有它。
我需要在无人值守模式下使用 LUKS 加密根分区启动 Raspberry Pi。 据我了解,对于此任务,我可以使用 TPM(可信平台模块)芯片(我可以使用扩展板与 RaspberryPi 集成)和 tpm-luks。 我想知道是否真的可以在RaspberryPi中使用TPM模块来自动验证引导分区完整性并使用TPM芯片获取解密根分区的密钥。
不,这不可能。 TPM 是一个被动设备,它不能"validate boot partition integrity"。为了确保任何类型的完整性,您需要一个用于测量的信任根,这绝不是 TPM。您将需要一个可信赖且锁定的固件,其功能类似于 RTM。 Pi 的专有固件中没有它。