TPM wird schon lange unterstützt...

...dafür zuständig ist im wesentlichen System-D - und der Kernel natürlich.

Unter Fedora den Schlüssel zu generieren und ins TPM zu heben ist ein dreizeiler in der Konsole (bei einer Standard-Luks installation):
> 1. systemd-cryptenroll /dev/nvme0n1p3 --tpm2-device=auto
> 2. {your-favorite-editor} /etc/crypttab
>am Ende der Zeile wird das letzte Wort "discard" ersetzt durch "discard,tpm2-device=auto" ersetzt
> 3. dracut --force

Reboot
Danach kann man noch mittels cryptsetup bzw. mit systemd-cryptenroll das Passwort komplett entfernen und stattdessen einen Recovery Key erstellen:
> systemd-cryptenroll /dev/nvme0n1p3 --wipe-slot password

Das geht unter Fedora - und unter vielen anderen Distris schon seit gefühlt Jahren, ich müsste nachsehen, wann die Unterstützung dazu tatsächlich kam.

Bleibt unterm Strich übrig, dass Canonical das in seiner Setup-Gui automatisiert hat. Welch eine Leistung ;-)

Verifizierter Top 500 Poster!

Signatur von quineloe geklaut!

Signatur von Gunslinger Gary geraubmordkopiert!0

Special thanks to Muhaha, the Raubmordneonazi-Modder



1 mal bearbeitet, zuletzt am 13.10.23 13:24 durch Truster.

> Bleibt unterm Strich übrig, dass Canonical das in seiner Setup-Gui automatisiert hat. Welch eine Leistung ;-)

Und deswegen wird Linux einfach niemals in der breiten Masse eingesetzt werden. Es *ist* eine unglaubliche Leistung, so etwas so umzusetzen, dass die breite Masse es nutzen kann. Offenbar haben die anderen es ja bisher nicht hinbekommen.

Nee, Canonical geht da einen kleinen Sonderweg über Snaps, weil die das irgendwie von Ubuntu Core übernommen haben:

https://ubuntu.com/blog/tpm-backed-full-disk-encryption-is-coming-to-ubuntu

Hat wohl den Vorteil, dass Kernel und das initramfs zusammen signiert sind. Somit sollte es nicht mehr möglich sein, die Platte zu entfernen, das initramfs zu manipulieren um damit die Verschlüsselung auszuhebeln.

Leider gibt es noch nirgendwo eine Beschreibung, wie man ein bestehendes System dahin migriert... Aber vielleicht ist das auch ohne Neuinstallation auch nicht möglich...



1 mal bearbeitet, zuletzt am 13.10.23 15:07 durch eisbaer82.

Linuxer so:

> Unter Fedora den Schlüssel zu generieren und ins TPM zu heben ist ein
> dreizeiler in der Konsole (bei einer Standard-Luks installation):
> > 1. systemd-cryptenroll /dev/nvme0n1p3 --tpm2-device=auto
> > 2. {your-favorite-editor} /etc/crypttab
> >am Ende der Zeile wird das letzte Wort "discard" ersetzt durch
> "discard,tpm2-device=auto" ersetzt
> > 3. dracut --force
>
> Reboot
> Danach kann man noch mittels cryptsetup bzw. mit systemd-cryptenroll das
> Passwort komplett entfernen und stattdessen einen Recovery Key erstellen:
> > systemd-cryptenroll /dev/nvme0n1p3 --wipe-slot password
>
> Das geht unter Fedora - und unter vielen anderen Distris schon seit
> gefühlt Jahren, ich müsste nachsehen, wann die Unterstützung dazu
> tatsächlich kam.
>
> Bleibt unterm Strich übrig, dass Canonical das in seiner Setup-Gui
> automatisiert hat. Welch eine Leistung ;-)

Auch Linuxer so:

> Windows voll doof wääh alle sollten Linux nutzen so dumme Menschen wääh

Ich weiß nicht, fehlt es da an Selbtreflektion oder was ist da das exakte Problem?
Unter Windows gehe ich in die Einstellungen ins System, sage "Festplatte verschlüsseln", kriege einen Key, kann den direkt an Orte wie ein AD syncen und fertig.
Keine 60 Commands, keine Vergleiche mit anderen Distris

Ja, da hat Canonical eine gute Leistung erzielt. Eine, die Linux mal irgendwann real an so etwas wie ein Windows auf dem Consumer Markt bringen wird. Wer das nicht sieht, ist blind.

Truster schrieb:
--------------------------------------------------------------------------------
> ...dafür zuständig ist im wesentlichen System-D - und der Kernel
> natürlich.
>
> Unter Fedora den Schlüssel zu generieren und ins TPM zu heben ist ein
> dreizeiler in der Konsole (bei einer Standard-Luks installation):
> > 1. systemd-cryptenroll /dev/nvme0n1p3 --tpm2-device=auto
> > 2. {your-favorite-editor} /etc/crypttab
> >am Ende der Zeile wird das letzte Wort "discard" ersetzt durch
> "discard,tpm2-device=auto" ersetzt
> > 3. dracut --force
>
> Reboot
> Danach kann man noch mittels cryptsetup bzw. mit systemd-cryptenroll das
> Passwort komplett entfernen und stattdessen einen Recovery Key erstellen:
> > systemd-cryptenroll /dev/nvme0n1p3 --wipe-slot password
>
> Das geht unter Fedora - und unter vielen anderen Distris schon seit
> gefühlt Jahren, ich müsste nachsehen, wann die Unterstützung dazu
> tatsächlich kam.
>
> Bleibt unterm Strich übrig, dass Canonical das in seiner Setup-Gui
> automatisiert hat. Welch eine Leistung ;-)

Also gerade weil es via Gui läuft und damit auch für Noobs geeignet ist, ist das eine Leistung. Deine Anleitung finde ich tausendfach im Netz und ist daher wohl wirklich keine Leistung ;-)

Truster schrieb:
--------------------------------------------------------------------------------
> Bleibt unterm Strich übrig, dass Canonical das in seiner Setup-Gui
> automatisiert hat. Welch eine Leistung ;-)

Ja, kein Gefremele im Terminal mehr. Ist ja schließlich nicht mehr 1970.