grub 2.04 поставляется во всех дистрибутивах, и, наконец, Linux может использовать все функции SecureBoot + TPM2 (в grub 2.04 PCR 8 и 9 заполняются и меняются, как только вы входите в меню).
Мне нравится, когда мои данные шифруются всегда и везде, поэтому я написал еще один пакет сценариев для использования TPM2 в качестве хранилища ключей для Luks.
Что оно может делать:
- проверить состояние ПЦР перед запечатыванием ключа и отменить, если некоторые ПЦР пусты
- защитить ключ с помощью дополнительного PIN-кода (AES256), цифрового или буквенно-цифрового
- запрашивать PIN-коды и пароли, используя окна проклятий (диалог)
- разделять секретный ключ на блоки и защищать их с помощью различных политик PCR (спецификация TPM 2.0 не позволяет одной политике использовать более 8 PCR, поэтому этот сценарий может разделять ключ и использовать разные политики PCR для каждого