Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2024-11-09 12:34:26

  Qvarc - Nowy użytkownik

Qvarc
Nowy użytkownik
Zarejestrowany: 2024-11-09

Dual boot LUKS TPM

Dzien Dobry

Czy mozna zrobic tak by system przy rozruchu Debian 12 pobieral haslo do rozszyfrowania  LUKS z TPM i nie trzeba go bylo wpisywac recznie i czy takie rozwiazanie daje cokolwiek ? i czy zadziala tak gdzie win 11 i debian sa zainstalowane na osobnych dyskach ?

Czy mozna rowniez wlaczyc secure boot i czy warto to w takiej konfiguracji robic?

na stan obecny mam to TPM i secure boot powylaczene w UEFI.

Podziekowal.

Ostatnio edytowany przez Qvarc (2024-11-09 12:35:01)

Offline

 

#2  2024-11-10 13:32:40

  morfik - Cenzor wirtualnego świata

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Re: Dual boot LUKS TPM

Potrzebne rejestry mogą być takie same i dla win i dla linux'a, przez co będziesz miał problemy, bo albo rejestry nie będą pasować do win albo do linux'a, więc jednego z tych dwóch systemów możesz nie być w stanie odpalić -- podobny problem, który dawniej w konfiguracji BIOS-MBR był z bootloader'em.

Druga sprawa, to po co ci w ogóle LUKS, skoro hasło do niego będzie podbierane z TPM, przez co system ci się będzie uruchamiał bez jakiegokolwiek zabezpieczenia? Czyli jak ukradnę ci laptopa, to automatycznie się odszyfruje, bo hasło system wydobędzie z TPM. Nie zbyt rozumiem to zabezpieczenie i jaką ono miałoby przewagę względem braku LUKS i nieszyfrowania danych? xD

TPM + secure boot ma jakiś tam jeszcze sens, bo będziesz w stanie zabezpieczyć kernel i initramfs. Sam secure boot na linux jest też pozbawiony sensu, bo obraz initramfs nie jest w żaden sposób zabezpieczony, przez co można sobie tam wgrać cokolwiek.

Generalnie to jeden system + TPM+ secure boot + hasło do LUKS.

Offline

 

#3  2024-11-10 18:55:55

  Pavlo950 - człowiek pasjonat :D

Pavlo950
człowiek pasjonat :D
Zarejestrowany: 2012-02-20
Serwis

Re: Dual boot LUKS TPM

Ja tam bez szyfrowania jadę od zawsze i nic się w ogóle nigdy nie stało.

morfik napisał(-a):

Druga sprawa, to po co ci w ogóle LUKS, skoro hasło do niego będzie podbierane z TPM, przez co system ci się będzie uruchamiał bez jakiegokolwiek zabezpieczenia? Czyli jak ukradnę ci laptopa, to automatycznie się odszyfruje, bo hasło system wydobędzie z TPM. Nie zbyt rozumiem to zabezpieczenie i jaką ono miałoby przewagę względem braku LUKS i nieszyfrowania danych? xD

Przy okazji nasunęły mi się dwa pytania:
1. Jeśli zaszyfrujemy sobie system i ewentualnie dane na innych partycjach (jak się da?) TPMem i przełożymy dysk do innego kompa to rozumiem że z odczytania danych racze nici?
2. Czy da się zabezpieczyć rozruch / system / dane yubikeyem (tym takim kluczem na usb) albo np dwoma jednocześnie?

Offline

 

#4  2024-11-10 19:48:33

  morfik - Cenzor wirtualnego świata

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Re: Dual boot LUKS TPM

Zaszyfrować TPM'em? xD

TPM to tylko mechanizm weryfikacyjny (ma rejestry i pewne wartości w nich, które są uzupełniane, np. przy aktualizacji systemu i weryfikowane podczas startu systemu). Tam możesz też zaszyć hasełka/klucze, w tym ten do LUKS. Niemniej jednak w dalszym ciągu hasło do LUKS jest w nagłówku samego kontenera i będziesz w stanie ręcznie otworzyć kontener na dowolnym systemie. Po prostu TPM robi to za ciebie automatycznie, tak jakbyś sobie zapisał do hasło w pliku i podał w skrypcie ten plik, tylko z tą różnicą, że do sekretu w TPM ciężko jest uzyskać dostęp.

Co do yubikey, to nie wiem bo nie mam. xD TPM mam w wersji v1. a wszystko teraz wymaga TPM v2, także trza by poczytać. Tak z grubsza, to yubikey ma zabezpieczać "coś" na wypadek ataków zdalnych. Zajebiście się sprawdza przy 2FA na necie ale raczej żaden z niego pożytek gdy masz go obok kompa, który ma on niby chronić. xD

Wygląda na to, że opracowali yubikey-luks , który to potrafi robić za 2FA przy odszyfrowaniu kontenera LUKS -- czyli podajesz poprawne hasło do LUKS i wsadzasz yubikey i ci odszyfruje. Więc technicznie raczej byłoby wykonalne takie zabezpieczenie na bazie TPM-YK-LUKS, gdzie sekret do kontenera byłby w TPM, 2FA w YK i TPM podczas startu podawał składową hasła, a YK składową 2FA i kontener tylko wtedy by został odszyfrowany i boot kontynuowany. Ale to tylko teoria -- jakbym miał jakaś nowocześniejszą maszynę z TPM2 i klucz YK, to bym to sprawdził. xD

Ostatnio edytowany przez morfik (2024-11-11 08:53:25)

Offline

 

#5  2024-11-11 04:06:58

  Qvarc - Nowy użytkownik

Qvarc
Nowy użytkownik
Zarejestrowany: 2024-11-09

Re: Dual boot LUKS TPM

Racja z tym TPM chyba lepiej wpisywać juz to hasło z głowy.
Co do secure boot...
Mam teraz włączony ten TPM 2 i wlaczylem secure boot Win 11 i Debian 12 na osobnych dyskach ,działa to i to oba systemy odpalają się ,uzylem ustawienia secure boot "standard" czyli nie generowalem żadnych podpisów osobiście dla Debiana ,rozumiem ze działa to przez shim na linuksie,
Secure boot zdaje się działać ponieważ kiedy wloze USB z Ventoy by odpalić z USB jakiś obraz to nie pozwala załadować i jest monit na czerwonym tle ze brak autoryzacji dla takiego działania.
Czy tak to ma działać?
Dzięki.

Ostatnio edytowany przez Qvarc (2024-11-11 04:08:11)

Offline

 

#6  2024-11-11 08:59:52

  morfik - Cenzor wirtualnego świata

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Re: Dual boot LUKS TPM

TPM i Secure Boot są niezależne od siebie, tj. jeden system może działać w konfiguracji TPM+SB, a drugi w konfiguracji SB. By skonfigurować TPM, to trzeba wypełnić w nim rejestry z poziomu działającego systemu. Nie wiem jak na windows sie TPM konfiguruje, ale na linux musisz tam parę poleceń w terminal wpisać, żeby TPM zaczął weryfikować kernel i initramfs podczas startu systemu.

Generalnie ja bym ci odradzał bawienie się TPM przy dwóch systemach, będziesz miał problemy. xD

Ostatnio edytowany przez morfik (2024-11-11 09:01:42)

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
Nas ludzie lubią po prostu, a nie klikając w przyciski ;-)