我需要在无人参与模式下使用LUKS加密的根分区启动Raspberry Pi。
据我了解,我可以使用TPM(受信任的平台模块)芯片(可以使用扩展板与RaspberryPi集成)和tpm-luks。
我想知道是否真的有可能在RaspberryPi中使用TPM模块来自动验证启动分区的完整性,并获得使用TPM芯片解密根分区的密钥。

最佳答案

不,不可能。 TPM是被动设备,它不能“验证启动分区的完整性”。为了确保任何类型的完整性,您都需要信任的根源来进行测量,而这绝不是TPM。您将需要一个具有RTM功能的受信任且锁定状态的固件。 Pi的专有固件中没有这些。

10-04 14:11