根据网上很多教程,将TPM存储的密钥添加到LUKS的过程是运行clevis luks bind -d /dev/sda1 tpm2 '{"pcr_ids": "7"}',但我收到以下错误:
ERROR: pcr-input-file filesize does not match pcr set-list
ERROR: Could not build pcr policy
ERROR: Unable to run tpm2_createpolicy
Invalid input!
所以我删除了 pcr_ids 并且命令变为clevis luks bind -d /dev/sda1 tpm2 '{}'. 这很好用。将“密码短语”添加到插槽并将磁盘添加到 /etc/crypttab(使用 tpm2-device=auto)使磁盘能够在启动时自动解密。
我不确定它是否足够安全。这种做法有任何漏洞吗?
PS 我在 MSI X570A-PRO 上使用 AMD 5950X(及其 ftpm)