sectpmctl für LUKS Full Disk Encryption (FDE) (froscon2022)

Die meisten Linux-Distributionen verwenden für die Festplattenverschlüsselung ein Passwort. sectpmctl benutzt das TPM 2.0 Modul zusammen mit Secure Boot für die Verschlüsselung. Wahlweise kann zusätzlich eine Boot-PIN verwendet werden, die hardwareseitig vor Brute-Force Angriffen geschützt ist. Veränderungen der Secure Boot Schlüssel und der Boot-Dateien durch Viren oder Angreifer werden erkannt und der Bootvorgang verhindert. Im Falle eines Diebstahls sind alle Daten des Geräts geschützt. Dieses Tool ist eine komplett integrierte und einfache Lösung. Die typischen Probleme, die mit dem TPM entstehen (PCR Brittleness z. B.) werden umgangen durch die Verwaltung und Nutzung von Secure Boot und dem Provisionieren des TPM's nach dem TOFU Prinzip (Trust on first use). Die Nutzung des TPM's ist immun vor Änderungen durch System Upgrades, die Entschlüsselung wird nicht an den Userspace gebunden, sondern an den Hardware-Zustand. Zum Booten wird systemd-stub and systemd-boot verwendet. about this event: https://programm.froscon.org/2022/events/2766.html