#!/coding/blatt
Sammelsurium mit Schwerpunkten Linux & IT-Sicherheit

Linux & TPM: Praktische Anwendungsfälle

24. Februar 2024 Stephan

Die meisten Computer sind heutzutage mit einem TPM (Trusted Platform Module) ausgestattet. Dabei handelt es sich um einen Sicherheitschip, der zusätzliche Sicherheitsfunktionen auf Hardwareebene bereitstellt. In der Praxis liest man vom TPM häufig im Zusammenhang mit Secure Boot zur Absicherung des Bootvorgangs. Es gibt aber auch noch andere praktische Anwendungsfälle, für die man einen TPM-Chip nutzen kann. Einige Beispiele für den Einsatz unter Linux findet ihr im folgenden Beitrag.

LUKS-Festplattenverschlüsselung

Anstelle einer - im Optimalfall komplexen - Passphrase können mit LUKS verschlüsselte Systeme auch mittels TPM abgesichert und entschlüsselt werden. Während das Ganze auch gänzlich ohne Passphrase bzw. PIN funktioniert, ist die Konfiguration einer zusätzlichen (kurzen) TPM-PIN empfehlenswert.

Details siehe: Arch Linux: LUKS-Volume mit TPM2 inkl. PIN entschlüsseln

GPG- & SSH-Schlüssel speichern

Eine der Hauptfunktionen eines TPM-Chips ist die sichere Erstellung sowie Aufbewahrung von kryptografischen Schlüsseln, wie z.B. private GPG- und SSH-Schlüssel.

Details siehe:
GPG-Keys mit TPM verschlüsselt speichern
SSH-Keys mit TPM verschlüsselt speichern

VeraCrypt-Schlüsseldatei (Keyfile) speichern

Der Zugriff auf den TPM-Chip kann auch über eine PKCS#11-Schnittstelle stattfinden. Dadurch lässt sich bspw. auch eine VeraCrypt-Schlüsseldatei mittels TPM-Chip verschlüsselt speichern.

Details siehe: VeraCrypt: Schlüsseldatei (Keyfile) mit TPM absichern

Measured Boot

Measured Boot ist einer weiterer sinnvoller Anwendungsfall für TPMs. Hierdurch lässt sich sicherstellen, dass sich das eigene System nach dem Booten in einem vertrauenswürdigen Zustand befindet und nicht manipuliert wurde.

Details siehe: Arch Linux: Bootvorgang mittels TPM2 & TOTP messen und Vertrauenswürdigkeit überprüfen (Measured-Boot)

Weitere Anwendungsfälle

Neben den oben genannten Anwendungsfällen, zu denen ich bereits Beiträge hier im Blog veröffentlich habe, gibt es noch weitere, wie z.B.:

  • sichere Zufallszahlen generieren
  • Remote Attestation
  • als FIDO2-Schlüssel verwenden

Fazit

Linux und TPM schließen sich nicht aus. Manche Anwendungsfälle sind unter Linux zwar noch etwas hakelig, aber die Unterstützung unter Linux wird immer besser.