使用TPM和Raspberry Pi在无人值守模式下引导LUKS加密分区

Question

我需要在无人值守模式下用LUKS加密的根分区启动Raspberry Pi。正如我所理解的那样，我可以使用TPM (可信平台模块)芯片(它可以与RaspberryPi集成，使用扩展板)和tpm。我想知道是否真的有可能在RaspberryPi中使用TPM模块自动验证引导分区的完整性，并获得使用TPM芯片解密根分区的密钥。

Answer 1

不，这不可能。TPM是一个被动的设备，它不能“验证引导分区的完整性”。为了确保任何类型的完整性，您需要一个信任的根来衡量，而这绝不是TPM。您将需要一个可信和锁定固件，作为这样一个RTM的功能。你在Pi的专有固件中没有这一点。