faulTPM是否用密码来击败陆基FDE？

Question

最近的一份faulTPM文件(https://arxiv.org/pdf/2304.14717v1.pdf)主要讨论的是比特储物柜，只提到LUKS来说明差异。

提交人指出：

然而，通过密码，只有密码的保护器所提供的安全级别将保持不变，这要归功于在VMK被TPM封存之前对VMK应用的额外加密层。

但VMK似乎是特定于比特存贮器的。

摘要结尾是：

我们的结果表明，当fTPM的内部状态被破坏时，FDE的TPM和PIN策略比TPM更安全--没有合理的密码保护。

比特储物柜中的"PIN“一词与密码(”增强型PIN")互换使用，使其更难破译。

AFAIK基于LUKS的FDE，至少在默认情况下(在Ubuntu安装期间是常见的)使用TPM来存储密钥。

这是否意味着用户在引导时提供密码的FDE/LUKS设置被faulTPM击败，因为密钥存储在TPM中？是否有一种方法可以使用FDE/LUKS在"TPM-less“模式下只使用密码？如果是这样的话，这会为faulTPM提供足够的防御能力吗？

Answer 1

据我所知，LUKS卷不使用TPM，只要我有密码，我就可以拔出我的NVMe驱动器，把它放在一个外壳中，然后用另一个系统登录到它。我很确定它只是使用散列键派生。在输入我的加密密码后，我已经将我的设置设置为在Argon2上运行30秒。