如何在Indri中启用系统加密TPM2支持

Question

背景和设置：

• 我已经在我的笔记本上安装了一份Ubuntu21.10的新拷贝。
• 在安装之前，我从BIOS中清除了TPM2.0模块，并在安装期间启用了SecureBoot。
• 我选择了使用LVM的全磁盘加密。
• 在安装后的第一次启动时，我使用在安装过程中选择的密码注册了MOK。

问题是：

我想用TPM2.0模块解锁LUKS2加密的系统驱动器。

来自systemd 248.3包的命令systemd-cryptenroll应该支持这一点。

但是，在运行命令systemd-cryptenroll --tpm2-device=list时，该命令返回“此构建中不支持的TPM2”。

问题：

为什么我要得到这个返回消息，我能做些什么来启用TPM2支持。

Answer 1

我有同样的错误消息，但TPM是存在的。

检查TPM设备是否存在：dmesg | grep -i tpm

设备名称通常是/dev/tpm0 0。检查一下。

注册

systemd-cryptenroll --tpm2-device=/dev/tpm0 --tpm2-pcrs=7  </path/to/encrypted/luks/device>

Answer 2

您的systemd版本是在没有tpm2支持的情况下构建的，您必须找到一个支持此特性的包版本，或者使用"-Dtpm2=true“选项自己编译它。

Answer 3

我们现在的22.04也有同样的问题。

在launchpad上有相应的bug报告：https://bugs.launchpad.net/ubuntu/+source/systemd/+bug/1969375

希望这件事能很快解决。