Wykorzystanie moduÅu TPM 1.2 do odblokowania cryptroot

+ MyÅlaÅem, Å¼e na zdalnym odblokowywaniu cryptroot seria siÄ skoÅczy, ale + rodziÅa siÄ potrzeba stworzenia laptopa do zdalnej pomocy, przyczym + system na tym laptopie miaÅbyÄ jak najbardziej bezobsÅugowy. To jest + uÅ¼ytkownik koÅcowy ma go tylko wÅÄczyÄ i juÅ¼ jak system siÄ zaÅaduje to + zaÅÃ³Å¼my pomocnik dziaÅu IT, powinien juÅ¼ siÄ z nim poÅÄczyÄ. Kiedy + rozwiÄzano wszystkie inne problemy - takie jak wybÃ³r sposÃ³bu + udostÄpnienia zdalnego pulpitu. PozostaÅ problem ochrony klucza + prywatnego VPN, ze zdjÄtym hasÅem. Dla nas sprawa wydaje siÄ oczywista. + Szyfrujemy dysk. A co z wymogiem bezobsÅugowoÅci? No i tutaj pojawiÅy + siÄ dwa wyjÅcia, albo wykorzystujemy moduÅ TPM. WÃ³wczas szyfrowanie + dyskÃ³w na dystrybucjach Linuksa wyglÄda podobnie do BitLockera na + MS Windows. Nie musimy wpisywaÄ Å¼adnych haseÅ, a dysk odblokowuje siÄ + podczas uruchamiania systemu. W takim systemie, dane chronione sÄ + przez hasÅo uÅ¼ytkownika. Drugim wyjÅciem, byÅo nie szyfrowanie dysku, ale + zablokowanie na serwerze proxy sieci VPN moÅ¼liwoÅci inicjowania + poÅÄczeniem z innymi hostami sieci prywatnej. StwierdziÅem, Å¼e jeÅ¼eli + pierwszy plan nie wypali, to ostatecznie uÅ¼yjemy drugiej metody. +

+ Aby rozpoczÄÄ konfigurowanie LUKS (dodanie klucza) w uÅ¼yciem TPM, naleÅ¼y + na poczÄtku upewniÄ siÄ Å¼e sam TPM jest obecny i funkcjonalny. Tak + wyglÄda wÅÄczony i poprawnie dziaÅajÄcy moduÅ TPM na Debianie: +

+xf0r3m@romek:~$ sudo dmesg | grep "TPM"                                                                                                                                                                                                     
+[    1.078372] tpm_tis 00:05: 1.2 TPM (device-id 0xB, rev-id 16)
+[   32.365170] systemd[1]: systemd 252.26-1~deb12u2 running in system mode 
+(+PAM +AUDIT +SELINUX +APPARMOR +IMA +SMACK +SECCOMP +GCRYPT -GNUTLS +OPENSSL
++ACL +BLKID +CURL +ELFUTILS +FIDO2 +IDN2 -IDN +IPTC +KMOD +LIBCRYPTSETUP
++LIBFDISK)
+

+ JeÅli pojawi siÄ informacja o tym, Å¼e moduÅ ten jest wyÅÄczony lub + zdezaktywowany i/lub pojawiajÄ siÄ komunikaty o bÅÄdach w komunikacji + z nim, to wÃ³wczas naleÅ¼y sprawdziÄ w BIOS-ie komputera czy jest on + wÅÄczony. JeÅli nie jesteÅmy w stanie odnaleÅºÄ takich ustawieÅ, to byÄ + moÅ¼e nasza platforma nie posiada moduÅu TPM (wiÄkszoÅÄ, komputerÃ³w + profesjonalnych takich jak Lenovo TP, Dell Latitude czy komputerÃ³w + stacjonarnych takich jak HP Z Workstations posiada moduÅ TPM w wersji + zaleÅ¼nej od wieku sprzÄtu). +

+ W przypadku moduÅÃ³w TPM w wersji niÅ¼szej niÅ¼ 2.0. MoÅ¼e byÄ problem z + oprogramowaniem pozwalajÄcym obsÅugiwaÄ moduÅ TPM w dzisiejszych + wersjach dystrybucji. Jednym z takich programÃ³w jest + clevis - modularny framework do automatyzacji + szyfrowania. Oficjalna wersja nie wspiera moduÅÃ³w TPM poniÅ¼ej 2.0, wiÄc + jeden z hakerÃ³w, wykonaÅ fork (wÅasnÄ wersjÄ, czyjegoÅ + projektu) clevisa dodajÄc do niego obsÅugÄ moduÅÃ³w TPM <2.0. + Jego projekt jest moÅ¼liwy do instalacji za pomocÄ paczek .deb. Pakiety + majÄ rÃ³wnieÅ¼ zdefiniowane zaleÅ¼noÅci wiÄc po za pobraniem i + wydaniem odpowiedniego polecenia nie trzeba nic robiÄ. +

+xf0r3m@romek:~$ wget https://github.com/oldium/clevis/releases/download/v20_tpm1/clevis-initramfs_20-1+tpm1_amd64.deb
+xf0r3m@romek:~$ wget https://github.com/oldium/clevis/releases/download/v20_tpm1/clevis-systemd_20-1+tpm1_amd64.deb
+xf0r3m@romek:~$ wget https://github.com/oldium/clevis/releases/download/v20_tpm1/clevis-tpm1_20-1+tpm1_amd64.deb
+xf0r3m@romek:~$ wget https://github.com/oldium/clevis/releases/download/v20_tpm1/clevis-luks_20-1+tpm1_amd64.deb
+xf0r3m@romek:~$ wget https://github.com/oldium/clevis/releases/download/v20_tpm1/clevis_20-1+tpm1_amd64.deb
+xf0r3m@romek:~$ ls
+clevis_20-1+tpm1_amd64.deb            clevis-systemd_20-1+tpm1_amd64.deb
+clevis-initramfs_20-1+tpm1_amd64.deb  clevis-tpm1_20-1+tpm1_amd64.deb
+clevis-luks_20-1+tpm1_amd64.deb
+xf0r3m@romek:~$ sudo apt install ./clevis-initramfs_20-1+tpm1_amd64.deb \
+./clevis-systemd_20-1+tpm1_amd64.deb ./clevis-tpm1_20-1+tpm1_amd64.deb \
+./clevis-luks_20-1+tpm1_amd64.deb ./clevis_20-1+tpm1_amd64.deb
+

+ Po zainstalowaniu oprogramowania, moÅ¼e zainicjowaÄ moduÅ TPM. Za pomocÄ + odpowiedniego polecenia. Polecenie zarzÄda od nas ustawienia sobie + hasÅa wÅaÅciciela: +

+xf0r3m@romek:~$ sudo tpm_takeownership -z
+Enter owner password: 
+Confirm password: 
+

+ Polecenie po ustawieniu hasÅa nie powinno zwrÃ³ciÄ Å¼adnych dodatkowych + komunikatÃ³w. Opcja -z ustawi hasÅo + SRK (Secret Root Key) na 20B samych zer (0). DziÄki czemu + bÄdziemy w stanie automatycznie odblokowaÄ zaszyfrowany gÅÃ³wny system + plikÃ³w. +

+ Po przejÄciu kontroli na moduÅem TPM, moÅ¼emy dodaÄ klucz zapisany w TPM + do naszej zaszyfrowanej partycji. +

+xf0r3m@romek:~$ sudo clevis luks bind -d /dev/sdb5 tpm1 '{"pcr_ids":"0,4,7"}'                                                                                                                                                           
+Enter existing LUKS password: 
+

+ Polecenie powinno zakoÅczyÄ siÄ bez Å¼adnych dodatkowych komunikatÃ³w. + WartoÅci PCR_IDS sÄ wskaÅºnikami status bezpieczeÅstwa. Ich wartoÅci + pozwalajÄ ustaliÄ czy TPM dziaÅa w zaufanym Årodowisku. JeÅli ktÃ³raÅ z + wartoÅci nie jest zgodna z oczekiwaniami - moduÅ TPM, moÅ¼e odmÃ³wiÄ + wydania klucza kryptograficznego. +

+ Po dodaniu klucz do partycji, naleÅ¼y zaktualizowaÄ initrd. +

+xf0r3m@romek:~$ sudo update-initramfs -u -k 'all'
+update-initramfs: Generating /boot/initrd.img-6.1.0-23-amd64
+update-initramfs: Generating /boot/initrd.img-6.1.0-18-amd64
+

+ AktualizacjÄ nalepiej wykonaÄ, dla wszystkich wersji. StÄd opcja + -k 'all'. +

+ Dla pewnoÅci, aby zostaÅ uruchomiony odpowiedni plik. Aktualizujemy + rÃ³wnieÅ¼ konfiguracjÄ GRUB-a. +

+xf0r3m@romek:~$ sudo update-grub
+Generating grub configuration file ...
+Found linux image: /boot/vmlinuz-6.1.0-23-amd64
+Found initrd image: /boot/initrd.img-6.1.0-23-amd64
+Found linux image: /boot/vmlinuz-6.1.0-18-amd64
+Found initrd image: /boot/initrd.img-6.1.0-18-amd64
+Warning: os-prober will be executed to detect other bootable partitions.
+Its output will be used to detect bootable binaries on them and create new boot entries.
+done
+

+ Teraz moÅ¼emy uruchomiÄ ponownie komputer. Kiedy przyjdzie do odblokowania + dysku. Program poprosi nas o hasÅo, ale po chwili powinien pojawiÄ siÄ + komunikat, Å¼e dysk zostaÅ odblokowany przez clevis. +

+Please unlock disk sda5_crypt:Unlocked /dev/sdb5 with clevis
+/dev/mapper/romek--vg--root: clean, 133975/31883264 files, 3426415/127506432 blocks
+...
+Debian GNU/Linux 12 romek ttyS0
+
+romek login:
+

+ JeÅli przed dodaniem klucza do partycji, chcemy sprawdziÄ czy nasz TPM + dziaÅa poprawnie. MoÅ¼emy wykonaÄ prosty test. +

+xf0r3m@romek:~$ echo test | clevis encrypt tpm1 '{"pcr_ids":"0,4,7"}' | clevis decrypt
+test
+

+ Ten test powinien zwrÃ³ciÄ na wyjÅciu to samo co dostaÅ na wejÅciu. +

+ Tak skonfigurowany system bÄdzie bezpieczny, nawet z bootowanie z + pendrive-a nic nie da. TPM sprawdzi wartoÅÄ rejestru nr. 4 i jeÅli nie + uruchomiliÅmy komputera z prawidÅowego dysku to nie wyda klucza. +

Wykorzystanie moduÅu TPM 1.2 do odblokowania cryptroot

Wykorzystanie moduÅu TPM 1.2 do odblokowania cryptroot