From 1d28156c21131925e09e20170cae7900cd407539 Mon Sep 17 00:00:00 2001
From: xf0r3m <jakubstasinski@protonmail.com>
Date: Thu, 29 Aug 2024 10:41:59 +0200
Subject: [PATCH] =?utf8?q?Artyku=C5=82=20o=20odblokowaniu=20cryptroot=20pr?=
 =?utf8?q?zez=20TPM,=20sprawdzono=20pod=20k=C4=85tem=20b=C5=82=C4=99d?=
 =?utf8?q?=C3=B3w=20oraz=20przeredagowano.?=
MIME-Version: 1.0
Content-Type: text/plain; charset=utf8
Content-Transfer-Encoding: 8bit

---
 ..._modulu_TPM_do_odblokowania_cryptroot.html | 37 +++++++++++++------
 1 file changed, 26 insertions(+), 11 deletions(-)
diff --git a/articles/linux/wykorzystanie_modulu_TPM_do_odblokowania_cryptroot.html b/articles/linux/wykorzystanie_modulu_TPM_do_odblokowania_cryptroot.html
index 18db81a..ceab5b2 100644
--- a/articles/linux/wykorzystanie_modulu_TPM_do_odblokowania_cryptroot.html
+++ b/articles/linux/wykorzystanie_modulu_TPM_do_odblokowania_cryptroot.html
@@ -18,13 +18,13 @@
 		&#9760;&nbsp;<a href="https://morketsmerke.github.io">morketsmerke</a>&nbsp;&#9760;
 	</p>
 	<div class="main">
-		<h1 class="title">Wykorzystanie moduÅu TPM 1.2 do odblokowania cryptroot</h1>
+		<h1 class="title">Wykorzystanie moduÅu TPM do odblokowania cryptroot</h1>
     <p>
       MyÅlaÅem, Å¼e na zdalnym odblokowywaniu cryptroot seria siÄ skoÅczy, ale
-      rodziÅa siÄ potrzeba stworzenia laptopa do zdalnej pomocy, przyczym
-      system na tym laptopie miaÅbyÄ jak najbardziej bezobsÅugowy. To jest
+      rodziÅa siÄ potrzeba stworzenia laptopa do zdalnej pomocy, przy czym
+      system na tym laptopie miaÅ byÄ jak najbardziej bezobsÅugowy. To jest
       uÅ¼ytkownik koÅcowy ma go tylko wÅÄczyÄ i juÅ¼ jak system siÄ zaÅaduje to
-      zaÅÃ³Å¼my pomocnik dziaÅu IT, powinien juÅ¼ siÄ z nim poÅÄczyÄ. Kiedy
+      zaÅÃ³Å¼my konsultant dziaÅu IT, powinien juÅ¼ siÄ z nim poÅÄczyÄ. Kiedy
       rozwiÄzano wszystkie inne problemy - takie jak wybÃ³r sposÃ³bu
       udostÄpnienia zdalnego pulpitu. PozostaÅ problem ochrony klucza
       prywatnego VPN, ze zdjÄtym hasÅem. Dla nas sprawa wydaje siÄ oczywista.
@@ -59,10 +59,11 @@ xf0r3m@romek:~$ sudo dmesg | grep "TPM"
       moÅ¼e nasza platforma nie posiada moduÅu TPM (wiÄkszoÅÄ, komputerÃ³w
       profesjonalnych takich jak Lenovo TP, Dell Latitude czy komputerÃ³w
       stacjonarnych takich jak HP Z Workstations posiada moduÅ TPM w wersji
-      zaleÅ¼nej od wieku sprzÄtu).
+      zaleÅ¼nej od wieku sprzÄtu). W BIOS-ach mogÄ one nazywaÄ siÄ przerÃ³Å¼nie
+      od <em>Security Chip</em> po <em>Embedded Security Device Support</em>.
     </p>
     <p>
-      W przypadku moduÅÃ³w TPM w wersji niÅ¼szej niÅ¼ 2.0. MoÅ¼e byÄ problem z
+      W przypadku moduÅÃ³w TPM w wersji niÅ¼szej niÅ¼ 2.0, moÅ¼e byÄ problem z
       oprogramowaniem pozwalajÄcym obsÅugiwaÄ moduÅ TPM w dzisiejszych
       wersjach dystrybucji. Jednym z takich programÃ³w jest 
       <strong>clevis</strong> - modularny <em>framework</em> do automatyzacji
@@ -88,7 +89,7 @@ xf0r3m@romek:~$ sudo apt install ./clevis-initramfs_20-1+tpm1_amd64.deb \
 ./clevis-luks_20-1+tpm1_amd64.deb ./clevis_20-1+tpm1_amd64.deb
 </pre>
     <p>
-      Po zainstalowaniu oprogramowania, moÅ¼e zainicjowaÄ moduÅ TPM. Za pomocÄ
+      Po zainstalowaniu oprogramowania, moÅ¼na zainicjowaÄ moduÅ TPM. Za pomocÄ
       odpowiedniego polecenia. Polecenie zarzÄda od nas ustawienia sobie
       hasÅa wÅaÅciciela:
     </p>
@@ -109,12 +110,13 @@ Confirm password:
       do naszej zaszyfrowanej partycji.
     </p>
 <pre class="code-block">
-xf0r3m@romek:~$ sudo clevis luks bind -d /dev/sdb5 tpm1 '{"pcr_ids":"0,4,7"}'                                                                                                                                                           
+xf0r3m@romek:~$ sudo clevis luks bind -d /dev/sdb5 tpm1 '{"pcr_ids":"0,4,7"}' 
 Enter existing LUKS password: 
 </pre>
     <p>
       Polecenie powinno zakoÅczyÄ siÄ bez Å¼adnych dodatkowych komunikatÃ³w.
-      WartoÅci PCR_IDS sÄ wskaÅºnikami status bezpieczeÅstwa. Ich wartoÅci
+      WartoÅci <em>PCR_IDS</em> sÄ wskaÅºnikami status bezpieczeÅstwa. Ich
+      wartoÅci
       pozwalajÄ ustaliÄ czy TPM dziaÅa w zaufanym Årodowisku. JeÅli ktÃ³raÅ z
       wartoÅci nie jest zgodna z oczekiwaniami - moduÅ TPM, moÅ¼e odmÃ³wiÄ 
       wydania klucza kryptograficznego.
@@ -148,8 +150,8 @@ done
 </pre>
     <p>
       Teraz moÅ¼emy uruchomiÄ ponownie komputer. Kiedy przyjdzie do odblokowania
-      dysku. Program poprosi nas o hasÅo, ale po chwili powinien pojawiÄ siÄ
-      komunikat, Å¼e dysk zostaÅ odblokowany przez <em>clevis</em>.
+      partycji. Program poprosi nas o hasÅo, ale po chwili powinien pojawiÄ siÄ
+      komunikat, Å¼e partycja zostaÅ odblokowana przez <em>clevis</em>.
     </p>
 <pre class="code-block">
 Please unlock disk sda5_crypt:Unlocked /dev/sdb5 with clevis
@@ -175,6 +177,19 @@ test
       pendrive-a nic nie da. TPM sprawdzi wartoÅÄ rejestru nr. 4 i jeÅli nie
       uruchomiliÅmy komputera z prawidÅowego dysku to nie wyda klucza.
     </p>
+    <p>
+      Å¹rÃ³dÅa:
+    </p>
+    <ul>
+      <li><a href="https://github.com/latchset/clevis/issues/84">Wsparcie clevis dla TPM 1.X</a></li>
+      <li><a href="https://github.com/oldium/clevis/releases/tag/v20_tpm1">Nieoficjalna wersja clevis ze wsparciem dla TPM 1.X</a></li>
+      <li><a href="https://linux.die.net/man/8/tpm_takeownership">Strona podrÄcznika polecenia tpm_takeownership</a></li>
+      <li><a href="https://pl.wikipedia.org/wiki/Trusted_Platform_Module#Pomiar_PCR">ObjaÅnienie PCR w TPM - Wikipedia</a></li>
+      <li><a href="https://wiki.archlinux.org/title/Trusted_Platform_Module#Accessing_PCR_registers">Bardziej szczegÃ³Åowe omÃ³wienie rejestrÃ³w PCR - ArchWiki</a></li>
+    </ul>
+    <p>
+      ~ xf0r3m
+    </p>
   </div>
   <p class="footer">
 	  2024; COPYLEFT; ALL RIGHTS REVERSED;
-- 
2.39.5

