(abandon) configurer TPM sur debian

anonyme · 19-09-2021 11:11:33

Bonjour
si quelqu'un connaît un wiki et ou les pièges a éviter , ou a déjà mit en place cette fonction sur debian
j'ai remarquer que debian installe des paquets sur testing/sid pour TPM (installation de gnome)
je n'ai gardé que les paquets "tpm-udev" et "tpm2-tools" et "trousers"
il y a un man pour tpm2-tools
ps:je ne dispose que du firmware TPM2 (logiciel) dans mon EFI (pas de module matériel)
ma crainte c'est de casser le boot de debian a son activation (pas de windows10 en double boot)

dans l'EFI le message d'avertissement (de "discret"(sans module tpm2) a "firmware")

AMD fTPM est une implémentation matérielle TPM2.0 intégrée au code AMD AGESA 

pour le stockage des informations d'identification et la gestion des clés

la clé TPM du micrologiciel sera stockée dans la région de données du code AMD AGESA 

une fois que vous aurez activé AMD fTPM et Windows Bitlocker pour le cryptage du lecteur

Veuillez noter que lorsque la clé de récupération est perdue 

ou lorsque la puce ROM du bios est remplacée, 

le système ne démarrera pas dans le système d'exploitation 

et les données resteront cryptées et ne pourront pas être restaurées

Dernière modification par anonyme (20-09-2021 14:13:52)

anonyme · 19-09-2021 23:05:38

ça ne fonctionne pas terrible

dmesg | grep TPM

[    0.000000] efi: TPMFinalLog=0x5a691000 ACPI 2.0=0x51215000 ACPI=0x51215000 SMBIOS=0x5b646000 SMBIOS 3.0=0x5b645000 ESRT=0x57963618 MEMATTR=0x57953018 MOKvar=0x565d0000 RNG=0x5ab0bf18 TPMEventLog=0x38b35018 

[    0.000000] ACPI: TPM2 0x0000000051229578 00004C (v03 ALASKA A M I    00000001 AMI  00000000)

[    0.000000] ACPI: Reserving TPM2 table memory at [mem 0x51229578-0x512295c3]

dmesg | grep secure

[    0.000000] secureboot: Secure boot enabled

au man je comprend rien

man tpm2

 

dmesg | grep tpm

[    8.082243] systemd[1]: /lib/systemd/system/tpm2-abrmd.service:12: Standard output type syslog is obsolete, automatically updating to journal. Please update your unit file, and consider removing the setting altogether.

j'ai désactiver "output"

[Unit]

Description=TPM2 Access Broker and Resource Management Daemon

After=systemd-udev-settle.service

Requires=systemd-udev-settle.service

# This condition is needed when using the device TCTI. If the

# TCP mssim is used then the condition should be commented out.

ConditionPathExistsGlob=/dev/tpm*

[Service]

Type=dbus

BusName=com.intel.tss2.Tabrmd

#StandardOutput=syslog

ExecStart=/usr/sbin/tpm2-abrmd

User=tss

[Install]

WantedBy=multi-user.target

dans /dev j'ai bien un tpm0 et tpmrm0

Dernière modification par anonyme (19-09-2021 23:53:40)

Croutons · 20-09-2021 07:39:42

Hello
de la doc la si cela peu t'aider
https://tpm2-tools.readthedocs.io/en/latest/
je comprend pas a quoi sert ce truc

anonyme · 20-09-2021 10:11:23

Bonjour
merci pour la doc ce sera fort utile

ça sert a rien mais ça va être la norme
le principe c'est de protéger le système
mettre les clés dans une zone protéger
crypter le volume ( si besoin )
au démarrage de la machine vérifier que le système n'est pas corrompu
il y a deux type soit un module matériel (introuvable pour toutes les marques de CM et ou hors de prix) , soit une émulation par le CPU (firmware) dans l' UEFI
c'est d'avoir une zone protéger pour stoker , mdp , clés etc ... (hors du système et pas en mémoire vive) pour éviter les vols
le firmware (mon cas) réserve une zone mémoire

[    0.000000] ACPI: Reserving TPM2 table memory at [mem 0x51229578-0x512295c3]

 

ça existe depuis longtemps , surtout dans le monde professionnel (portable , PC et serveur)
j'essaie de comprendre comment gérer le truc , mais pas évident
ps: sur windows 10 ou 11 , gérer par l'os , je crois que l'on a pas la main dessus

voila juste pour comprendre , mais ça démarre mal , et sous debian j'en ai pas l'utilité dans mon utilisation .
exemple: Asus a mit a disposition un bios pour windows 11 pour ses CM (en clair secure-boot et TPM sera actif par défaut) sur un certain nombre de références (pour moi matériel de 2017 et plus )

plus simplement ça créer une zone sécurisé pour tout ce qui est sensible .

ce sera plus clair que mon blabla ...... => https://fr.wikipedia.org/wiki/Trusted_Platform_Module

ton lien est super mais ubuntu ou fedora et je crois que je me suis lancer dans quelque chose qui dépasse mes compétences

(plus complet en "en") => https://en.wikipedia.org/wiki/Trusted_Platform_Module

Dernière modification par anonyme (20-09-2021 11:05:06)

vv222 · 20-09-2021 11:14:00

anonyme a écrit :

ça sert a rien mais ça va être la norme

De ce que j’ai lu dernièrement ça pourrait devenir obligatoire pour Windows 11.

Les personnes utilisant des systèmes dont le but n’est pas de contrôler l’utilisateur, comme Debian, ne devraient jamais être concernées par ce genre de truc.

anonyme · 20-09-2021 12:08:12

tu a raison , mais debian propose les paquets
je me souvient plus avec quoi j'ai installé cette sid , en minimal c'est certain puisque j'ai démarrer avec un gnome-core (pour le bureau)
et avec un nettoyage j'ai trouver ces paquets installés (que j'ai virer dans un premier temps)
je ferais attention lors d une autre installation neuve

re,
sur une installation neuve du DVD1 proposition par défaut de l'installateur (deux première ligne du choix du bureau )
8 paquets "tpm2" installer sur bullseye
je passe en "abandon" le sujet

Dernière modification par anonyme (20-09-2021 14:13:05)

Debian-facile

#1 19-09-2021 11:11:33

(abandon) configurer TPM sur debian

#2 19-09-2021 23:05:38

Re : (abandon) configurer TPM sur debian

#3 20-09-2021 07:39:42

Re : (abandon) configurer TPM sur debian

#4 20-09-2021 10:11:23

Re : (abandon) configurer TPM sur debian

#5 20-09-2021 11:14:00

Re : (abandon) configurer TPM sur debian

#6 20-09-2021 12:08:12

Re : (abandon) configurer TPM sur debian

Pied de page des forums