Arm 使用TPM和Raspberry Pi以无人值守模式启动LUKS加密分区

我需要在无人值守模式下用LUKS加密的根分区启动Raspberry Pi。 据我所知，对于这项任务，我可以使用TPM（可信平台模块）芯片（我可以使用扩展板与RaspberryPi集成）和TPM luks。

---

我想知道是否真的可以在RaspberryPi中使用TPM模块来自动验证引导分区的完整性，并获取使用TPM芯片解密根分区的密钥。

不，这是不可能的。TPM是被动设备，它无法“验证引导分区完整性”。为了确保任何类型的完整性，您都需要度量的信任根，而这从来不是TPM。您需要一个可信任且锁定的固件，其功能类似于RTM。Pi的专有固件中没有这一点。

我投票结束这个问题，因为这是一个硬件集成问题，您还没有达到编程阶段。据我所知，这不是硬件集成，而是系统架构。可能对SO.@EricS.Bullington来说仍然是离题的。那不是真的。它是RoT报告和存储，但不是用于测量的RoT。RTM必须在其他地方。TPM不能保证对软件的每个执行位进行测量。然而，TPM有责任通过平台配置寄存器证明信任链的完整性。亲爱的@EricS.Bullington，再次声明：TPM是存储信任的根源（=RTS）。TPM是报告信任的基础（=RTR）。因此，这当然是信任的根源。我已经说过了。但它不是，也不可能是测量信任的根源（=RTM）。这三个概念被分开处理是有原因的。你刚刚链接的那篇文章也是这么说的：“度量信任（CRTM）的核心根必须是主机平台重置时执行的初始化代码的不可变部分。”这不是TPM，而是固件。