從很久以前就知道我的筆電裡有個 TPM 2.0 的晶片,因為以前從沒接觸過這類的硬體加密裝置,所以就一直想來玩玩看。 不過因為 Linux 這邊的驅動及軟體支援有點問題,更個 BIOS 就爛掉之類的,所以就一直沒去動它… 直到最近 SSH Agent 裡的金鑰有點越來越多了,剛好想起來就來測試一下,發現相關的 Software Stack 已經可以正常存取我的 TPM 晶片啦~所以就來實際應用一下吧。 為什麼用 TPM 進行驗證會比較安全?TPM通常是一塊焊在主機板上的晶片,電腦要使用時會透過 TCG(Trusted Computing Group) 所定義的界面(TCTI)進行通訊,不論是金鑰的產生、儲存、加解密運算等操作都是在晶片內部完成的。 要讀取出私鑰或是強行拆解都是無法的,相較於存儲在硬碟等媒介還要安全。私鑰也不會在運算時被讀取到記憶體中,能降低其他漏洞帶來的影響。 安裝必要套件 (以 Arch Linux為例)$ sudo