Mein neuer Artikel im #FedoraMagazine beschreibt wie du deine #LUKS Partition alternativ zum Passwort mit einen #TPM2 chip oder #FIDO #U2F hardware security token entschlüsseln kannst. Auf #Fedora bietet sich dazu #systemd #cryptenroll an.

https://fedoramagazine.org/use-systemd-cryptenroll-with-fido-u2f-or-tpm2-to-decrypt-your-disk/ [englisch]

This article shows how to use [#systemd #cryptenroll together with] either a #TPM2 chip or a #FIDO #U2F security key as an alternative factor to the passphrase when unlocking your [Linux] #LUKS partitions.

https://fedoramagazine.org/use-systemd-cryptenroll-with-fido-u2f-or-tpm2-to-decrypt-your-disk/ #encryption #fedora

Absurd hohe Hardware-Anforderungen für #Windows11
c’t uplink 48.1a

Windows 11 hat
fies hohe Hardwareanforderungen:
Prozessoren jünger als 2017, 64 Bit, #TPM2.0. Rechner, die das nicht erfüllen, laufen heute einfach mit Windows 10.
Aber am 14. Oktober 2025 wird Microsoft aufhören, Sicherheitsupdates für Windows 10 herauszugeben und alle älteren Rechner können mangels Updates nicht mehr sinnvoll mit Windows betrieben werden.

Die Anforderungen wirken völlig willkürlich, weil es kaum einen Unterschied zwischen den unterstützen Prozessoren und den gerade nicht mehr unterstützen der nächstälteren Generation gibt.
Die sind auch 2025 noch für viele Aufgaben schnell genug, weshalb #Microsoft effektiv Firmen und Privatleute zwingt, bis zu diesen Stichtag funktionierende Rechner unnötig gegen neue auszutauschen.

Für die Umwelt ist das eine Katastrophe und zudem eine vermeidbare Belastung für den Geldbeutel.

#ctuplink

https://piped.sp-codes.de/watch?v=Pt0Ymc6xC0Y

@fedora Do you think it's possible to add into the "normal" initramfs of silverblue the argument to make fido2 and TPM work for luks2 decryption at boot ?

Because on reddit nearly all people i've seen enable local initramfs where due to these 2 thing, and if i have understood well enable it make us loose some security in the secureboot process (since the init is modified).

Thanks !

#silverblue #tpm2 #fido2 #luks #security #cybersecurity #encryption

Serious Security: TPM 2.0 vulns – is your super-secure data at risk? - Security bugs in the very code you've been told you must have to improve the security of ... https://nakedsecurity.sophos.com/2023/03/07/serious-security-tpm-2-0-vulns-is-your-super-secure-data-at-risk/ #vulnerability #cryptography #windows11 #tpm2.0 #tcg #tpm

#TCG #TPM2.0 implementations #vulnerable to memory corruption

https://kb.cert.org/vuls/id/782720

(2/2) But, if I understand correctly, the sacrifice being made is that if your threat model includes an entire machine being taken by the adversary, then the adversary will always have access to a bootable machine with a live unencrypted drive. Yes, they still need to gain access to the system, but the biggest obstacle to obtaining your data, the encrypted disk, is now out of the way.

If you use a passphrase, there is still "something you know" protecting the encrypted drive. And passphrases still have special protection in many jurisdictions (including the US) https://www.eff.org/issues/know-your-rights#17

Thoughts? #linux #DriveEncryption #LUKS #TPM2

(1/2)

#Linux #DiskEncryption question for the masses. I want to check that I'm thinking about this the right way. Context is a laptop with a #LUKS partition.

I see a lot of how-to articles floating around about using #tpm2 for LUKS decryption on device boot.
I understand that this gives convenience over a separate passphrase for decryption and still prevents:

1. An adversary from removing the hard drive when your machine is off and decrypting it (because the adversary won't have the TPM to decrypt).

2. An adversary from modifying anything in the secure boot chain and accessing a decrypted drive (because the device will then refuse to boot and decrypt the LUKS partition).

Automatically decrypt your disk using #TPM2
https://fedoramagazine.org/automatically-decrypt-your-disk-using-tpm2/

Automatically #decrypt your disk using #TPM2 https://fedoramagazine.org/automatically-decrypt-your-disk-using-tpm2/

Finally. Mein Blog Post zum automatischen entschlüsseln von #LUKS-verschlüsselten Partitionen mittels #TPM2 und #EFI #SecureBoot ist fertig.

Ich habe neben den eigentlichen Schritten zur Konfiguration auf #Fedora #Linux auch einige Infos zur Theorie und Links zu meinen Quellen beigemischt.

(english) https://221b.uk/safe-automatic-decryption-luks-partition-tpm2

Arch Linux: Bootvorgang mittels TPM2 & TOTP messen und Vertrauenswürdigkeit überprüfen (Measured-Boot)

https://www.codingblatt.de/arch-linux-tpm2-totp-measured-boot/

#linux #tpm2 #measuredboot

Arch Linux: LUKS-Volume mit TPM2 inkl. PIN entschlüsseln

https://www.codingblatt.de/arch-linux-luks-mit-tpm2-pin-entschluesseln/

#linux #luks #tpm2 #verschlüsselung

Time to start using mastodon seriously. I'd like to follow eff, fsf, and fsfe but cannot catch up with their rich toots. Thinking about following someone who follow and boosts them and toots < 5 a day. Most interested in #DRM, #TPM2, #rightstorepair, freedom to #root. Any suggestions pls?

@whilelm en parlant de ça, ce qui me sera bien utile dès #systemd 250 cependant, ce sera un petit wrapper ou plugin à pass(1) qui rechiffre toute une hiérarchie de secrets vers le nouveau systemd-creds, autrement dit qui ssh vers une machine pour chiffrer ces secrets avec la puce #TPM2 et/ou la clé sur disque de cette machine, et met le résultat dans un dossier local que peut intégrer ma conf #Nix pour ladite machine https://github.com/NixOS/nixpkgs/pull/93659#issuecomment-950181032

@syll@diaspodon.fr
J'ai pas encore essayé la méthode mais si t'as envie d'essayer ils semblent expliquer la démarche ici:

https://lecrabeinfo.net/resoudre-ce-pc-ne-peut-pas-executer-windows-11.html#contourner-le-message-derreur

#Windows11 #TPM2