генерация и использование ключей для SSH с помощью модуля TPM

[Schneider]

Здравствуйте форумчане!
 Задался я идеей безопасности нового уровня. Приобрел отдельный дискретный модуль TPM.
Установил его на материнку. вооружился вот этой статейкой.
 И вроде как первые шаги с некоторыми поправками прошли успешно.

Код: [Выделить]

sudo apt install libtpm2-pkcs11-tools libtpm2-pkcs11-1 tpm2-tools

sudo usermod -a -G tss $(whoami)

tpm2_ptool init - после получал соответствующий ответ

tpm2_ptool addtoken --pid=1 --label=firstkey --userpin=1234 --sopin=12345

tpm2_ptool addkey --label=firstkey --userpin=1234 --algorithm=rsa2048
А вот следующий шаг неудачный:

Код: [Выделить]

ssh-keygen -D /usr/lib/x86_64-linux-gnu/libtpm2_pkcs11.so.1
WARNING:esys:src/tss2-esys/api/Esys_TestParms.c:272:Esys_TestParms_Finish() Received TPM Error
ERROR:esys:src/tss2-esys/api/Esys_TestParms.c:96:Esys_TestParms() Esys Finish ErrorCode (0x000001ca)
ERROR: mech_init failed: 0x5
ERROR: Could not initialize tpm mdetails: 0x5
ERROR: Getting tokens from esysdb backend failed.
C_Initialize for provider /usr/lib/x86_64-linux-gnu/libtpm2_pkcs11.so.1 failed: 5
cannot read public key from pkcs11

говорит не может прочитать ключ от pkcs11

почитал про tpm2_ptool что она якобы создает некий слот а в ней как бы смарт-карта, когда добавляешь туда ключ.
но это все происходит в tpm - модуле. Как потом ssh-keygen определяет из какого слота запрашивается ключ не знаю...
 в общем не работает как надо эта система.
Может знает кто , как запустить этот процесс?

[bezbo]

ssh-keygen -D /usr/lib/x86_64-linux-gnu/libtpm2_pkcs11.so.1

Код: [Выделить]

ssh-keygen -D /usr/lib64/pkcs11/libtpm2_pkcs11.so -e | tee ~/.ssh/tpm_rsa.pub

подробности

[Schneider]

какие подробности вам нужны? если вы о точном написании строки, так у меня как и у одного из коментов статьи (я именно по этой статье и делал) написано, что в дебиан немного по другому. ну так у меня so шник такой именно и лежит где я написал, проверенно. более того он и отвечает что не может достучаться до ключа...

(Нажмите, чтобы показать/скрыть)

ВЛАДИМИР
15.02.2022 в 16:21
В Debian данная инструкция тоже работает за исключением имен пакетов и пути к библиотеке.

Имена пакетов: libtpm2-pkcs11-1 и libtpm2-pkcs11-tools.
Путь к библиотеке: /usr/lib/x86_64-linux-gnu/libtpm2_pkcs11.so.1.

[ALiEN]

c того же сайта:

Тип поддерживаемых ключей зависит исключительно от реализации TPM-чипа.
Установленная в моём ноутбуке модель поддерживает лишь NIST P-256 и RSA, причём длиной не более 2048 бит.

Ваш чип поддерживает RSA2048?

[Schneider]

хороший вопрос, я не задумался потому, что после команд
tpm2_ptool init
tpm2_ptool addtoken
tpm2_ptool addkey
были адекватные ответы.
Но сейчас посмотрел на чип установленный datasheet
вроде пишут что может!

я пока искал ответы задумался почему это при наборе

Код: [Выделить]

sudo p11-kit list-modules или без sudo выходит следующее:
WARNING:esys:src/tss2-esys/api/Esys_TestParms.c:272:Esys_TestParms_Finish() Received TPM Error
ERROR:esys:src/tss2-esys/api/Esys_TestParms.c:96:Esys_TestParms() Esys Finish ErrorCode (0x000001ca)
ERROR: mech_init failed: 0x5
ERROR: Could not initialize tpm mdetails: 0x5
ERROR: Getting tokens from esysdb backend failed.
p11-kit-trust: p11-kit-trust.so
    library-description: PKCS#11 Kit Trust Module
    library-manufacturer: PKCS#11 Kit
    library-version: 0.24
    token: System Trust
        manufacturer: PKCS#11 Kit
        model: p11-kit-trust
        serial-number: 1
        hardware-version: 0.24
        flags:
               write-protected
               token-initialized
и в начале похожие ошибки как и при ssh-keygen -D, может у меня пользователь не может достучатся до самого модуля?

[Schneider]

Есть у кого нибудь идеи что может быть не так?

----кто нибудь проверьте у себя пожалуйста----

TPM модуль это не обязательно отдельный модуль который на материнку ставится.
В процессоре Ryzen есть встроенный. и у меня в системе (под windows в диспетчере устройств) он тоже виден(еще один кроме отдельного)

PS. здесь почитал и проверил у себя.

Код: [Выделить]

lsmod | grep tpm ничего не выдает. значит ли это что у меня не загружена какая то часть ядра, работающая с модулем TPM, если да, то как ее включить?

[Schneider]

tpm2_clear выдает ошибку типа TPM 2.0 hardware error DA lockout mode
 типа заблокирован,

в windows вот что говорит:

 

Код: [Выделить]

PS C:\Users\User> get-tpm


TpmPresent                : True
TpmReady                  : True
TpmEnabled                : True
TpmActivated              : True
TpmOwned                  : True
RestartPending            : True
ManufacturerId            : 1333333916
ManufacturerIdTxt         : IFX
ManufacturerVersion       : 5.0.1089.2
ManufacturerVersionFull20 : 5.0.4.16642

ManagedAuthLevel          : Full
OwnerAuth                 : biZBYxpQoCfCVv8hJT6GqB13aE0=
OwnerClearDisabled        : False
AutoProvisioning          : Enabled
LockedOut                 : False
LockoutHealTime           : 2 hours
LockoutCount              : 0
LockoutMax                : 32
SelfTest                  : {}
может не к тому модулю tpm2_clear обращается... в общем я плаваю. и внятного гайда не могу найти...


up: tpm2_clear теперь ошибку не выдает!!! че то где то стирает, но что так до сих пор и не понятно.
вообще я так понял, об этом написано в мануале tpm2_ptool создает что то вроде виртуального хоста для чтения смарт-карт, и создает виртуальные карты, которые "вставляются" в этот виртуальный хост - кард-ридер типа.
Все данные хранятся в /home/user/.tpm2_pkcs11 в виде sql файлов базы данных, вроде.
Какое отношение он имеет к генерации ключей в реальном дискретном модуле TPM для меня загадка.

библиотека /usr/lib/x86_64-linux-gnu/libtpm2_pkcs11.so.1 как будто бы не срабатывает

[Usermaster]

А система то вообще в UEFI режиме установлена?
Secure boot включен?

[Schneider]

да, в биосе включил. в винде проверял как то, показывает что секьюрно. в ubuntu где смотреть не знаю, но Ubuntu я ставил после того как в биосе включил загрузку только UEFI, дискретный TPM модуль включил. Ubuntu по мере установки ничего не говорила, секьюрно она ставится или нет. В общем, я не совсем понимаю, какое это имеет отношение к генерации ключей с помощью модуля для собственных нужд.
Я вообще в теории этого процесса знаю только в общих чертах. А информация в интернете полно, но тоже в общих чертах. я неделю потратил на вникание в процесс, но не постиг.
Я было хотел экспериментировать сам, народным методом "тыка". Но че то не рискнул в биосе удалить ключи всякие PK и иже с ним. поскольку если система (Windows / Ubuntu) слетит, вообще не понятно что потом делать. вот и жду тех кто подскажет что да как.

[bezbo]

lsmod | grep tpm
ничего не выдает

доавить в /etc/initramfs-tools/modules:

Код: [Выделить]

rng_core
tpm
tpm_tis_core
tpm_tis
обновить:

Код: [Выделить]

sudo update-initramfs -u
перезагрузка