我可以在TPM中保存LUKS（或其他加密）密码短语或密钥吗？

规格相当复杂。该软件非常敏感，因此我将其保留在加密的卷上。我的假设是使用自己的平台密钥的SecureBoot，以确保仅运行我签名的引导加载程序，然后对主磁盘（甚至仅包含软件中的数据）进行加密。

当然，问题在于解密密钥。我可以将其存储（绑定或密封）在TPM中，从而使其只能在此平台上解密吗？

在SecureBoot确保只有我未修改的引导正在运行，引导从TPM读取解密密钥以及某种形式的传感器（如果打开后导致擦拭固件（或重置TPM））的情况下，我应该安装一个中等安全的盒子。这不会阻止政府行为者，但应该阻止随意的开裂。

我可以为此使用TPM吗？我将如何去做？

简短的答案是肯定的。这是我的设计。

• 启用S​​ecureBoot
• PK和所有其他键仅替换为我自己的键
• UEFI受过长的密码保护，以防止未经授权的更改
• 引导磁盘上有一个小的grub引导加载程序分区，该分区未加密
• 引导.uefi文件由我的私钥进行了数字签名
• 引导.uefi配置为解密磁盘上经LUKS加密的其他分区，并从TPM检索密钥
• 密钥已加载到TPM中，以匹配ROM + UEFI +引导分区+机箱关闭警报未设置的确切当前状态+外围设备+ grub

这样，仅加载我的操作系统，即使进行了最细微的更改，也无法检索解密密钥（因为哈希值不匹配）。