এই নির্দিষ্ট ইস্যুটির আর একটি পদ্ধতির টিপিএম ব্যবহার করে কোনও এনক্রিপশন কী সঞ্চয় করা হয়, তবে প্রতিরক্ষা এটি কার্যকর করার জন্য ব্যবহারকারীর উপর নির্ভর করে। একটি প্রাথমিক, আরএইচইএল 7-ভিত্তিক সমাধান টিএমপি-লুক্স ( https://github.com/GeisingerBTI/tpm-luks )।
এটি যেভাবে কাজ করে তা বুটে রয়েছে, বুট প্রক্রিয়াটির প্রতিটি ধাপ পরবর্তী ব্যবস্থা করে এবং এই পরিমাপটি টিপিএমের পিসিআরগুলিতে সঞ্চয় করে। বুট প্রক্রিয়াটি শেষ হয়ে গেলে, tpm-luks "পরিচিত ভাল" কনফিগারেশনের বিপরীতে পিসিআরগুলির স্থিতি পরীক্ষা করে। যদি "জ্ঞাত ভাল" কনফিগারেশনে থাকে, টিপিএম LUKS কীটি আনবে এবং টিএমপিএম-লুক্স এই ডেটাটি রুট এলইউকেএস পার্টিশনটিকে আনলক করতে পাস করবে।
যেহেতু গুরুত্বপূর্ণ সমস্ত কিছুই ক্রপিটোগ্রাফিক হ্যাশ দিয়ে মাপানো হয়, তবে কোনও খারাপ কাজের মেয়েটির জন্য আপনার GRUB / কার্নেল / র্যামডিস্ক প্রতিস্থাপনের জন্য কোনও উপায় নেই আপনার FDE পাসফ্রেজকে খারাপভাবে সংগ্রহ করতে। যুক্ত বোনাস হিসাবে আপনার কোনও এফডিই পাসফ্রেজ লাগবে না! আপনি তাত্ত্বিকভাবে মানব-পঠনযোগ্য পাসফ্রেজ সম্পূর্ণরূপে মুছে ফেলতে এবং টিএমপিউস-লুক্সের উপর সম্পূর্ণভাবে নির্ভর করতে পারেন তবে আপনি যদি সেই পথে চলে যান তবে আপনার LUKS শিরোনামটি সঞ্চয় করে রাখা এবং এটি ব্যাকআপ হিসাবে রাখা সম্ভবত ভাল ধারণা।
আমি যেমন উল্লেখ করেছি, এর জন্য ব্যবহারকারীর উপর কিছুটা পরিশ্রম দরকার। আপনি যদি কম্পিউটারকে অবরুদ্ধ রেখে দিয়ে থাকেন এবং আপনাকে একটি পাসফ্রেজ প্রম্পট উপস্থাপন করা হয় তবে আপনি কিছু তদন্ত না করা অবধি এটি টাইপ করা কোনও খারাপ ধারণা। এই মুহুর্তে, আপনার লাইভ সিডি পরিবেশে বুট করা উচিত এবং টিপিএম-লুক্সে কোনও ত্রুটি রয়েছে কি না, বা /boot
পার্টিশনটি সত্যিকারভাবে পরিবর্তিত হয়েছে কিনা তা একবার দেখে নেওয়া উচিত । আপনি এখনও /boot
পার্টিশনটি এনক্রিপ্ট না করে রেখে চলেছেন, তবে গুরুত্বপূর্ণ কিছু পরিবর্তিত হয়ে গেলে মূল ডিস্কটি কখনই ডিক্রিপ্ট হয় না।