我目前知道两种将 LUKS 加密根分区绑定到 TPM2 的最新方法:systemd-cryptenroll和clevis. 在成功检查密钥密封的 PCR 后,他们似乎都释放了加密密钥。
但我不喜欢在没有用户交互的情况下解密卷的想法。我宁愿有一个类似于 BitLocker for Windows 提供的解决方案:TPM 和额外的 PIN 或恢复密钥。
尽管我在网上进行了详尽的搜索,但我无法找到这方面的任何提示。有人知道解决方案吗?
编辑:有一个--recovery-key选项systemd-cryptenroll。我只关心如何在使用 TPM 时获得额外的 PIN 要求的问题。