From: Susanne Date: Fri, 20 Jun 2025 07:31:36 +0000 (+0200) Subject: last Changes for Talk X-Git-Url: http://git.tuxteam.de/gitweb/?a=commitdiff_plain;h=refs%2Fheads%2Fmain;p=susannes-git%2FTPM-LUKS.git last Changes for Talk --- diff --git a/tpm_and_luks-handout.pdf b/tpm_and_luks-handout.pdf index 7ea941c..3020455 100644 Binary files a/tpm_and_luks-handout.pdf and b/tpm_and_luks-handout.pdf differ diff --git a/tpm_and_luks-presentation.pdf b/tpm_and_luks-presentation.pdf index 9417f95..a9bb942 100644 Binary files a/tpm_and_luks-presentation.pdf and b/tpm_and_luks-presentation.pdf differ diff --git a/tpm_and_luks.tex b/tpm_and_luks.tex index a5299a0..d979488 100644 --- a/tpm_and_luks.tex +++ b/tpm_and_luks.tex @@ -454,13 +454,10 @@ CREDENTIALS \framesubtitle{Rätselraten} \begin{description} \item[A] \textcolor<2>{red}{Eine Variable} \onslide<2->{\textcolor{red}{X}} -\item[B] \textcolor<2>{gruen}{Ein Credential} \onslide<2->{\textcolor{gruen}{\checkmark}} -\item[C] \textcolor<2>{red}{Ein bash-Befehl} \onslide<2->{\textcolor{red}{X}} -\item[D] \textcolor<2>{red}{systemd-Directive} \onslide<2->{\textcolor{red}{X}} -\item[E] \textcolor<2>{red}{Eine Umgebungsvariable} \onslide<2->{\textcolor{red}{X}} -\item[F] \textcolor<2>{red}{Eine Variable von systemd-creds} \onslide<2->{\textcolor{red}{X}} -\item[G] \textcolor<2>{gruen}{Ersatz für die Umgebungsvariable TPM2-PIN} \onslide<2->{\textcolor{gruen}{\checkmark}} -\item[H] \textcolor<2>{gruen}{Ein Credential das innerhalb einer Systemd-Unit verwendet werden kann} \onslide<2->{\textcolor{gruen}{\checkmark}} +\item[B] \textcolor<2>{gruen}{Ersatz für die Umgebungsvariable TPM2-PIN} \onslide<2->{\textcolor{gruen}{\checkmark}} +\item[C] \textcolor<2>{red}{systemd-Directive} \onslide<2->{\textcolor{red}{X}} +\item[D] \textcolor<2>{red}{Eine Variable von systemd-creds} \onslide<2->{\textcolor{red}{X}} +\item[E] \textcolor<2>{gruen}{Ein Credential das innerhalb einer Systemd-Unit verwendet werden kann} \onslide<2->{\textcolor{gruen}{\checkmark}} \end{description} \note{Frage des Kollegen und was ist das jetzt eigentlich?} \end{frame} @@ -483,13 +480,11 @@ Optionen sind list, cat, encrypt, decrypt, user, system \frametitle{Was macht die Option \texttt{list} bei systemd-creds?} \framesubtitle{Rätselraten} \begin{description} -\item[A] \textcolor<2>{red}{Listet den Inhalt des aktuellen Verzeichnisses auf} \onslide<2->{\textcolor{red}{X}} -\item[B] \textcolor<2>{red}{Listet alle bekannten Credentials auf} \onslide<2->{\textcolor{red}{X}} -\item[C] \textcolor<2>{gruen}{Listet alle Dateien des Verzeichnisses der Umgebungsvariable \$CREDENTIALS\_DIRECTORY auf} \onslide<2->{\textcolor{gruen}{\checkmark}} -\item[D] \textcolor<2>{red}{gibt die Stärke der vorhandenen Credentials aus} \onslide<2->{\textcolor{red}{X}} -\item[E] \textcolor<2>{gruen}{gibt die Sicherheitsstärke der vorhandenen Credential Dateien je nach Speicherort aus} \onslide<2->{\textcolor{gruen}{\checkmark}} -\item[F] \textcolor<2>{red}{macht gar nichts} \onslide<2->{\textcolor{red}{X}} -\item[G] \textcolor<2>{gruen}{macht nichts weil \$CREDENTIALS\_DIRECTORY nicht gesetzt ist} \onslide<2->{\textcolor{gruen}{\checkmark}} +\item[A] \textcolor<2>{red}{Listet alle bekannten Credentials auf} \onslide<2->{\textcolor{red}{X}} +\item[B] \textcolor<2>{gruen}{Listet alle Dateien des Verzeichnisses der Umgebungsvariable \$CREDENTIALS\_DIRECTORY auf} \onslide<2->{\textcolor{gruen}{\checkmark}} +\item[C] \textcolor<2>{red}{gibt die Stärke der vorhandenen Credentials aus} \onslide<2->{\textcolor{red}{X}} +\item[D] \textcolor<2>{gruen}{gibt die Sicherheitsstärke der vorhandenen Credential Dateien je nach Speicherort aus} \onslide<2->{\textcolor{gruen}{\checkmark}} +\item[E] \textcolor<2>{gruen}{macht nichts, weil \$CREDENTIALS\_DIRECTORY nicht gesetzt ist} \onslide<2->{\textcolor{gruen}{\checkmark}} \end{description} \note<2>{zeigen...} \end{frame} @@ -713,46 +708,33 @@ grub2-mkconfig -o /boot/grub2/grub.cfg # fedora \section{Debugging} \begin{frame}[fragile] \frametitle{Debugging mit dem TPM I} -\framesubtitle{Rätselraten} -\textbf{Wurde folgende journald Meldung durch einen Konfigurationsfehler verursacht?} -\note[item]{Bitte um Handzeichen} +\frametitle{Konfigurationsfehler?} \begin{minted}{linux-config} localhost kernel: Unknown kernel command line parameters "splash BOOT_IMAGE=/vmlinuz-6.8.0-49-generic tpm2-pin=yes", will be passed to user space. \end{minted} -\only<2>{\textcolor{red}{X}} +\textcolor{red}{X} \note[item]{der Kernel kann mit den TPM Einstellungen nichts anfangen und gibt es weiter an den User-space} -\end{frame} - -\begin{frame}[fragile] -\frametitle{Debugging mit dem TPM II} -\framesubtitle{Rätselraten} -\textbf{Wurde folgende journald Meldung durch einen Konfigurationsfehler verursacht?} -\note[item]{Bitte um Handzeichen} \begin{minted}{linux-config} localhost systemd-udevd[278]: /usr/lib/udev/rules.d/60-tpm-udev.rules:3 Unknown user 'tss', ignoring. \end{minted} -\only<2>{\textcolor{red}{X}} -\note[item]{Der User \texttt{tss} ist nicht bekannt, wird aber in der udev-Regel verwendet Ubuntu24.04} +\textcolor{red}{X} Ubuntu24.04 +\note[item]{Der User \texttt{tss} ist nicht bekannt, wird aber in der udev-Regel verwendet} \end{frame} \begin{frame}[fragile] \frametitle{Debugging mit dem TPM III} -\framesubtitle{Rätselraten} -\textbf{Wurde folgende journald Meldung durch einen Konfigurationsfehler verursacht?} -\note[item]{Bitte um Handzeichen} +\frametitle{Konfigurationsfehler?} \begin{minted}{linux-config} systemd[1]: systemd-tpm2-setup-early.service - TPM2 SRK Setup (Early) was skipped because of an unmet condition check (ConditionSecurity=measured-uki). \end{minted} -\only<2>{\textcolor{red}{X}} +\textcolor{red}{X} \note[item]{Es wird kein Unified Kernel Image verwendet} \end{frame} \begin{frame}[fragile] \frametitle{Debugging mit dem TPM IV} -\framesubtitle{Rätselraten} -\textbf{Wurde folgende journald Meldung durch einen Konfigurationsfehler verursacht?} -\only<2>{\textcolor{green}{\textbf{\checkmark}}} -\note[item]{Bitte um Handzeichen} +\frametitle{Konfigurationsfehler?} +\textcolor{green}{\textbf{\checkmark}} \begin{minted}[breaklines,fontsize=\footnotesize,breakanywhere,escapeinside=||]{linux-config} systemd-cryptsetup[513]: WARNING:esys:src/tss2-esys/api/Esys_StartAuthSession.c:391:Esys_StartAuthSession_Finish() Received TPM Error systemd-cryptsetup[513]: ERROR:esys:src/tss2-esys/api/Esys_StartAuthSession.c:136:Esys_StartAuthSession() Esys Finish ErrorCode (0x0000098e) @@ -763,7 +745,7 @@ systemd-cryptsetup[513]: ERROR:esys:src/tss2-esys/api/Esys_StartAuthSession.c:13 systemd-cryptsetup[513]: Failed to unseal secret using TPM2: State not recoverable systemd-cryptsetup[513]: TPM2 operation failed, falling back to traditional unlocking: State not recoverable \end{minted} -\note[item]<2>{wirkliche Hinweise, was falsch konfiguriert ist, gibt es leider nicht, aber jede Menge irrelevanter Meldungen} +\note[item]{wirkliche Hinweise, was falsch konfiguriert ist, gibt es leider nicht, aber jede Menge irrelevanter Meldungen} \end{frame} \begin{frame}[fragile] @@ -775,8 +757,7 @@ Was bedeutet der Fehlercode \texttt{0x0000098e}? \item[B] \textcolor<2>{red}{BlueScreen of Death} \onslide<2->{\textcolor{red}{X}} \item[C] \textcolor<2>{red}{steht in der Manpage unter Exit Codes} \onslide<2->{\textcolor{red}{X}} \item[D] \textcolor<2>{gruen}{Fehler auf Layer 8 (falsche TPM-PIN eingegeben)} \onslide<2->{\textcolor{gruen}{\checkmark}} -\item[E] \textcolor<2>{red}{ganz klar es handelt sich um eine fehlerhafte Esys\_StartAuthentificationSession.}\onslide<2->{\textcolor{red}{X}} -\item[F] \textcolor<2>{gruen}{kann mit \mintinline{bash}{tpm2_rc_decode} entschlüsselt werden} \onslide<2->{\textcolor{gruen}{\checkmark}} +\item[E] \textcolor<2>{gruen}{kann mit \mintinline{bash}{tpm2_rc_decode} entschlüsselt werden} \onslide<2->{\textcolor{gruen}{\checkmark}} \end{description} \end{frame}