Vlákno názorů k článku Jak funguje a jak nastavit bootování aneb GRUB 1, 2, MBR, UEFI od jdobry - Tohle jsou uplne zaklady. Zajimavejsi by byl popis...

Tohle jsou uplne zaklady. Zajimavejsi by byl popis jak na UEFI rozbehat Secure boot ze zavedenim klice k sifrovanemu disku z TPM

Souhlasím, takový článek by byl moc fajn. Napíšete ho, prosím?

Nenapisu, protoze by me to naopak zajimalo.
Zatim nebyl cas to prozkoumat. A predevsim to asi nejde v dualbootu, kde Win vedle maji zapnuty bitlocker tim potrebuji TPM pro sebe.

není problém využiť libtpms či rovno swtpm

zajimavy clanek by to byl, ale jestli to chapu, tak tento postup znamena automaticke odemceni LUKS pokud se nezmeni HW, tedy odemkne to nezmeneny HW i kdyz se zmeni majitel (= nekdo mi vyplej NB ukradne ;-)

to ze to zamezi auto-unlock pri vyjmuti disku samozrejme chapu...

To ne, LUKS a SecureBoot jsou úplně nezávislé věci. SB odmítne boot když nesedí podpisy nebo jiné metriky, a teprve potom se předává řízení Linuxu s LUKSem. A tam záleží, co za threat model máte... většina řeší právě tu autentifikaci (jestli před počítačem sedí oprávněná osoba), takže chce heslo nebo nějaké další faktory.

Ale jinak LUKS (resp. obslužné skripty v initramfs) lze nastavit tak, že dostanou klíč z TPM a neinteraktivně ho použijí. To se hodí třeba u nějakého serveru, kde ani lokální terminál neexistuje, a naopak tu změnu hardwaru chcete hlídat (např. že si obsluha datacentra připojila něco).

ze je to oddelene vim, ja reagoval prave na "Secure boot ze zavedenim klice k sifrovanemu disku z TPM"

jinak ja prave pouzivam sicherboot (skripty nad systemd-boot) bez TPM, v UEFI smazane vendor klice, dane jen svoje, kterejma podepsana efi binarka co sicherboot sestavuje+pode­pisuje automaticky po aktualizace jadra z jadra+initrd+cmdli­ne

Aha, nedával jsem pozor :-)

Ty klíče ale taky bývají šifrovaný, ne? Měl jsem (v dobách před TPM) LUKS klíče na USB flashi, a k nim heslo v hlavě... takže to byl dvoufaktor, klíček a heslo.