Vlákno názorů k článku
Plány bootloaderu GRUB: nejen automatické odemykání disků s TPM2 od kamui - K čemu je vlastně dobré odemikání pomocí TPM....

K čemu je vlastně dobré odemikání pomocí TPM. Resp. proč šifrovat, když klíč pak leží hned vedle?

Taky to moc nechápu. Obzvlášť když to funguje v praxi takto: https://www.youtube.com/watch?v=wTl4vEednkQ

Prosím, příště místo videa prostě napište, že TPM bez pinu je pro srandu králíků (což je), bude to snadnější a ušetříte ostatním nervy a čas..

Celý business kolem TPM je, že místo nutnosti dlouhých hesel pro uživatele, se všemi negativy, se udělá kus HW, kterej se odemyká něčím krátkým, ten HW si pohlídá pokusy aby na to nešlo brute force, a samotný kryptografický materiál je v tom HW.
To, jak to bylo použito tady má také svůj use case - pro RMA disků se to hodí, ale to je tak vše, proti ukradení kompu to tak jako nemá jak chránit. I když v 99% případů to data ochrání (fetka ukradla NB v autě a prodala ho v zastavárně)

Tak, jak je to v tom videu, tak to dodávají výrobci a používá to tak troufnu si tvrdit majorita uživatelů a z nějakýho záhadnýho důvodu si myslí, jak to je bezpečný.
Ale zas tak tomu nerozumím, používám LUKS a na wilde Veracrypt. Bitlockeru jsem nikdy nevěřil a uložení klíče k šifrovacímu klíči v TPM jsem nikdy nevěřil.

Věřit nebo nevěřit nedává smysl. V bezpečnosti vždy jde o to, před čím data chráníte, a podle toho nějaké řešení buď vyhovuje, nebo ne.
LUKS? Veracrypt? Stačí malý keylogger který se vejde do USB konektoru, nebo dnes i mikrofon v místnosti, kde vyťukáváte heslo, a je to konečná. Jak pro TPM+PIN, tak pro LUKS. Pokud tenhle typ útoku vyloučíte, a dejme tomu chcete chránit před krádeží vypnutého kompu, tak to vyjde víceméně nastejno. Až na to, že TPM pin stačí 4 místa, kdežto u LUKSu to bude chtít tak 10+místné složité heslo, což je u běžných uživatelů dost problém.

Pokud to vyžaduje pin od uživatele, tak je to nejlepší cena/kvalita za předpokladu, že útočníkem není někdo z trojpísmenkových.

Je jednoduchsie ukradnut par how swapovatelnych SSDciek, nez cely server z racku... Moze ti technik z data centra cez remote hands vymenit odchadzajuci disk a nemusis stresovat ohladne dat.

Od toho je self encryption disk (SED) - coz je a neni komprese, presneji disk je komprimovany, ale kdyz se prenese jinam, tak jde precist, do doby, nez mu nekdo restene FW - tim se vygeneruje novy klic a stary to uz neznaji, tim zmizi data - bezne to pouzivaji diskove pole, disk se da jako ze vyhodit ze systemu, nebo ma prikaz secure erease - funguje jak na SSD tak spindle

Jasne da se pouzit i s klicem atd. atd. - obecne ale nikdo priocetny HW klicum od US firem neevri, nebot zakony USA narizuji kazde velke spolecnosti smirovat zakazniky, neumoznuji prodavat sifrovani jako sluzbu, pokud to toho nema CIA/NSA klice a kazde zarizeni musi mit zadni vratka - proto taky NSA zaklekla na tvurce TrueCryptu, nebot si kde jaky trouba ukladal tento image na clodu disky a CIA/NSA k nim pak nemela pristup, k souboru ano, ale co je vevnitr ani netusili

Načo kradnúť server, keď stačí rovno v serverovni propojiť kus elektroniky za 10€ a nechať kľúč uložiť doň, následne ti stačí len to SSD a server môžeš nechať v racku, akurát si propojíš SSD do svojej stanice a prepíšeš ten token z toho 10€ bazmeku.

Je to dobré na pohodlné odemykání šifrovaného disku. Bezpečnost se přenáší na operační systém. Výhody člověk pozná, když potřebuje třeba hibernovat notebook a zároveň mít zašifrovaný disk.

Jakože pak nemusím zadat to jedno heslo navíc? Nebo jaké přesně výhody?

Ano, nezadává se heslo. Člověk se přihlásí až do systému, případně je možné TPM ještě zabezpečit pinem.