YaST2 支持使用 TPM2 的全盘加密

简介

自 snapshot 20250809 起，openSUSE MicroOS 安装程序 (YaST2) 支持由 TPM2 芯片和 可测量启动 或 FIDO2 密钥保护的全盘加密 (FDE)。

在很长一段时间内，openSUSE 项目已经提供了带有全盘加密和 TPM2 的镜像（例如 openSUSE-MicroOS.x86_64-kvm-and-xen-sdboot.qcow2 或 openSUSE-MicroOS.x86_64-kvm-and-xen-grub-bls.qcow2 用于虚拟化环境），并且有一个 博客 描述了如何使用 YaST2 设置此类系统。

现在，下一步已经完成：YaST2 支持为 openSUSE MicroOS 设置 FDE+TPM2，因此可以在安装过程中以简单的方式启用此功能。

这需要一个遵循 启动加载程序规范 (BLS) 的引导加载程序。 可用的有 grub2-bls 和 systemd-boot。 对于 openSUSE MicroOS，我们决定将 systemd-boot 作为默认引导加载程序。

硬件要求

• UEFI 固件
• 支持 hmac-secret 扩展的 TPM2 芯片或 FIDO2 密钥
• 4GB 内存

安装 openSUSE MicroOS

启动安装介质

• 按照流程直到“安装设置”
• 安装设置
  • 分区：
  • 选择“引导设置”，保持默认设置直到“分区方案”屏幕。
  • “启用磁盘加密”并输入密码。 密码将是恢复密钥。
  • 接受更改
• 完成安装

完成 FDE 设置

启动新系统

重新注册

如果预测系统失败，则必须为新的测量结果创建一个新的策略，以替换存储在 TPM2 中的策略。

使用恢复 PIN（FDE 的密码）

  # sdbootutil --ask-pin update-predictions

下一步

下一步将使 FDE+TPM2 成为 MicroOS 的默认设置。

进一步的文档

• MicroOS FDE
• 使用 TPM 和 YaST2 进行全盘加密的快速入门
• Systemd-boot 和使用 TPM 和 FIDO2 进行全盘加密