環境

概要

Ubuntu 23.10から試験的にTPM(Trusted Platform Module)によるフルディスク暗号化がサポートされた。通称FDM(Full Disk Encryption)というらしい。めちゃくちゃ簡単に言うとBitLockerのUbuntu版である。

単に暗号化するだけだと、起動時にパスフレーズの入力を毎回求められてしまいサーバー運用には向かないのだが、TPMを使うと安全に復号キーを保存できる。

それを試してみたのだが、Ubuntuインストール時にエラーで暗号化を選択できない。

まずTPMが見えているかを確認する 2と表示されればOK

root@ubuntu02:~# cat /sys/class/tpm/tpm0/tpm_version_major
2

デバイスファイルを見えているか確認する

root@ubuntu02:~# ls /dev/tpm*
/dev/tpm0  /dev/tpmrm0

結論まずUbuntuをUSBメモリーから起動して最初に

echo 5 > /sys/class/tpm/tpm0/ppi/request

を実行してTPMを初期化する必要がある。その起動ではまだインストールできないので再起動して再度起動すると✅️が入れられるようになる。

Ubuntuインストール時にTPMがDA Lockout Modeになっていると、インストールできないようになっている。

ここでいうDAとはDictionary Attackの略で、要はTPMがパスワード総当たり攻撃（辞書攻撃）から守るために、一定回数以上間違ったパスワードが入力されると「ロック」される機能がありその状態だった。今回NUCで試したが購入時はロックが掛かっていたらしい。

先のコマンドの5は「TPMをクリアしてほしい」というリクエスト番号で、 /sys/class/tpm/tpm0/ppi/requestに書き込むことで初期化される。