Trusted Platform Module im Thin Client Fujitsu Futro nutzen
Es geht hier speziell um das Modell s920. Bei Recherchen zu meinen letzten Experimenten hatte ich auch realisiert, dass ich einen solchen Thin Client mit montiertem TPM besitze - das musste natürlich ausprobiert werden!
Das bestückte TPM in einem Futro s920
Dafür war zunächst mal im BIOS (UEFI) das TPM zu aktivieren. Anschließend habe ich sehen können, dass das TPM aktiv war (die nächsten Befehle werden bis auf weiteres vom Nutzer root ausgeführt):
journalctl -k --grep=tpm
ls -ld /dev/tpm*
Als nächstes habe ich das TPM in den Urzustand zurückversetzt - ich habe es geleert:
echo 5 > /sys/class/tpm/tpm0/ppi/request
reboot
Beim Booten kommt nun die Frage, ob das TPM wirklich geleert werden soll. Das muss man entsprechend bestätigen (PPI - Physical Presence Indicator).
Anschließend installieren wir alle benötigte Software und sehen uns einige Metainformationen über das TPM an: Wir stellen fest, dass es sich um eins der Version 1.2 handelt - also nichts für Windows 11...
apt update
apt install git build-essential autoconf automake libtool pkg-config m4 tpm-tools libtspi-dev libopencryptoki-dev libssl-dev simple-tpm-pk11 tpm-tools opensc
tpmtool --list
tpm_selftest
tpm_selftest -l info
tpm_version
cat /sys/class/tpm/tpm0/device/caps
cat /sys/class/tpm/tpm0/device/tpm_version_major
Nun werden Kommandos ausgeführt, die dafür sorgen, dass das TPM wirklich uns gehört. Dabei muss man einige Passwörter festlagen:
tpm_takeownership -z
tpm_changeownerauth -s -r
Nun geht es an die Installation der benötigten Software:
git clone https://github.com/ThomasHabets/simple-tpm-pk11.git
cd simple-tpm-pk11/
./bootstrap.sh
./configure && make && sudo make install
Wichtig ist jetzt noch, das Installationsverzeichnis der PKCS11-Library zu ermitteln:
dpkg -L simple-tpm-pk11
Das war erst einmal alles, was root erledigen muss - ab hier übernimmt der Nutzer: Zunächst wird einmal ein Schlüsselpaar erzeugt:
mkdir ~/.simple-tpm-pk11/
stpm-keygen -o ~/.simple-tpm-pk11/my.key
echo "key my.key" > ~/.simple-tpm-pk11/config
Dann wandelt man den Public Key noch ins openssh-Format um (ab hier benötigt man die oben ermittelte Location - in unserem Beispiel /usr/lib/x86_64-linux-gnu/libsimple-tpm-pk11.so ):
ssh-keygen -D /usr/lib/x86_64-linux-gnu/libsimple-tpm-pk11.so >/tmp/tpm
Diesen Schlüssel kann man nun auf einem Zielsystem an die Datei ~/.ssh/authorized_keys anhängen. Daraufhin kann man sich mittels
ssh -I /usr/lib/x86_64-linux-gnu/libsimple-tpm-pk11.so user@host
per ssh an einem Zielsystem anmelden und dabei wird dann der Schlüssel im TPM zur Authentifizierung genutzt!
Das pkcs11-tool funktioniert ebenfalls mit dieser Bibliothek, was erste Tests nachweisen:
pkcs11-tool --module /usr/lib/x86_64-linux-gnu/libsimple-tpm-pk11.so -I
pkcs11-tool --module /usr/lib/x86_64-linux-gnu/libsimple-tpm-pk11.so -L
Links
SoftHSM started as part of the OpenDNSSEC project. Today it's a standalone project
SunPKCS11 provider in Java 9
Pkcs#11 with SSL in java
How to Enable PKCS #11 Consumers to Use TPM as a Secure Keystore
In this project we intend to use a TPM2 device as the cryptographic token.
A simple library for using the TPM chip to secure SSH keys.
Werkzeuge für TPM auf Linux installieren, Schlüssel und Zertifikate verwalten und benutzen
Trusted Platform Module/1.2
Vor 5 Jahren hier im Blog
-
Traceroute Visualisierung mittels GeoJSON
29.05.2021
Dieses Wochenende war es wieder einmal an der Zeit für ein Kaninchenbau-Projekt. Es gibt inzwischen einige kostenlose Geolocation-APIs im Netz und ich wurde - durch das Internet - auf die Idee gebracht, das Ergebnis eines Aufrufs von traceroute auf einer Landkarte zu visualisieren
Weiterlesen
Tags
AI und ML Android Basteln C und C++ Chaos Datenbanken Docker dWb+ ESP Wifi Garten Geo Go GUI Hardware Java Jupyter JupyterBinder Komponenten Links Linux Markdown Markup Music Numerik OpenSource PKI-X.509-CA Präsentationen Python QBrowser Rants Raspi Revisited Security Software-Test sQLshell TeleGrafana Verschiedenes Video Virtualisierung Windows Upcoming...
Neueste Artikel
-
Hardwarebeschleunigung zur Berechnung des Mandelbrotfraktals mittels Nvidia
Ich habe vor geraumer Zeit immer wieder einmal das Mandelbrotfraktal berechnet - auf der Kommandozeile genauso wie mittels Shadern auf der Graphikkarte. Nun bin ich dahin zurückgekehrt: Ich wollte wissen, ob dieser Code heute noch funktioniert und mit einer Nvidia-Karte ebenso funktioniert, wie damals mit meiner guten alten Radeon...
Weiterlesen -
Asymmetrische Kryptographie
Ich habe mich mit der Idee schon länger getragen: Nochmal einen Rundumschlag zu asymmetrischer Kryptographie zu machen. Dabei werde ich mich auf Demonstrationen der einzelnen Konzepte und Operationen mit Beispielcode konzentrieren und zu jedem der vorgestellten Konzepte mehr oder weniger ausführlich bezüglich der Einsatzszenarien und Vor- und Nachteile Stellung beziehen
Weiterlesen -
JMX over TLS
Wie bereits angekündigt werde ich in den nächsten Wochen einige Aspekte asymmetrischer Kryptographie beschreiben. Der vorliegende Artikel erläutert die Absicherung der Java ManagementExtensions (JMX) mittels TLS. Die Java Management Extensions sind ein mächtiges Werkzeug - nicht nur zur Überwachung von Java-Anwendungen, sondern auch zu ihrer Steuerung. Wichtig wäre es daher, den Datenverkehr, der dabei anfällt gegen Manipulation zu sichern. Genau das wird durch den Einsatz von Transport Layer Security erreicht
Weiterlesen
Manche nennen es Blog, manche Web-Seite - ich schreibe hier hin und wieder über meine Erlebnisse, Rückschläge und Erleuchtungen bei meinen Hobbies.
Wer daran teilhaben und eventuell sogar davon profitieren möchte, muss damit leben, daß ich hin und wieder kleine Ausflüge in Bereiche mache, die nichts mit IT, Administration oder Softwareentwicklung zu tun haben.
Ich wünsche allen Lesern viel Spaß und hin und wieder einen kleinen AHA!-Effekt...
PS: Meine öffentlichen Codeberg-Repositories findet man hier.