Trusted Platform Module im Thin Client Fujitsu Futro nutzen
Es geht hier speziell um das Modell s920. Bei Recherchen zu meinen letzten Experimenten hatte ich auch realisiert, dass ich einen solchen Thin Client mit montiertem TPM besitze - das musste natürlich ausprobiert werden!
Das bestückte TPM in einem Futro s920
Dafür war zunächst mal im BIOS (UEFI) das TPM zu aktivieren. Anschließend habe ich sehen können, dass das TPM aktiv war (die nächsten Befehle werden bis auf weiteres vom Nutzer root ausgeführt):
journalctl -k --grep=tpm
ls -ld /dev/tpm*
Als nächstes habe ich das TPM in den Urzustand zurückversetzt - ich habe es geleert:
echo 5 > /sys/class/tpm/tpm0/ppi/request
reboot
Beim Booten kommt nun die Frage, ob das TPM wirklich geleert werden soll. Das muss man entsprechend bestätigen (PPI - Physical Presence Indicator).
Anschließend installieren wir alle benötigte Software und sehen uns einige Metainformationen über das TPM an: Wir stellen fest, dass es sich um eins der Version 1.2 handelt - also nichts für Windows 11...
apt update
apt install git build-essential autoconf automake libtool pkg-config m4 tpm-tools libtspi-dev libopencryptoki-dev libssl-dev simple-tpm-pk11 tpm-tools opensc
tpmtool --list
tpm_selftest
tpm_selftest -l info
tpm_version
cat /sys/class/tpm/tpm0/device/caps
cat /sys/class/tpm/tpm0/device/tpm_version_major
Nun werden Kommandos ausgeführt, die dafür sorgen, dass das TPM wirklich uns gehört. Dabei muss man einige Passwörter festlagen:
tpm_takeownership -z
tpm_changeownerauth -s -r
Nun geht es an die Installation der benötigten Software:
git clone https://github.com/ThomasHabets/simple-tpm-pk11.git
cd simple-tpm-pk11/
./bootstrap.sh
./configure && make && sudo make install
Wichtig ist jetzt noch, das Installationsverzeichnis der PKCS11-Library zu ermitteln:
dpkg -L simple-tpm-pk11
Das war erst einmal alles, was root erledigen muss - ab hier übernimmt der Nutzer: Zunächst wird einmal ein Schlüsselpaar erzeugt:
mkdir ~/.simple-tpm-pk11/
stpm-keygen -o ~/.simple-tpm-pk11/my.key
echo "key my.key" > ~/.simple-tpm-pk11/config
Dann wandelt man den Public Key noch ins openssh-Format um (ab hier benötigt man die oben ermittelte Location - in unserem Beispiel /usr/lib/x86_64-linux-gnu/libsimple-tpm-pk11.so ):
ssh-keygen -D /usr/lib/x86_64-linux-gnu/libsimple-tpm-pk11.so >/tmp/tpm
Diesen Schlüssel kann man nun auf einem Zielsystem an die Datei ~/.ssh/authorized_keys anhängen. Daraufhin kann man sich mittels
ssh -I /usr/lib/x86_64-linux-gnu/libsimple-tpm-pk11.so user@host
per ssh an einem Zielsystem anmelden und dabei wird dann der Schlüssel im TPM zur Authentifizierung genutzt!
Das pkcs11-tool funktioniert ebenfalls mit dieser Bibliothek, was erste Tests nachweisen:
pkcs11-tool --module /usr/lib/x86_64-linux-gnu/libsimple-tpm-pk11.so -I
pkcs11-tool --module /usr/lib/x86_64-linux-gnu/libsimple-tpm-pk11.so -L
Links
SoftHSM started as part of the OpenDNSSEC project. Today it's a standalone project
SunPKCS11 provider in Java 9
Pkcs#11 with SSL in java
How to Enable PKCS #11 Consumers to Use TPM as a Secure Keystore
In this project we intend to use a TPM2 device as the cryptographic token.
A simple library for using the TPM chip to secure SSH keys.
Werkzeuge für TPM auf Linux installieren, Schlüssel und Zertifikate verwalten und benutzen
Trusted Platform Module/1.2
Artikel, die hierher verlinken
Flat Notes und Navidrome neu im Docker-Zoo
13.06.2026
Ein weiteres Self-Hosting-Experiment hat zu zwei neuen Diensten in meinem Docker-Zoo geführt...
TPM per PKCS#11 in Java-Anwendungen nutzen
09.06.2026
Nach meinen Erfolgen mit einem TPM in der Version 1.2 zur Absicherung von SSH-Verbindungen wollte ich versuchen, seine Funktionalität in Java-Anwendungen zu integrieren...
Vor 5 Jahren hier im Blog
-
Keycloak, OTP, FIDO
11.06.2021
Ich berichtete neulich über die Installation und erste Tests von Keycloak. Nun bin ich tiefer eingetaucht und habe die diversen Möglichkeiten untersucht, die Authentifizierung mittels zweiten Faktors sicherer zu machen.
Weiterlesen
Tags
AI und ML Android Basteln C und C++ Chaos Datenbanken Docker dWb+ ESP Wifi Garten Geo Go GUI Hardware Java Jupyter JupyterBinder Komponenten Links Linux Markdown Markup Music Numerik OpenSource PKI-X.509-CA Präsentationen Python QBrowser Rants Raspi Revisited Security Software-Test sQLshell TeleGrafana Verschiedenes Video Virtualisierung Windows Upcoming...
Neueste Artikel
-
Performanceverbesserungen in dWb+ 4.4pre2 build 11264
In meinem letzten Artikel zum Thema dWb+ beschrieb ich ein neues Feature der Lösung - nunmehr wende ich mich einer wichtigen nichtfunktionalen Anforderung zu
Weiterlesen -
Flat Notes und Navidrome neu im Docker-Zoo
Ein weiteres Self-Hosting-Experiment hat zu zwei neuen Diensten in meinem Docker-Zoo geführt...
Weiterlesen -
TPM per PKCS#11 in Java-Anwendungen nutzen
Nach meinen Erfolgen mit einem TPM in der Version 1.2 zur Absicherung von SSH-Verbindungen wollte ich versuchen, seine Funktionalität in Java-Anwendungen zu integrieren...
Weiterlesen
Manche nennen es Blog, manche Web-Seite - ich schreibe hier hin und wieder über meine Erlebnisse, Rückschläge und Erleuchtungen bei meinen Hobbies.
Wer daran teilhaben und eventuell sogar davon profitieren möchte, muss damit leben, daß ich hin und wieder kleine Ausflüge in Bereiche mache, die nichts mit IT, Administration oder Softwareentwicklung zu tun haben.
Ich wünsche allen Lesern viel Spaß und hin und wieder einen kleinen AHA!-Effekt...
PS: Meine öffentlichen Codeberg-Repositories findet man hier.