Как сбросить ожидаемое значение PCR в TPM после обновления прошивки?

Содержание

Вопрос или проблема
Ответ или решение
Как переинициализировать TPM и настроить значения PCRs после обновления прошивки
Теория
Пример
Применение

Вопрос или проблема

Я использовал систему с двойной загрузкой Windows 10 + Kubuntu, где раздел Windows был зашифрован BitLocker, без каких-либо проблем в течение нескольких лет. Недавно я выполнил обновление дистрибутива с Kubuntu 22.04 до 24.04, которое завершилось успешно, но после обновления BitLocker начинает запрашивать ключ восстановления каждый раз при загрузке Windows.

Я заглянул в просмотр событий и нашел это

Ошибки выше и ниже этой говорят то же самое другими словами.

Я не совсем понимаю, что именно произошло во время обновления. Могу только предположить, что обновление дистрибутива обновило загрузчик grub. Возможно, оно записало что-то в ПЗУ BIOS (это возможно?).
Но теперь кажется, что BitLocker или TPM все еще основываются на старой настройке и старых значениях регистров конфигурации платформы и не позволяют загружаться с этой новой настройкой.

Я пробовал обычные рекомендуемые трюки, такие как “Приостановить защиту” и перезагрузка, удаление и создание нового защитника ключей, но ничего не сработало. Затем я потерял терпение и отключил BitLocker, расшифровал диск и очистил TPM (как в настройках Windows, так и в настройках BIOS) с намерением начать с чистого листа. Но теперь, когда я пытаюсь снова включить BitLocker для диска, я получаю эту ошибку после перезагрузки

а в журнале событий опять та же ошибка, что и раньше.

Может кто-то подсказать, как полностью переинициализировать TPM и все связанное с ним, чтобы BitLocker наконец принял текущую настройку ОС/загрузчика как защищенную?

Ответ или решение

Как переинициализировать TPM и настроить значения PCRs после обновления прошивки

Теория

Доверенная платформа (TPM) — это аппаратный модуль, который предоставляет возможности для безопасного хранения ключей шифрования и выполнения криптографических операций. Он играет ключевую роль в механизмах безопасной загрузки и шифрования данных, таких как BitLocker в Windows. Основываясь на изменениях, внесенных в систему, TPM использует регистры конфигурации платформы (PCRs) для измерения состояния платформы на каждом этапе процесса загрузки. Эти регистры фиксируют криптографические хэши состояния системы, и любая их модификация, например, после обновления прошивки или изменения конфигурации загрузчика, может вызвать предостережение TPM, что приведет к необходимости ввода ключа восстановления BitLocker.

Пример

Ваша ситуация: после обновления дистрибутива Kubuntu с версии 22.04 до 24.04, вероятно, изменился загрузчик или его конфигурация, что впоследствии изменило хэш состояния, сохраненный в PCRs TPM. Это могло вызвать несоответствие ожидаемым значениям, что послужило причиной возникновения запроса на ввод ключа восстановления BitLocker. Даже после очистки TPM и повторной инициализации проблемы не исчезли, что указывает на необходимость глубокой переинициализации связанной инфраструктуры безопасности.

Применение

Полное обновление BIOS/UEFI: Первым шагом должна быть проверка и, при необходимости, обновление прошивки BIOS/UEFI до последней версии, предоставленной производителем материнской платы. Это может потребоваться для устранения возможных несовместимостей, возникших после обновления операционной системы.
Очистка и повторная инициализация TPM:
- Зайдите в конфигурацию BIOS/UEFI и найдите настройки TPM. Необходимо выполнить очистку TPM, что вернет его к заводским настройкам. Однако при правильном сбросе вы должны сначала убедиться, что у вас есть все ключи шифрования или резервные копии важной информации.
- После очистки TPM, зайдите в Windows. Windows автоматически инициализирует TPM и предложит настройки.
Переустановка и настройка BitLocker:
- Без ошибки, пожалуйста, повторно активируйте BitLocker на вашем диске. Для этого:
  - Откройте Центр управления BitLocker через Панель управления.
  - Включите BitLocker для нужного диска. Убедитесь, что при этом установлены необходимые защитные механизмы (например, PIN-код или USB-ключ).
Перепроверка GRUB:
- После переинициализации TPM и восстановления BitLocker, вам нужно убедиться, что GRUB настроен правильно. Проверьте конфигурацию /boot/grub/grub.cfg на наличие несоответствий.
- Перегенерируйте файл конфигурации GRUB, используя команду sudo update-grub в Kubuntu. Эта команда пересоберет конфигурацию, приложив актуальные параметры.
Проверка интеграции загрузки Windows и Linux:
- Оцените, как GRUB взаимодействует с загрузчиком Windows и убедитесь, что порядок загрузки не вызывает ошибок. Возможно, стоит временно настроить систему для загрузки только одной ОС для изоляции причин возникновения проблем.
Дополнительные действия:
- Поскольку изменения произошли после обновления до Kubuntu 24.04, пересмотрите документацию относительно изменений по этому обновлению. Возможно, потребуется обновить некоторые компоненты (например, пакеты безопасности), которые могут поддерживать интеграцию с TPM.
- Также полезным может быть участие в сообществах и форумах, таких как Reddit и Stack Exchange. Опыт пользователей, столкнувшихся с такой же проблематикой, может предоставить ценные инсайты и решения.

Эти шаги помогут вам убедиться, что ваша инфраструктура безопасной загрузки, включая TPM и BitLocker, правильно инициализирована и настроена, обеспечивая защиту и доступность ваших данных. Убедитесь, что любые изменения производятся только после полного понимания последствий и, при необходимости, проконсультируйтесь с поддержкой производителей вашего оборудования.