clevis-pin-tpm2

重写的Clevis TPM2 PIN

此重写支持先前加密的PCR-only Clevis TPM2 PIN的所有加密值。此外，它还支持授权策略，以委派PCR值的授权给外部方。

创建策略

已提供参考实现，用于创建此PIN可解析的策略。要使用此功能，首先创建策略（请参阅仓库中的说明），并获取签名的策略输出和公钥JSON。这些文件需要在PIN运行时可用，因此如果PIN用于加密文件系统根，它可能需要位于/boot。然后运行：$binary encrypt '{"policy_pubkey_path": "/boot/policy_pubkey.json", "policy_ref": "", "policy_path": "/boot/policy.json"}' <somefile。这将生成一个加密的blob。在加密过程中，策略公钥必须存在，策略不需要。

要解密此blob，加密时在policy_path中指定的文件需要包含与policy_ref匹配的策略，其中包含任何匹配系统当前PCR的策略步骤。如果是这样，则$binary decrypt <blob将返回原始文件的正文。