セキュアブート+LUKS+TPM2でカーネルアップデート時の鍵更新を自動化する
はじめに
LinuxではLUKSを使用することでフルディスク暗号化を実現できます。さらに、TPMに鍵を保存することで起動時に自動で復号することができます[1]。
TPMに鍵を保存するとき、同じPCでも別のOS[2]からは復号用の鍵を読み取れないようにしたいと考えるかもしれません。そのような場合にはTPMへの鍵設定時にPCR[4]を設定することで特定のカーネルでない場合は鍵を読み取れないようにします(具体的な話は後述します)。
しかしこのような設定をした場合は、カーネルのアップデートのたびにそのカーネルに合わせてTPMの鍵を更新する必要があります。この手順は具体的にはカーネル更新、再起動(ここは自動で復号できないためパスワードを入力)、TPM鍵更新のようになり、煩雑な手動の操作が必要となってしまいます。
そこでこの手順を自動化できないか調べたところ、自分の構成ではうまく設定できました。他の環境では構成に合わせた調整が必要になりますが、考え方だけでも共有できたらと考えこの記事を作成しました。
想定読者
- セキュアブート+LUKS+TPM2の環境でTPMにLUKS復号用の鍵を使用している
- 下の動作環境と自分の環境の構成の差が把握できている
- カーネルアップデートのたびに手動でTPMの鍵を更新するのは面倒だと感じている
セキュアブート、LUKS、TPMなどは設定方法がそれぞれいくつもあるため、この記事ではTPMの鍵更新の自動化に絞って解説します。
動作環境
以下の環境で動作確認をしました。はじめにに書いたように、このあたりの構成が変わると設定方法が変わってきます。
項目 | 構成 |
---|---|
ディストロ | Arch Linux |
initramfs | mkinitcpio[3]、UKI[4]使用 |
セキュアブート | sbctlを使用して鍵をUEFIに登録[5] |
ブートローダー | systemd-boot[6] |
ディスク暗号化 | LUKSを使用したフルディスク暗号化[7] |
TPMへの鍵設定 | systemd-cryptenroll[8]、PCR[4]+PCR[7]を設定 |
パーティショニングはこんな感じです。ディスクデバイスはnvme0n1のみでLVMなどは使用せず、EFIシステムパーティション(nvme0n1p1)と暗号化したルートパーティション(nvme0n1p2)のみのシンプルな構成です。この記事の内容には影響しませんがbtrfsを使用しています。
$ lsblk
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINTS
nvme0n1 259:0 0 931.5G 0 disk
├─nvme0n1p1 259:1 0 512M 0 part /efi
└─nvme0n1p2 259:2 0 931G 0 part
└─root 254:0 0 931G 0 crypt /swap
/@
/
手動での鍵更新
まずは手動でTPMの鍵を設定/更新するコマンドから見ていきます。--wipe-slot tpm2
オプションでLUKSの鍵スロットから既存のTPMの鍵を削除してから新しい鍵を登録するよう指定します。--tpm2-device auto
オプションでTPM2にLUKS復号用の鍵を設定するよう指定します。コマンドを実行するとディスクのパスワード入力を要求されます。以下のコマンド実行例では鍵は上書きされていません。
# systemd-cryptenroll --wipe-slot tpm2 --tpm2-device auto --tpm2-pcrs 4+7 /dev/nvme0n1p2
🔐 Please enter current passphrase for disk /dev/nvme0n1p2:
This PCR set is already enrolled, executing no operation.
ここでもし--tpm2-pcrs 4+7
オプションによるPCRの指定がないと、同じPCなら別のOSでもディスクを復号できてしまいます。その対策としてPCRを指定します。
PCRはTPM2が持っているメモリで、UEFIファームウェアのバージョンや設定、ブートローダー、カーネルといった起動プロセスに従い特定の値を持ちます。PCRは意図して特定の値を持たせることができないように設計されています。--tpm-pcrs 4+7
オプションを指定することで、現在のPCR[4]、PCR[7]の値と同じ値を持つ場合にしかパスワードを読みだせないようにできます。
PCRはPCR[0]からPCR[7]はUEFIで決められたの使用方法、PCR[8]からPCR[15]はブートローダーやOSごとに決められたの使用方法となっています。Linuxでの使い方についてはsystemd-cryptenrollのマニュアルやLinux TPM PCR Registryにまとまっています。
今回はPCR[4]で読み込まれたすべてのブートローダーとカーネル、PCR[7]でセキュアブートの設定が変わっていない場合のみ復号できるようにしています。
自動化の課題
上記鍵更新コマンドを自動化するには以下が課題になります。
- パスワードの入力が要求される
- PCR[4]はカーネル更新後に再起動しないと更新されない
つまり再起動してからTPMの鍵を更新する必要がある。この再起動時はPCR[4]が新しいカーネルに合わせて変わってしまっているので、ディスクの復号のためにパスワードの入力が必要になる。 - 意図しないPCR値で設定されてしまうことがある
メンテナンスのため一時的にセキュアブートを無効化して、USBメモリのライブ環境からUKIを生成するような状況を想定している。--tpm-pcrs
オプションは現在のPCR値で設定するため、セキュアブートを無効化した状態のPCR[7]などが設定されてしまう。
このうち1と3の対処はそこまで難しくありません。1はキーファイルを作成して/root.keyなどに置き、systemd-cryptenrollの--unlock-key-file /root.key
オプションでそのファイルを指定すればパスワードの代わりとして使えます。3はあらかじめ信頼するPCR値を確認しておいて、--tpm-pcrs 4:sha256=<PCR4>+7:sha256=<PCR7>
のように直接指定すれば良いです(<PCR4>
と<PCR7>
はPCR値を16進文字列で指定します)。ついでに使用するハッシュ関数も明示的に指定しています。
PCR[4]については計算が必要になるため、次で解説します。
PCR
PCR[4]の具体的な計算方法について以下の仕様を見るとわかります。1つ目のリンクがTPM2チップの仕様、2つ目のリンクはそのチップをPCでどう使うかについての仕様となっています。
現在のPCRの値はArch Linuxだとtpm2-toolsパッケージのtpm2コマンドで確認できます。実行にはroot権限かtssグループへの所属が必要です。
以下が今回の構成で確認したPCR出力例です。全ビットが0や1でなかったデータはXでマスクしています。使用可能なハッシュ関数ごとにPCR値がありますが、ここではSHA256のみが使用可能であることがわかります。
# tpm2 pcrread
sha1:
sha256:
0 : 0xXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
1 : 0xXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
2 : 0xXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
3 : 0xXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
4 : 0xXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
5 : 0xXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
6 : 0xXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
7 : 0xXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
8 : 0x0000000000000000000000000000000000000000000000000000000000000000
9 : 0xXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
10: 0x0000000000000000000000000000000000000000000000000000000000000000
11: 0xXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
12: 0x0000000000000000000000000000000000000000000000000000000000000000
13: 0x0000000000000000000000000000000000000000000000000000000000000000
14: 0x0000000000000000000000000000000000000000000000000000000000000000
15: 0x0000000000000000000000000000000000000000000000000000000000000000
16: 0x0000000000000000000000000000000000000000000000000000000000000000
17: 0xFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF
18: 0xFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF
19: 0xFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF
20: 0xFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF
21: 0xFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF
22: 0xFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF
23: 0x0000000000000000000000000000000000000000000000000000000000000000
sha384:
sm3_256:
PCR[4]はまず起動時に全ビット0か1で初期化されます[9]。それ以降はPCR[4]を更新するイベントの発生時に以下のExtend操作で更新されます。
実際に発生したイベントは/sys/kernel/security/tpm0/binary_bios_measurementsから読み出すことができます。このデータはバイナリで、tpm2 eventlog
で変換することでYAML形式で表示できます。初期値からPCRIndexが4の全イベントのDigestに対して順にExtend操作を繰り返すことで、最終的なPCR[4]値が計算できます。
以下が今回の構成で確認したイベントログ出力結果例です。PCR[4]ではない部分は省略しています。またデータは一部Xでマスクしています。
# tpm2 eventlog /sys/kernel/security/tpm0/binary_bios_measurements 2>/dev/null
---
version: 1
events:
(省略)
- EventNum: 17
PCRIndex: 4
EventType: EV_EFI_ACTION
DigestCount: 1
Digests:
- AlgorithmId: sha256
Digest: "3d6772b4f84ed47595d72a2c4c5ffd15f5bb72c7507fe26f2aaee2c69d5633ba"
EventSize: 40
Event: |-
Calling EFI Application from Boot Option
(省略)
- EventNum: 22
PCRIndex: 4
EventType: EV_SEPARATOR
DigestCount: 1
Digests:
- AlgorithmId: sha256
Digest: "df3f619804a92fdb4057192dc43dd748ea778adc52bc498ce80524c014b81119"
EventSize: 4
Event: "00000000"
(省略)
- EventNum: 29
PCRIndex: 4
EventType: EV_EFI_BOOT_SERVICES_APPLICATION
DigestCount: 1
Digests:
- AlgorithmId: sha256
Digest: "XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX"
EventSize: XX
Event:
ImageLocationInMemory: 0xXXXXXXXX
ImageLengthInMemory: XXXXXXXX
ImageLinkTimeAddress: 0xXXXXXXXXX
LengthOfDevicePath: XX
DevicePath: 'XXXXXXXX'
(省略)
- EventNum: 32
PCRIndex: 4
EventType: EV_EFI_BOOT_SERVICES_APPLICATION
DigestCount: 1
Digests:
- AlgorithmId: sha256
Digest: "XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX"
EventSize: XX
Event:
ImageLocationInMemory: 0xXXXXXXXX
ImageLengthInMemory: XXXXXXXX
ImageLinkTimeAddress: 0xXXXXXXXXX
LengthOfDevicePath: XX
DevicePath: 'XXXXXXXX'
(省略)
pcrs:
sha256:
0 : 0xXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
1 : 0xXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
2 : 0xXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
3 : 0xXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
4 : 0xXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
5 : 0xXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
6 : 0xXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
7 : 0xXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
9 : 0xXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
11 : 0xXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
イベントはEV_SEPARATORで区切られていて、最初からEV_SEPARATORまではUEFIファームウェアが記録するため通常の使用時は基本的に固定です。残りのEV_EFI_BOOT_SERVICES_APPLICATIONが起動したブートローダーとカーネルのログです。
EV_EFI_BOOT_SERVICES_APPLICATIONのDigestはWindowsのコード署名で使用されるハッシュ[10]と同じ方法で計算します。署名データを同一ファイル内に含むため、署名の有無でハッシュ値が変化しないようになっています。この計算を自前で実装するのは大変なので既存のコマンドやライブラリを使うと良いでしょう。下のコードではpesignを使っています[11]。
実装
サンプルコード
以上で必要な情報は集まったので実装をします。以下のようなスクリプトを作成しました。ここではmkinitcpioのpostフックを使用してUKI生成後に自動で鍵更新処理を実行するようにしています。環境ごとのパラメータは上で定義しています。
#!/bin/bash
set -eu
uki="$3"
# common PCR configuration
hash=sha256
hash_size=32
hasher() {
cksum --algorithm "$hash" --untagged | sed 's/ .*//'
}
# PCR[4] configuration
pcr4_init="$(head -c "$hash_size" /dev/zero | sed 's/./00/g')"
base_digests=(
3d6772b4f84ed47595d72a2c4c5ffd15f5bb72c7507fe26f2aaee2c69d5633ba
df3f619804a92fdb4057192dc43dd748ea778adc52bc498ce80524c014b81119
)
loaders=(
/efi/efi/systemd/systemd-bootx64.efi
)
kernel=/efi/efi/arch/linux.efi
# other PCR configuration
other_pcrs=(
7:$hash=XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
)
# storage configuration
disk=/dev/disk/by-uuid/XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX
key_file=/root.key
pcr_extend() {
printf '%s%s' "$1" "$2" | xxd -revert -plain | hasher
}
pe_hash() {
pesign --hash --digest-type "$hash" --in "$1" | sed 's/ .*//'
}
emulate_pcr4() {
local pcr4="$pcr4_init"
local d
for d in "${base_digests[@]}"; do
pcr4="$(pcr_extend "$pcr4" "$d")"
done
local l
for l in "${loaders[@]}"; do
pcr4="$(pcr_extend "$pcr4" "$(pe_hash "$l")")"
done
pcr_extend "$pcr4" "$(pe_hash "$kernel")"
}
enroll_tpm2_key() {
local pcrs="4:$hash=$1"
pcrs+="$(printf '+%s' "${other_pcrs[@]}")"
systemd-cryptenroll --unlock-key-file "$key_file" --wipe-slot tpm2 --tpm2-device auto --tpm2-pcrs "$pcrs" "$disk"
}
if [[ "$uki" != "$kernel" ]]; then
echo 'not target of LUKS tpm2 key'
exit
fi
pcr4="$(emulate_pcr4)"
enroll_tpm2_key "$pcr4"
pcr_extend
関数がPCRのExtend操作、emulate_pcr4
関数がPCR[4]をエミュレートして表示する関数です。EV_SEPARATORまではbase_digests
、ブートローダーはloaders
、カーネルはkernel
で設定したものを使用します。base_digests
は値をそのまま、loaders
とkernel
はファイルのハッシュをpesign
コマンドを使用して取得し、その値でExtendしています。計算したカーネル更新後のPCR[4]を使用して、enroll_tpm2_key
関数でTPMの鍵を更新します。
フック動作順
mkinitcpioの場合、initramfsやUKIの生成後に/usr/lib/initcpio/postと/etc/initcpio/postに配置した実行ファイルが順次実行されます。今回の環境では以下のフックが存在します。
- /usr/lib/initcpio/post/sbctl
- 生成したinitramfsまたはUKIをセキュアブート用に署名する
- /etc/initcpio/post/enroll-luks-tpm2
- 今回作成したTPMの鍵更新スクリプト
また、ブートローダー(systemd-bootx64.efi)はパッケージマネージャーのフックを作成して自動で署名と更新をしています[12]。このフックの実行順をmkinitcpioより前に調整する[13]ことでsystemd-bootx64.efi更新後にTPMの鍵を更新させています。
環境ごとの調整
上のコードは上記の構成で動作していますが、他の構成では調整が必要です。だいたいこのあたりについて調整が必要になるでしょう。
- スクリプトの実行方法
- ここではmkinitcpioのpostフック
- 自動更新するのがこの記事の目的なので、基本的にinitramfs or UKI生成後のフックで実行する
- 使用するPCR
- ここではPCR[4]とPCR[7]
- 構成やポリシーに合わせて設定
- 例としてPCR[14]はPCR[7]と同様に固定値で実装できそう
- ハッシュ関数
- 最近のPCなら基本的にSHA256で問題ないはず
- ブートローダー
- 今回はsystemd-boot(systemd-bootx64.efi)のみ
- 他のブートローダーを使用している場合は変更する
- shimやPreLoaderを使用している場合は起動順に列挙する
- カーネル
- 今回はlinux.efi
- UKIでない場合は合わせてPCRの変更も必要になるはず
- カーネル複数対応
- このスクリプトは1つのみ対応のため、複数対応のためには追加で実装が必要
- 試してはいないが以下の実装が必要となるはず
- sytemd-cryptenrollでカーネルごとに別の
--tpm2-seal-key-handle HANDLE
を指定する? -
--wipe-slot tpm2
でまとめて既存の鍵を削除するのではなく更新対象のカーネルの鍵のみ削除する
- TPMの鍵設定コマンド
- 今回はsystemd-cryptenroll
まとめ
LUKSによるフルディスク暗号化をTPMの鍵で復号できるよう設定した状態で、カーネル更新時にTPMの鍵を自動で更新するよう設定することができました。今回実装したスクリプトは構成による影響が多いため実際に使用する際は構成に合わせて調整が必要です。頑張ればより汎用的な実装にもできそうですが今回はここまでとします。もし興味があったら設定してみてください。
-
ここでは自動で復号するよう設定することの是非については議論しません。 ↩︎
-
マルチブート環境やUSBメモリを使用したライブ環境のようなものを想定しています。 ↩︎
-
Arch Linuxでデフォルトで使用されるinitramfs生成ツールです。Arch Linux以外だとdracutがよく使われているようです。 ↩︎
-
unified kernel imageの略で、通常は別になっているvmlinuz、initramfs、カーネルパラメーターを1つのUEFIアプリケーション(.efiファイル)にまとめたものです。セキュアブート使用時に起動に必要なもの一式をまとめて署名できるのが利点です。今回の環境ではmkinitcpioを使用して生成していますが、他にも独立したツールを使用して生成する方法もあります。 ↩︎
-
Linuxのセキュアブート設定方法のうち、PC内で生成した鍵でカーネルやブートローダーを署名した上で、その鍵をUEFIに登録して検証する方法です。sbctlを使うと簡単に設定できます。他にも一般的なPCにあらかじめ設定されているMicrosoftの鍵で署名されたブートローダー(PreLoaderやshim)を使う方法もあります。 ↩︎
-
ブートローダーを使用しても鍵更新が自動化できるのか確認するため、また将来マルチブートしてもそのまま使えるようにsystemd-bootを採用しています。個人的にはシングルブート前提ならEFISTUBが好みです。というかGRUB以外のブートローダーがもっと広まっても良いと思っています。 ↩︎
-
LUKSを使用してルートファイルシステムを暗号化するフルディスク暗号化をしています。Arch Wikiに色々な構成がまとまっていて参考になります。試したことはなくかつこの記事の範囲外ですが、フルディスク暗号化以外のデータ暗号化方法もあります。 ↩︎
-
ここは少し怪しいです。TPM 2.0 Libraryにはdefault initial conditionと表現されていて、0と1のどちらなのか、また初期状態を変更する方法があるのかについては見つけられませんでした。自分の環境では0でした。 ↩︎
-
UEFIアプリケーションの形式はWindowsと同じPE形式です。Windows Authenticode Portable Executable Signature FormatのCalculating the PE Image Hashにハッシュ計算方法があります。 ↩︎
-
今回使えそうなコマンドを探しましたが署名はできてもハッシュ表示ができないコマンドも多いです。Arch Linuxのパッケージから探したため今回は不採用でしたが、readpeのpehashコマンドも使いやすそうです。 ↩︎
-
Arch Linuxのsystemd、sbctlパッケージでは今回の構成ではsystemd-bootの自動的な署名や配置がうまくできなかったので自分でフックを書いています。 ↩︎
-
mkinitcpioは90-mkinitcpio-install.hookにより実行されます。このフックもファイル名でソートされるため数字を80などと小さくすることで先に実行されます。 ↩︎
Discussion