Introduction

Ce guide décrit l'installation d'un système Debian GNU/Linux sur un disque entièrement chiffré, avec stockage de la clé de chiffrement dans le TPM (Trusted Plateform Module) du PC, avec support de SecureBoot. L'utilisation combinée du TPM et de SecureBoot permet de déchiffrer le disque au démarrage sans interaction utilisateur (pas de saisie de phrase de passe, ni de dispositif externe à connecter) tout en garantissant que la clé de déchiffrement ne sera fournie qu'au système approuvé : celui que nous allons installer.

L'installation présentée ici se base sur des choix différents de ceux de l'installateur Debian officiel, ce qui impliquera des différences de configuration, mais l'ensemble de ce qui sera installé provient bien des dépôts de paquets de Debian, et les mises à jour se feront de la manière habituelle avec les utilitaires Debian.

Matériel nécessaire

Cette installation nécessite un PC avec micrologiciel UEFI et support de SecureBoot, et équipé d'un module TPM 2.0. Ces caractéristiques étant exigées par Microsoft, tout PC commercialisé avec Windows 10 ou supérieur devrait en principe les satisfaire.

Il n'y a pas besoin de support spécifique à l'installation, mais l'essentiel des manipulations devront se faire depuis un système GNU/Linux opérationnel sur la machine de destination. Un système live ou un système déjà installé sur la même machine (mais sur un autre disque) peuvent convenir. L'ensemble des commandes sont à exécuter en tant que root, cela n'est donc pas systématiquement précisé.

Sources

Le contenu de ce guide est en grande partie basé sur plusieurs sources anglophones :

• https://blastrock.github.io/fde-tpm-sb.html : la source principale, l'organisation générale est la même et certains scripts sont repris quasiment tel quel. Certains passages sont des quasi-traductions, d'autres sont plus éloignés, et je n'ai pas repris certains aspect comme la gestion de l'hibernation, dont je n'ai personnellement pas l'usage.
• https://www.rodsbooks.com/efi-bootloaders/controlling-sb.html : source référencée par la précédente, utilisée principalement pour la partie Secure Boot, en particulier la génération des clés.
• Le wiki de la distribution arch linux, et en particulier cette page.
• https://oddlama.org/blog/bypassing-disk-encryption-with-tpm2-unlock : article présentant une vulnérabilité qui affecte la plupart des installations avec déchiffrement automatisé depuis le TPM. Lecture fortement recommandée.

D'une manière générale, il est tout à fait possible que j'aie introduit des erreurs qui ne sont pas présentes dans ces sources.