<div dir="ltr"><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Sat, Jan 20, 2024 at 8:02 AM Andrei Borzenkov <<a href="mailto:arvidjaar@gmail.com">arvidjaar@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On 19.01.2024 20:22, Mantas Mikulėnas wrote:<br>
> On Fri, Jan 19, 2024, 19:12 Morten Bo Johansen <<a href="mailto:mortenbo@hotmail.com" target="_blank">mortenbo@hotmail.com</a>> wrote:<br>
> <br>
>> On 2024-01-19 Mantas Mikulėnas wrote:<br>
>><br>
>>> In general I've learned to not quite trust what the firmware shows...<br>
>> we've<br>
>>> had a batch of Skylake-or-so desktops that *did* have a CPU-integrated<br>
>> fTPM<br>
>>> but it wasn't even mentioned until we did a BIOS update, even though CPU<br>
>>> spec said it should be present.<br>
>>><br>
>>> However, your CPU is from Haswell era and according to the spec sheet it<br>
>>> definitely seems to lack Intel's PTT "built-in TPM 2.0" feature (it has<br>
>> the<br>
>>> older IPT but that's a different thing, not a TPM equivalent), so that<br>
>>> seems correct. If I understand correctly, the only option for that CPU<br>
>>> would be a discrete TPM chip, and if the manufacturer had bothered to<br>
>>> include one, it ought to be showing up in the BIOS settings.<br>
>>><br>
>>> On the other hand, you said you have a /dev/tpm0... I'm somewhat curious<br>
>>> about whether there are any mentions 'tpm' or 'tis' or something like<br>
>> that<br>
>>> in your `dmesg`?<br>
>><br>
>> ~/ % dmesg | grep -i tpm<br>
>><br>
>> [    0.275738] tpm_tis 00:05: 1.2 TPM (device-id 0x0, rev-id 78)<br>
>><br>
> <br>
> Well, that also looks like a TPM1.2 is present; it matches the absence of<br>
> /dev/tpmrm0 (which is a 2.0 thing).<br>
> <br>
> (It's not very useful in general; I've used it to store my SSH key in the<br>
> past, but it's slow and only does RSA-2048, and the software is completely<br>
> different from what's used for newer variants. You can use it through<br>
> TrouSerS + OpenCryptoki.)<br>
> <br>
> I wonder what makes systemd think it's a 2.0.<br>
> <br>
<br>
systemd does not check for TPM 2.0 at all. The conditions in these <br>
services are<br>
<br>
ConditionSecurity=measured-uki<br>
ConditionPathExists=!/run/systemd/tpm2-srk-public-key.pem<br>
<br>
Where "measured-uki" basically checks if specific EFI variable <br>
(StubPcrKernelImage) exists and has "correct" value.<br>
</blockquote></div><div><br></div><div>That must be commits 03d808c and 9f32bb9 then.<br></div><br><span class="gmail_signature_prefix">-- </span><br><div dir="ltr" class="gmail_signature"><div dir="ltr">Mantas Mikulėnas</div></div></div>