<div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr">Le mar. 11 mars 2025 à 13:27, Lennart Poettering <<a href="mailto:lennart@poettering.net">lennart@poettering.net</a>> a écrit :</div><div class="gmail_quote gmail_quote_container"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On Mo, 10.03.25 19:25, Diorcet Yann (<a href="mailto:diorcet.yann@gmail.com" target="_blank">diorcet.yann@gmail.com</a>) wrote:<br>
<br>
> Is PCR15 checked against a pre-calculated value saved in the signed initrd<br>
> before leaving initrd? If it's not the case, then when executing the init<br>
> from the chrooted malicious partition, the original /dev/sda1 LUKS will be<br>
> opened and mounted as var.<br>
<br>
I think you are misunderstanding what PCR15 is supposed to be. it's<br>
not really supposed to be consumed for FDE, but simply populated by<br>
FDE. It's usecase was to later have PCR that identifies the local<br>
system, that we can lock encrypted credentials or systemd-confext<br>
images to.<br>
<br>
To protect the order of things use the "phase" logic, i.e. in PCR 15.<br>
<br>
And to say this very clearly: the model this is designed for assumes<br>
you have one encrypted fs not many. i.e. if everything checks out then<br>
you get access to it, and if it doesn't you don't. I am not sure I<br>
understand your scenario, but you appear to work with two encrypted<br>
disks, one for the rootfs and one for /var/? Yes, there is no<br>
protection for using them for the wrong purpose (ie. the root fs for<br>
/var/ or vice versa), because that was never in the picture of being<br>
an issue.<br>
<br>
If you want multiple encrypted partitions like that, then things are a<br>
lot more complicated, but let me ask you: why even? It makes sense to<br>
split up things so that you have various sets of data with different<br>
protections (i.e. some unprotected, some verity protected, some<br>
encrypted + tpm). But if you have multiple partitions protected the<br>
same way, why split them up, and why create such a headache then.<br>
<br>
Lennart<br>
<br>
--<br>
Lennart Poettering, Berlin<br></blockquote><div><br></div><div>hi,</div><div><br></div><div>I hope I'm not being (totally) off-topic with this :  <a href="https://oddlama.org/blog/bypassing-disk-encryption-with-tpm2-unlock/">https://oddlama.org/blog/bypassing-disk-encryption-with-tpm2-unlock/</a> .</div><div><br></div><div>regards.</div></div></div></div></div>