في السنوات الأخيرة، تحولت وحدات TPM 2.0 من كونها لغزًا في الأجهزة إلى جزء شائع في أي جهاز كمبيوتر حديث مزود بـ UEFI وSecure Boot. تشرح هذه المقالة ما هو /dev/tpm0 و/dev/tpmrm0 وكيفية استخدام tpm2_pcrread وtpm2_pcrextend. (بالإضافة إلى الأمر الفعلي الخاص به في أدوات tpm2)، بالإضافة إلى شرح كيفية ملاءمتها لسياسات التمهيد المقاسة، وتشفير القرص، وسياسات PCR الموقعة في Linux.
توجد وثائق مفيدة، ولكنها متناثرة بين صفحات دليل systemd، وإدخالات wiki، والمشاركات الكثيفة للغاية؛ هنا نقوم بجمع كل المعلومات الأساسية (اختبارات تفاعل البوليميراز المتسلسل، والأمثلة العملية، والمخاطر والدفاعات) حتى يتمكن الأشخاص الفنيون، حتى لو لم يكونوا خبراء في TPM، من العمل مع هذه الأدوات دون الضياع في التفاصيل الغامضة.
ما هو TPM 2.0 ولماذا قد يهمك
وحدة النظام الأساسي الموثوق بها عبارة عن شريحة أمان موجودة على اللوحة الأم (أو داخل وحدة المعالجة المركزية مثل fTPM/Intel PTT) وتعمل كمخزن آمن ومولد أرقام عشوائية وجذر ثقة للنظام. إنه سلبي: إذا لم تستخدمه، فلن يفعل شيئًا.ولكن عندما تقوم بدمجه في تدفق التمهيد وتشفير القرص، فإنه يوفر التحقق من السلامة والمفاتيح المحمية بالأجهزة.
في الممارسة العملية، يسمح لك TPM 2.0 بوضعين رئيسيين للاستخدام في تشفير القرص: أ) إنشاء/حفظ مفتاح قوي وحماية استخدامه باستخدام رقم تعريف شخصي مع قفل مضاد للقوة الغاشمة؛ ب) تنشيط ما يسمى بالتمهيد المقاس، حيث يتم قياس كل مكون من مكونات التمهيد في سجلات PCR، وبالتالي فإن المفتاح لن يتم "فكه" إلا إذا لم يتم العبث بالنظام (وبشكل اختياري باستخدام رقم التعريف الشخصي (PIN) قبل التمهيد).
/dev/tpm0 و/dev/tpmrm0: الاختلافات ومتى تستخدم كل منهما
على Linux، سوف ترى جهازين مكونين من حرفين عندما يكون TPM 2.0 متاحًا. /dev/tpm0 هي الواجهة "الخام" لـ TPMفي حين /dev/tpmrm0 يعرض الوصول من خلال مدير الموارد (مدير يضاعف العملاء ويدير الجلسات والموارد)، وهو المدير الذي توصي به أدوات tpm2 في معظم السيناريوهات.
إذا لم تكن متأكدًا من وجود TPM أم لا، فيمكنك إجراء اختبار ساخن له. إذا كان /sys/class/tpm/ فارغًا أو لم يُرجع أمر wiki أي شيء، لا يمكن رؤية TPM: قد لا يكون موجودًا فعليًا أو قد يكون معطلاً في البرنامج الثابت.
# ¿Hay TPM 2.0?
ls /sys/class/tpm/
cat /sys/class/tpm/tpm*/tpm_version_major
# Dispositivos
ls -l /dev/tpm*
عندما تكون عقدتي الجهاز موجودتين، فسوف تقوم أدوات tpm2 عادةً باكتشاف /dev/tpmrm0 واستخدامه تلقائيًا. إذا كنت بحاجة إلى فرض جهاز، فإن معظم الأدوات تقبل –tcti أو استخدام متغيرات بيئة TCTI، ولكن بالنسبة للمهام الشائعة، لا يكون ذلك ضروريًا عادةً.
اختبارات TPM PCR: كيف تعمل وما الذي تقيسه
سجلات تكوين النظام الأساسي هي سجلات تقوم بتخزين التجزئات (عادةً SHA-256) لحالة المكونات الحرجة في كل مرحلة تمهيد. يتم تهيئتها إلى الصفر عند دورة التشغيل ولا يمكن "تمديدها" إلا: لا تقم بإعادة الكتابة أو المسح أبدًا (باستثناء حالات التصحيح مثل PCR 16).
العملية الأساسية هي التمديد: القيمة الجديدة = SHA256(القيمة الحالية || SHA256(البيانات))بهذه الطريقة، تُربط القياسات معًا دون السماح بإعادة الضبط الانتهازية. يُستخدم هذا النمط لقياس البرامج الثابتة، والتكوين، والتمهيد الآمن، والنواة، وinitrd، ومعلمات النواة، وغيرها.
على الأجهزة الحديثة سوف ترى 24 اختبار تفاعل البوليميراز المتسلسل (0-23). الأكثر أهمية في تمهيد UEFI مع systemd هي:
– PCR 0: رمز البرنامج الثابت.
– PCR 1: تكوين البرامج الثابتة (إعدادات UEFI).
– PCR 7: حالة التمهيد الآمن والشهادات التي يثق بها.
- PCR 9: initrd(s) التي تم قياسها بواسطة النواة.
– PCR 11: UKI (صورة النواة الموحدة) وعلامات الطور عبر systemd-stub/systemd-pcrphase.
– PCR 12: سطر أوامر kernel.
قراءة وتوسيع PCRs باستخدام أدوات tpm2: tpm2_pcrread و tpm2_pcr_extend
في أدوات tpm2 يتم القراءة باستخدام tpm2_pcrread والامتداد مع tpm2_pcrextendستشاهد أحيانًا أن "tpm2_pcr_extend" يُشار إليها على أنها العملية المفاهيمية للتمديد، ولكن الأمر الفعلي للمجموعة هو tpm2_pcrextend.
لتفقد الوضع الحالي لـ PCR SHA-256، الأمر بسيط مثل:
# Leer PCRs en SHA-256 (ejemplos de índices habituales)
sudo tpm2_pcrread sha256:0,1,7,9,11,12
# O todos los PCRs SHA-256 disponibles
tpm2_pcrread sha256:all
لتوسيع PCR باستخدام تجزئة البيانات التعسفية (كمثال تربوي، تجزئة /etc/passwd)، احسب SHA-256 وقم بتوسيعه. تذكر: لا يستقبل TPM بيانات ضخمة، ولكن التجزئة الخاصة به، حسب الحدود والتصميم.
# 1) Guardar el hash de /etc/passwd
echo -n $(sha256sum /etc/passwd | cut -d' ' -f1) > passwd.sha
# 2) Extender PCR 7 (ejemplo) con el hash previo
sudo tpm2_pcrextend 7:sha256=$(cat passwd.sha)
# 3) Ver el nuevo valor del PCR 7
tpm2_pcrread sha256:7
إذا كنت تريد إعادة إنتاج الرياضيات التوسعية خارج TPM، تقوم بربط قيمة PCR الحالية (الثنائية) مع التجزئة الجديدة ثم قم بتطبيق SHA-256 مرة أخرى للتحقق من النتيجة.
هل يمكن إعادة ضبط PCR؟
في الظروف العادية، لا. الفلسفة هي أن PCR ينمو فقط مع الامتداداتيوجد استثناء واحد: عادةً ما يتم حجز PCR 16 لـ"التصحيح" ويمكن إعادة تعيينه في تدفقات معينة، ولكنه ليس مفيدًا كجذر أمان لسياساتك.
التمهيد المقاس، وLUKS، وsystemd-cryptenroll: تجميع القطع معًا
عندما تقوم بدمج TPM في تشفير القرص الخاص بك، يمكنك "ربط" إلغاء القفل بالمفتاح لمجموعة من PCRs. إذا كانت هذه PCRs في التمهيد الحالي لها نفس القيم كما كانت عندما قمت بتسجيل المفتاحيتم إلغاء ختم TPM ويتم فتح وحدة تخزين LUKS تلقائيًا (مع أو بدون رقم التعريف الشخصي (PIN) قبل التمهيد، اعتمادًا على التكوين الخاص بك).
يتم ذلك بشكل جيد للغاية باستخدام systemd-cryptenroll و systemd-cryptsetup. الفكرة هي إنشاء وحدة التخزين الخاصة بك، وتسجيل مفتاح TPM، وإضافة مفتاح الاسترداد. حتى لا تتعرض للاستبعاد إذا تغيرت القياسات (على سبيل المثال، بعد تحديث البرامج الثابتة أو النواة).
# Ejemplo: crear LUKS, matricular TPM y añadir recuperación (pseudoflujo)
# 1) Crear el volumen con contraseña temporal
sudo cryptsetup luksFormat /dev/nvme0n1p2
# 2) Matricular TPM en LUKS usando PCRs concretos y PIN
sudo systemd-cryptenroll \
--tpm2-device=auto \
--tpm2-with-pin=yes \
--tpm2-pcrs=1+2+3+4 \
--wipe-slot=empty \
/dev/nvme0n1p2
# 3) Añadir clave de recuperación aleatoria
sudo systemd-cryptenroll --recovery-key /dev/nvme0n1p2
# 4) Abrir con TPM o con recovery cuando proceda
systemd-cryptsetup attach root /dev/nvme0n1p2 - tpm2-device=auto
إذا قمت بفرض التناقض (على سبيل المثال، أنت تمدد PCR 4 عن قصدلن يُصدر TPM المفتاح بعد الآن، وستحتاج إلى استخدام مفتاح الاسترداد. يمكنك لاحقًا إعادة تسجيل TPM بالقيم الحالية الجديدة باستخدام –wipe-slot=tpm2 وتنفيذ آخر لـ systemd-cryptenroll.
أي اختبارات PCR يجب اختيارها ولماذا
كلما زاد عدد سجلات PCR ذات الصلة التي تربطها، قللت من مساحة السطح، ولكن ستحتاج إلى إعادة التسجيل في كثير من الأحيان بعد التغييرات المشروعة. بعض المعايير العملية:
– PCR 7 (التمهيد الآمن): يجب أن يكون مستقرًا للغاية إذا لم تتغير مجموعة المفاتيح الخاصة بك.
– PCR 0/1 (البرامج الثابتة والتكوين): نادرًا ما تتغير؛ فهي تتطلب إعادة التسجيل بعد تحديث البرامج الثابتة أو تغيير BIOS/UEFI.
– PCR 9/11/12 (kernel، initrd، UKI وcmdline): تتغير هذه بشكل متكرر إذا كنت لا تستخدم UKI أو التوقيع/السياسة المستقرة.
في بعض البيئات، لوحظ ربط PCR 7 فقط، بالاعتماد على التمهيد الآمن للتحقق من النواة وinitrd إذا تم بدء تشغيلهما كـ UKI موقع واستخدام systemd-boot الذي لا يسمح بتحرير معلمات kernel عندما يكون SB نشطًا. يعمل هذا، ولكن إذا كان التمهيد الآمن الخاص بك يعتمد على مفاتيح الطرف الثالث (مثل مفاتيح الطرف الثالث من Microsoft)، فسيكون من الأسهل تنظيم تمهيد بديل يحافظ على PCR 7 وبالتالي إنه ليس الخيار الأكثر تقييدًا.
سياسات المملكة المتحدة وإيرلندا وجمهورية أيرلندا الموقعة: الاستقرار دون فقدان الأمن
الحل العملي لتجنب إعادة التسجيل في كل مرة تقوم فيها بتحديث النواة هو استخدام UKI (صورة النواة الموحدة) وسياسة PCR الموقعةتُنشئ زوج مفاتيح، وتربط المفتاح العام بوحدة TPM عند التسجيل، وتُوقّع على مفتاح UKI الخاص بك بعد كل تحديث. تثق وحدة TPM بهذا التوقيع وتسمح بإلغاء القفل حتى في حال تغير تجزئة النواة.
أداة systemd-measure ومساعد systemd-ukify يجعلان هذا الأمر سهلاً: تقوم ukify بحزم kernel و initrd و cmdline في UKI (عادةً ما يتم قياسها باستخدام PCR 11) ويوقع systemd-measure السياسة. مع mkinitcpio، يمكن دمج ukify بحيث بعد التثبيت التوقيع ينفذ نفسه.
# Esquema típico (pseudocomandos)
# 1) Crear claves para política PCR firmada
openssl genpkey -algorithm RSA -out /etc/kernel/pcr-initrd.key.pem -pkeyopt rsa_keygen_bits:3072
openssl req -new -x509 -key /etc/kernel/pcr-initrd.key.pem -out /etc/kernel/pcr-initrd.pub.pem -subj "/CN=UKI PCR Policy"
# 2) Configurar ukify/mkinitcpio para generar UKI y firmar política
# (consultar man ukify y systemd-measure para parámetros)
# 3) Matricular en LUKS atando PCRs y clave pública de la política
sudo systemd-cryptenroll \
--tpm2-device=auto \
--wipe-slot=tpm2 \
--tpm2-with-pin=yes \
--tpm2-pcrs=0+1+2+7 \
--tpm2-public-key=/etc/kernel/pcr-initrd.pub.pem \
--tpm2-public-key-pcrs=11 \
/dev/nvme0n1p2
وهكذا، تظل سياستك مستقرة ضد تغييرات kernel/initrd طالما واصلت توقيع UKI بمفتاحك.إذا قمت بتجديد كلمات المرور الخاصة بك أو تغيير مجموعة PCR الخاصة بك، فسوف تحتاج إلى إعادة التسجيل.
أمثلة على سلاسل القياس مع systemd
أثناء التمهيد، يقوم systemd-stub وsystemd-pcrphase بتمديد PCRs في أوقات محددة. على سبيل المثال، يتم تسجيل "enter-initrd" في PCR 11، مما يسمح بإلغاء القفل ليكون صالحًا فقط داخل initrd (تقليل المتجهات حيث يحاول المهاجم إعادة استخدام المفتاح لاحقًا).
في الأنظمة التي تحتوي على UKI، يتم قياس محتوى UKI في PCR 11؛ وفي الأنظمة التي لا تحتوي على UKI، يقيس النواة initrds في PCR 9 ويمكن لبرنامج التشغيل قياس cmdline في PCR 12. تأكد من تغطية initrd وcmdline في سياستك، أو قد يقوم شخص ما بذلك الباب الخلفي initrd أو التمهيد باستخدام سطر أمر ضار مثل الحرف الأول = / بن / باش.
المخاطر الحقيقية: التمهيد البارد، واستكشاف TPM، والمزيد
ما الذي قد يحدث؟ هناك عدة أمور يجب معرفتها عند نمذجة التهديدات. هجمات التمهيد البارد لا تزال هذه الحلول فعّالة: إذا كان فتح القفل تلقائيًا بالكامل، يُمكن للمهاجم تكرار محاولات غير محدودة. الحل الواضح هو طلب رمز PIN قبل التشغيل (PBA)، مما يُقلل المحاولات إلى محاولة واحدة لكل دورة طاقة.
فئة أخرى هي هجمات التنصت على ناقل TPMتطلب وحدة المعالجة المركزية المفتاح، فترسله وحدة TPM؛ وفي حال النقر على الرابط، يُمكن تسريب المفتاح. ولتحقيق ذلك، يُطبّق systemd "تشفير المعاملات" لتشفير التبادل؛ أو يُمكن استخدام fTPM/Intel PTT أو الذاكرة المُشفّرة لتقليل الكشف. تُقدّم عروض توضيحية عامة بأسعار معقولة نسبيًا (حتى مع استخدام المتحكمات الدقيقة) تُوضّح جدوى هذه العملية على أجهزة الكمبيوتر المحمولة من العلامات التجارية الكبرى.
وكانت هناك أيضًا نقاط ضعف أكاديمية وعملية: فشل TPM، خطأ TPM (مع تأثير ملحوظ على AMD) والقضية bitpixie (CVE-2023-21563)لا يعني هذا أن TPM عديم الفائدة، ولكن يجب عليك إبقاء البرامج الثابتة لديك محدثة، وفهم نموذج التهديد الذي تواجهه، وعدم الثقة بها بشكل أعمى.
حالة BitLocker ضد هذه التهديدات
في عالم ويندوز، يُعد BitLocker أكثر أنظمة تشفير الأقراص شيوعًا. وقد لوحظ الآن أن تكوينه الافتراضي (فتح القفل تلقائيًا فقط باستخدام TPM) يُتيح هذا النظام إمكانيةَ التمهيد البارد واختراق قنوات TPM، لأنه لا يُطبّق تشفيرًا للمعلمات على غرار systemd. هذا يُعرّض بعض أجهزة الكمبيوتر في الشركات للهجوم في غضون دقائق.
التوصية هناك هي تمكين مصادقة ما قبل التمهيد عبر السياسات/السجل أو واجهة سطر الأوامر، وهو أمر لا يُعرَض بشكل كافٍ للمستخدم العادي. تذكر أيضًا التحقق من مكان تخزين مفتاح الاسترداد: فهو غالبًا ما يكون في حساب مايكروسوفت الخاص بالمستخدم، والذي إنها زاوية أخرى من المخاطرة إذا لم يتم السيطرة عليها.
خدعة هجومية/دفاعية: استبدل جذر LUKS لإجبار كلمة المرور الخاصة بك
هناك عامل مثير للاهتمام في حالة عدم وجود مصادقة قبل التشغيل. يمكن للمهاجم استنساخ قسم LUKS الحقيقي. استبدله بجهاز LUKS آخر بنفس UUID وكلمة مرور يعرفها، وشغّل جهاز الكمبيوتر. بما أن قياسات تفاعل البوليميراز المتسلسل (PCR) متطابقة، يُصدر TPM المفتاح، ولكنه لا يتطابق مع LUKS المزيفة، لذا سيطلب initrd مفتاح "الاسترداد". بإدخال كلمة المرور المعروفة للمهاجم، يعمل نظامك كجذر في initrd، ويمكنك بعد ذلك تدبير سرقة المفتاح الأصلي (على سبيل المثال، عن طريق تحميل النسخة الأصلية عبر الشبكة واستخدام systemd-cryptsetup).
تخفيف واضح: تفعيل مصادقة ما قبل التمهيد، الاستفادة من systemd-pcrphase لربط إلغاء القفل بشكل صارم بمرحلة initrd، والنظر في قياس/ربط حجم LUKS المستهدف أيضًا (يتطلب تصميمًا دقيقًا لتجنب الدوائر المفرغة).
اختيار التقسيم والمفتاح الثاني: أفضل الممارسات
المحافظة مفتاح الاسترداد إنه أمر إلزامي: في حال تعطل وحدة TPM أو اللوحة الأم، يصبح مفتاحك المرتبط بها عديم الفائدة. يسمح نظام LUKS بفتحات متعددة (تستخدم وحدة TPM واحدة، بينما تستخدم وحدة الاسترداد أخرى). بالإضافة إلى ذلك، فإن فصل قسمي / و/home له مزايا: يمكنك تطبيق القياس الصارم مع TPM a/ واستخدم مفتاحًا قويًا أو جهاز FIDO2/YubiKey لـ/home، مما يقلل الثقة الإجمالية في آلية واحدة.
ماذا يحدث عند تحديث البرامج الثابتة أو النواة؟
إذا قمت بتغيير البرامج الثابتة أو لمس خيارات UEFI، فسوف تتغير PCRs مثل 0/1 ولن يقوم TPM بإصدار المفتاح حتى تقوم بإعادة التسجيل. إلى النواة و initrd، التغييرات متكررةإذا لم تستخدم رمز UKI بسياسة مُوقّعة، فقد يُجبرك كل تحديث على استخدام خيار الاسترداد وإعادة التسجيل لاحقًا. مع رمز UKI المُوقّع، ما عليك سوى التوقيع عليه.
ملاحظات وملاحظات المجتمع
في بعض الأدلة الشائعة لتوزيعات معينة تمت التوصية بذلك ربط PCR 7 فقط عند استخدام UKI وsystemd-bootبالاعتماد على إجراءات الحماية التي يوفرها التمهيد الآمن وعدم القدرة على تعديل سطر الأوامر. يعمل النظام، ولكن هناك مخاطر في حال الاعتماد على جهات خارجية. سُجِّل خطأ سابق أيضًا حيث كان الضغط على زر الإدخال يُظهر نافذة استرداد بعد إلغاء القفل؛ لذا يُنصح بتحديث إصدارات النظام لتجنب أي مفاجآت.
تمت مشاركة تعليقات مثيرة للاهتمام في 2025/06: لا يزال خطأ TPM يؤثر على AMD إلى حد ما؛ أضافت الويكيات أقسامًا محددة حول سياسات PCR الموقعة؛ وتم اختبار برنامج التثبيت للتوزيع الذي يوفر FDE مع TPM كميزة تجريبية، مع بعض المشكلات العملية (تتطلب الاسترداد عند التمهيد الأول، والاعتماد على اللقطات، وتشفير القرص المزدوج)، وهي مشكلة يستحق تدقيقًا أكثر تعمقًا.
تم نشر متابعة تركز على تشفير القرص في نظام التشغيل Windows في عام 2025/07. يؤكد الاستنتاج العام على الحاجة إلى PBA وتشفير قناة TPM.، بالإضافة إلى الحد من الاعتماد على مفاتيح الطرف الثالث في التمهيد الآمن.
نصائح تشغيلية مع أدوات tpm2 وsystemd
للاستخدام اليومي: قم بتثبيت tpm2-tools وtpm2-tss. يستخدم /dev/tpmrm0 بشكل افتراضي، وtpm2_pcrread/tpm2_pcrextend لاختبار وتجربة تفاعلات البوليميراز المتسلسل. تجنب توسيع إنتاج تفاعلات البوليميراز المتسلسل ببيانات عشوائية: قم بذلك في المختبرات أو استخدم PCR 16 للاختبار.
عند التسجيل باستخدام systemd-cryptenroll: –tpm2-الجهاز=تلقائي يكتشف TPM؛ –tpm2-مع-دبوس يضيف PBA؛ –tpm2-pcrs=… حدد PCRs الخاص بك؛ –tpm2-public-key=… و –tpm2-public-key-pcrs=… تفعيل سياسة PCR موقعة (على سبيل المثال، مرتبطة بـ PCR 11 لـ UKI). لا تنسَ –فتحة المسح عندما تريد تنظيف فتحة سابقة.
إذا لم يكن لديك TPM ويجعلك systemd تنتظر التمهيد
في بعض الأحيان، بعد التحديث، تحاول الخدمة استخدام TPM على الرغم من عدم ظهورها على جهازك، مما يتسبب في انتهاء المهلة عند بدء التشغيل. أولاً تأكد من عدم ظهور /dev/tpm* ولا إدخالات في /sys/class/tpm.
# Verificación rápida
ls /dev/tpm*
ls /sys/class/tpm/
إذا لم يكن هناك TPM، تحقق من /etc/crypttab لا يوجد خيارات مثل tpm2-device=autoإذا كانت موجودة، فاحذفها وأعد بناء initrd. يمكنك أيضًا تعطيل مرحلة القياس على أجهزة الكمبيوتر التي لا تحتوي على TPM:
# 1) Eliminar referencias TPM en /etc/crypttab y regenerar initrd
sudo mkinitcpio -P # (o dracut/rebuildinitrd según distro)
# 2) Evitar carga de módulos TPM si el firmware publica algo extraño
echo -e "blacklist tpm\nblacklist tpm_tis\nblacklist tpm_crb" | sudo tee /etc/modprobe.d/no-tpm.conf
# 3) Opcional: evitar pcrphase si te da problemas
sudo systemctl mask systemd-pcrphase.service
يؤدي هذا إلى التخلص من الانتظار غير الضروري إذا كانت معداتك تفتقر إلى TPM. إذا قمت بتمكين TPM في BIOS/UEFI لاحقًاقم بإزالة القائمة السوداء وإظهار الوحدة لاستعادة القياسات.
الممارسات الجيدة وقرارات الثقة
يحذر البعض من TPM لأنه بمثابة "صندوق أسود"، تمامًا مثل الأقراص ذاتية التشفير. وهذا شكٌّ منطقي. تقييم نموذج التهديد الخاص بك ويوازن بين سهولة الاستخدام والخصوصية والصيانة. بالنسبة للكثيرين، يُعدّ TPM+PBA+UKI المُوقّع نقلة أمنية هائلة دون أي احتكاك مُفرط.
على الأجهزة التي تسمح بذلك، أضف الذاكرة المشفرة وتجنب الاعتماد على مفاتيح خارجية في التمهيد الآمن؛ واحرص على اقتصار السلسلة على مفاتيحك الخاصة كلما أمكن. حافظ على تحديث البرامج الثابتة والنواة لدمج حلول للحد من الثغرات الأمنية المنشورة.
إن إتقان عمليات /dev/tpm0، و/dev/tpmrm0، وtpm2_pcrread/tpm2_pcr_extend يفتح الباب أمام التمهيد المقاس وتشفير القرص القوي في Linux؛ مع UKI وسياسة PCR الموقعة، يمكنك تحقيق الاستقرار التشغيلي، وإضافة رقم التعريف الشخصي (PIN) قبل التمهيد يحميك أيضًا من الهجمات الأكثر عملية. والمفتاح هنا هو اختيار اختبارات PCR بشكل جيد، والتوقيع على ما يتغير بشكل متكرر، والاحتفاظ دائمًا بمفتاح استرداد جيد..
