TPMなしでのインストール

IncusOSは更新を適用したり起動時に暗号化されたストレージプールのロックを自動的に解除する際にシステムの状態を信頼できる状態で計測するためにTPMとセキュアブートに依存しています。しかし、すべてのハードウェアーシステムがTPMを備えているわけではなく、そのようなシステムでTPMを購入するのはコスト的に難しいかもしれません。よくある例はRasperryPiなどのコンシューマーグレードのARMシステムです。

ホームラボユーザーやTPMなしの物理マシンでIncusOSを動かしたいユーザーはswtpm-backed TPMを利用できます。ただしこれは、IncusOSサーバーの全体的なセキュリティーを弱めることに注意してください。

• 物理的なTPMとは異なり、ソフトウェアーTPMの状態を確認や変更するのは容易です。

• 物理的なTPMはカーネルが起動買いする前にいくつかのクリティカルなPCRの値の計測を済ませます。IncusOSはブートプロセスの早い段階で同じ計測を実行しますが、これはユーザー空間から行います。これにより攻撃の道が開かれますが、セキュアブートの設定により部分的には軽減されます。

エンタープライズ環境で物理的なTPMなしでIncusOSを稼働することはサポートされません。

IncusOSはソフトウェアーベースのTPMで稼働する際、ステータススクリーンに目立つ警告を表示します。

警告

ここにドラゴンがいます！

物理的なTPMなしでIncusOSを稼働させることは全体のセキュリティーを弱め、エンタープライズでの使用を意図したものではないことを、再度強調しておく必要があります。

一度でもソフトウェアベースのTPMで起動したIncusOSはその事実を永久的に記録し、セキュリティーAPIのsystem_state_is_trustedフィールドでそのことを報告します。完全に信頼されないIncusOSシステムはオペレーションセンターやAPI経由でIncusOSとやりとりする他の製品での扱いが異なるかもしれません。

インストールシード

IncusOSのインストールシートを設定する際、security.missing_tpmフィールドをtrueに設定してください。これによりIncusOSがインストール中にソフトウェアーのTPMを設定するようになります。このオプションは物理的なTPMが検出されない場合にのみ効力を持ちます。

ライブUSBドライブからの起動

IncusOSがライブUSBドライブから起動し物理的なTPMが検出されない場合、IncusOSは初回ブート時にセキュリティーの警告を30秒間表示し、その後自動的にソフトウェアーTPMを設定します。ソフトウェアーTPMの設定が終わると、システムは自動的に再起動思案す。この再起動はソフトウェアーTPMを適切に初期化し、暗号化したディスクパーティションを使用するために必要です。