Enrôler
Maintenir plusieurs voies de déverrouillage indépendantes.
Clés FIDO2 opérationnelles pour LUKS, SDDM, Hyprlock et des comptes sensibles, avec voies de secours conservées.
Maintenir plusieurs voies de déverrouillage indépendantes.
Vérifier que l'UKI contient les options nécessaires pour tenter FIDO2 au boot.
Distinguer visuellement le flux FIDO2 du flux TPM2 + PIN.
Interpréter les erreurs token sans conclure trop vite à une corruption disque.
Ajouter FIDO2 au déverrouillage disque ne suffit pas: la clé peut exister dans LUKS sans être tentée au boot si l'UKI n'embarque pas les bonnes options.
La matrice garde les rôles, mais retire numéros de slots, UUID et identifiants des clés.
méthode rôle
phrase de passe voie manuelle universelle
clé récupération chemin d'urgence hors ligne
TPM2 + PIN chemin quotidien lié au matériel
FIDO2 principale chemin de déverrouillage par clé matérielle
FIDO2 secours chemin de déverrouillage par clé de secours
La condition importante est publiée avec des placeholders documentaires : FIDO2 et TPM2 doivent être dans les options LUKS embarquées.
rd.luks.options=<encrypted-root>=fido2-device=auto,tpm2-device=auto,token-timeout=<short-timeout>,discard
Les erreurs connues sont reformulées sans traces de boot réelles.
invite PIN affichée le chemin FIDO2 est bien tenté
demande de contact affichée attendre la requête de présence avant de toucher la clé
PIN_AUTH_BLOCKED vérifier le PIN et l'état du token hors boot
invite TPM affichée d'abord inspecter la cmdline UKI courante
slot présent mais inutilisé option fido2-device absente dans l'artefact de boot
Les commandes ci-dessous sont volontairement anonymisées: chemins, noms de machines, interfaces, dépôts, périphériques et actions destructrices sont remplacés par des placeholders.
systemd-cryptenroll <encrypted-root-device>
ukify inspect <signed-uki>
ykman fido info
ykman otp info
LUKS2 contient les types de token fido2 et tpm2
la cmdline UKI inclut fido2-device=auto et tpm2-device=auto
le token FIDO est lisible hors boot
les slots OTP sont vides ou désactivés
le chemin du périphérique et les numéros de slots restent privés
systemd-cryptsetup attach <test-mapper-name> <encrypted-root-device> none fido2-device=auto
systemd-cryptsetup detach <test-mapper-name>
journalctl -b -0 --no-pager | rg -n 'fido2|tpm2|cryptsetup|luks'
le test utilise un nom de mapper jetable
le PIN est demandé avant la présence utilisateur
l'échec d'authentification du token est diagnostiqué avant tout changement d'état LUKS
les logs sont lus par catégories, pas publiés bruts
démarrer sur l'entrée UKI attendue
observer l'invite d'authentification
toucher la clé seulement après la demande de présence
revenir vers TPM2 + PIN ou une voie manuelle si FIDO2 échoue
Plymouth affiche une invite FIDO2 explicite
la présence de la clé est visuellement distincte
l'état d'authentification acceptée est visible
la voie TPM2 ne demande pas de toucher la clé
les voies de secours restent disponibles et documentées
La documentation distingue phrase de passe, clé de récupération, TPM2 + PIN, FIDO2 principal et FIDO2 secours.
Le thème rend l'étape FIDO2 lisible: attente de présence, validation et état final.
Les clés sont également utilisées pour SDDM et Hyprlock, avec des voies de secours conservées.
Les clés sont exploitées sans OTP actif pour éviter les injections clavier parasites pendant le prompt.
Supplément de documentation privée anonymisé
Cette page documente l'usage réel des clés FIDO2 pour LUKS, l'authentification locale et des comptes sensibles. Les UUID, périphériques, slots, identifiants de clés et informations de compte sont remplacés par des marqueurs documentaires ou restent privés.
La cible est une ouverture de volume résiliente avec plusieurs voies indépendantes:
L'objectif n'est pas de forcer un ordre particulier entre TPM et FIDO2, mais de conserver plusieurs moyens valides si l'un devient indisponible.
fido2-device=auto et tpm2-device=auto.Les captures publiques se concentrent sur l'enrôlement LUKS et la cohérence UKI. Elles constituent un échantillon représentatif : reproduire chaque déverrouillage ou connexion n'apporterait pas de preuve technique supplémentaire et exposerait inutilement le contexte d'authentification.
Le rendu Plymouth distingue visuellement attente FIDO2, présence utilisateur, validation et chemin TPM2.
Les écrans d'authentification, noms de comptes et services concernés ne sont pas publiés. Cette retenue protège les informations personnelles sans remettre en cause la validation fonctionnelle.
rd.luks.options=<LUKS_UUID>=fido2-device=auto,tpm2-device=auto,token-timeout=10s,discard
Sans fido2-device=auto, un slot FIDO2 présent dans LUKS peut rester inutilisé au démarrage.
sudo systemd-cryptenroll <LUKS_DEVICE>
sudo ukify inspect <UKI_IMAGE>
sudo systemd-cryptsetup attach <TEST_MAPPING> <LUKS_DEVICE> none fido2-device=auto
ykman fido info
ykman otp info
Attendu:
systemd-cryptenroll affiche les slots FIDO2 et TPM2.ukify inspect confirme la cmdline hybride.ykman otp info confirme que les slots OTP ne sont pas actifs sur les clés concernées.PIN of security token is blocked apparaît, retirer puis réinsérer la clé FIDO2.PIN_AUTH_BLOCKED revient, vérifier le PIN et l'état du token hors boot.