Toon posts:

Vastlopen op TPM hardware encryption bij Ubuntu 26.04

Pagina: 1
Acties:

Vraag

zaterdag 25 april 2026 23:55

Acties:
  • Mative
  • Registratie: Oktober 2007
  • Laatst online: 20-05 10:06

Mative

Topicstarter
Ik probeer de nieuwe Ubuntu LTS op mijn laptop te installeren, maar ik loop vast bij de TPM.

Toen ik hem kocht heb ik er Ubuntu 24.04 op gezet om de laptop alvast te kunnen testen.
Om daarna de nieuwe LTS die nu is uitgekomen er op te zetten als daily driver :)

Ik heb toen 'disk encryption with passphrase' ingesteld (met de veronderstelling dat dit gewiped wordt bij een nieuwe clean install). Nu kan ik de nieuwe install ook encrypten via pasphrase, maar gezien Ubuntu de TPM ondersteund wil ik daar wel graag gebruik van maken.

Eerst liep ik vast omdat Secure Boot blijkbaar niet ingeschakeld stond.
Dit heb ik in de UEFI aangezet en via opties in de Ubuntu installer ook gelijk laten wipen.

Ik dacht dat het euvel verholpen was en probeerde opnieuw de LTS te installeren, maar ik liep tegen een ander foutmelding aan waarvan ik niet weet hoe dit precies op te lossen (of wat de melding überhaupt betekend):
Afbeeldingslocatie: https://tweakers.net/i/Vny4-CaYXmoaFmP5hglzwuosPqc=/800x/filters:strip_icc():strip_exif()/f/image/T6VRAOqGsoUhBLuDdCPyuav5.jpg?f=fotoalbum_large


Moet ik misschien Secure Boot resetten naar Setup Mode?
Afbeeldingslocatie: https://tweakers.net/i/ac1bnKgx_m2Dz9cdcdW5DPFz6N8=/800x/filters:strip_icc():strip_exif()/f/image/i2JFzFYcXoKIywrgoQAa5w5O.jpg?f=fotoalbum_large


Of de PTT keys wissen (wat dat ook moge zijn)?
Afbeeldingslocatie: https://tweakers.net/i/0hQDSTPscgMc03rqd2zwT2-Vylo=/800x/filters:strip_icc():strip_exif()/f/image/ap7p9Olq7lyvcyBAUfaYNmBT.jpg?f=fotoalbum_large


Of de laptop gewoon terug naar fabrieksinstellingen zetten.
(ik weet niet of dit ook direct effect heeft op de TPM)
Afbeeldingslocatie: https://tweakers.net/i/ZpZvLpEVIPf-r3hO8DcKqtmvAOc=/800x/filters:strip_icc():strip_exif()/f/image/XLuJneykAnoSBNVlRuZjRCAs.jpg?f=fotoalbum_large


Of geheel iets anders?
Ik hoop dat iemand hier wat licht op kan schijnen _/-\o_
Ik ben bang dat ik het probleem alleen maar groter maak
door misschien de verkeerde setting aan te passen.

Beste antwoord (via Mative op 28-04-2026 13:19)

maandag 27 april 2026 17:44

  • Hero of Time
  • Registratie: Oktober 2004
  • Nu online

Hero of Time

Moderator LNX

There is only one Legend

@bikkel007, er is een verschil tussen een schijf die zelf encryptie doet, en software die het versleuteld. In veel gevallen wordt de data in de chips van een SSD al versleuteld en is de controller op de SSD verantwoordelijk voor de decryptie. Dus de memory chips zelf direct uitlezen levert onbruikbare rommel op.

@Mative, je kan zelfs een jaar nadat je LUKS hebt ingericht nog andere unlock methodes toevoegen, dus je zit niet vast aan het moment.

Wat is eigenlijk de reden om schijfversleuteling te willen toepassen? Is het een persoonlijke laptop of een van de zaak? Voor mijn persoonlijke systemen neem ik de moeite niet, mede omdat voor m'n hoofd pc beneden ik met een bluetooth toetsenbord en muis werk en BT werkt niet totdat de boel is opgestart. Ik zou dan een aparte, bedrade of via RF, toetsenbord moeten gebruiken om elke keer m'n schijf te unlocken als ik geen andere methode toevoeg dan passphrase.

Om achteraf TPM toe te voegen, kijk eens op de Arch wiki: https://wiki.archlinux.org/title/Systemd-cryptenroll. Dit heb ik ook geprobeerd, maar helaas mist een module bij mij waardoor het niet werkt en ik het nog met Clevis doe.

Commandline FTW

Alle reacties

zondag 26 april 2026 22:57

Acties:
  • Mative
  • Registratie: Oktober 2007
  • Laatst online: 20-05 10:06

Mative

Topicstarter
Dank voor je reactie.
Ik heb een aantal dingen geprobeerd, zit nu in een soort catch22 situatie denk ik.

Ik heb de PTT key gewiped en de Secure Boot staat op Setup-mode.
(Ubuntu blijft om 'deployed' secure boot vragen,
ik heb geen idee hoe daar omheen te gaan)

Daarna bleef ik tegen foutmeldingen aan lopen.

Uiteindelijk Ubuntu geïnstalleerd zonder hardware encryptie,
zodat alle encrypted volumes gewist worden voor een volledige nieuwe install.
En de Factory keys restored.

Daarna op een 'clean' systeem opnieuw een instal met Hardware encryption geprobeerd, maar kreeg weer een nieuwe foutmelding:
Afbeeldingslocatie: https://tweakers.net/i/0j1gJaX390mNzox1Jkv8xmp2aNI=/800x/filters:strip_icc():strip_exif()/f/image/xJaLDbJSzfqeJAdaGO7zc2L1.jpg?f=fotoalbum_large


Secure boot is in de uefi 'Enabled', maar de Secure boot Mode blijft op 'Disabled' staan.

De boot volgorde (als het daar aan ligt) kan ik niet veranderen want de usb-stick met erop moet bovenaan blijven staan om het systeem opnieuw te kunnen installeren via de usb-stick.

Ik hoop dat er nog een andere methode voor een fix, ik heb geen idee wat ik nu nog kan proberen.
(of ik heb je uitleg gewoonweg niet goed begrepen)

maandag 27 april 2026 14:42

Acties:
  • Mative
  • Registratie: Oktober 2007
  • Laatst online: 20-05 10:06

Mative

Topicstarter
Oh sorry, dan heb ik je woorden in de quote verkeerd begrepen. Ik ben niet heel technisch
onderlegt, dus sommige verwoordingen komen bij mij blijkbaar niet altijd goed aan.

Ik dacht dat je bedoelde dat (omdat het mij niet meer lukt de settings
te veranderen) de TPM 'niet meer voldoet' (en dus effectief gebrickt is).

Zo ik het nu begrijp moet ik gewoon een nieuwe install met
encryptie (via LUKS) doen, want de TPM kom ik niet meer bij.

Wat mij nog niet duidelijk is of en in welk stadia kan ik een
andere unlock methode (zoals de TPM) nog toevoegen?
Is dat tijdens de installatie (die bij Ubuntu zo te zien niet mogelijk is) of achteraf wanneer
de install gelukt is en je een toevoeging toepast op de bestaande LUKS volumes?

Afbeeldingslocatie: https://tweakers.net/i/F900DTe4VK9zqNDwOnsRS9JJbvY=/800x/filters:strip_icc():strip_exif()/f/image/4raROB9LvTgDL6fT8cPBSuFI.jpg?f=fotoalbum_large

[ Voor 5% gewijzigd door Mative op 27-04-2026 14:47 ]

Pagina: 1
Reageer