TPMのレジスタを更新したときに必要な手順

TPMのレジスタが更新されて、TPMが変化するときの計算式とイベントのように更新されたとき、ふたたび保護を有効にしなければならない。このときに必要な手順をまとめる。

2025年業務PCセットアップと同様の構築をしている前提で書く。

systemd-boot

sudo systemd-cryptenroll /dev/nvme0n1p3 --wipe-slot=tpm2 --tpm2-device=auto --tpm2-pcrs=7+11

systemd-cryptenroll をオプションなしで実行すると現在利用しているスロットが読める。