80.4.3. Удаление токена с тома

⁠80.4.3. Удаление токена с тома

Чтобы отключить автоматическую разблокировку зашифрованного раздела с помощью TPM 2.0, необходимо удалить TPM-токен и соответствующий слот ключа.

Важно

Перед выполнением данной процедуры необходимо убедиться в наличии другого способа разблокировки (например, резервного пароля), иначе доступ к данным будет невозможен.

Определить ID токена и номер слота:

# cryptsetup luksDump /dev/sdb1

Пример вывода:

…
Tokens:
  0: systemd-tpm2
	tpm2-hash-pcrs:   0+2+4+7
	tpm2-pcr-bank:    sha256
	tpm2-primary-alg: ecc
	tpm2-pin:         true
	Keyslot:    1

Здесь:

Token: 0 — ID токена;
Keyslot: 1 — номер слота LUKS, защищённого этим токеном.

Удалить TPM-токен:

# cryptsetup token remove --token-id 0 /dev/sdb1

Эта команда удаляет токен из заголовка LUKS, отвязывая политику TPM (включая PCR, PIN и другие параметры).

Удалить ключевой слот:

# cryptsetup luksKillSlot /dev/sdb1 1

Эта команда удаляет сам ключевой слот, содержащий ключ, использовавшийся для разблокировки через TPM.

После этих процедур автоматическая разблокировка дисков с помощью TPM работать не будет.