推荐使用：tpmtotp - 安全的远程认证工具

在数字化安全的世界中，确保计算机启动状态的完整性至关重要。tpmtotp 是一款独特的开源项目，它通过时间同步的一次性密码（TOTP）实现电脑与手机之间的远程验证。这个创新的解决方案利用了可信平台模块（TPM）和二维码技术，为您提供了一种安全可靠的远程认证方式。

项目介绍

tpmtotp 包含 sealtotp 和 unsealtotp 两个工具。sealtotp 会生成一个基于当前PCRs状态的TOTP令牌，并将其存储在文件中，同时打印出可扫描的二维码供手机应用注册。而 unsealtotp 则用于从文件中解封该令牌并显示其值，以进行验证。特别的是，这个项目还提供了与 Plymouth 启动服务集成的版本，可以在系统启动过程中无缝验证密码。

技术分析

tpmtotp 使用 libtpm 库直接与TPM交互，无需依赖其他服务。在需要访问 /dev/tpm0 设备时，可能需要root权限运行。项目支持将密封的密钥存储在TPM的非易失性存储或UEFI变量中，增强了灵活性。此外，用户还可以自定义PCR值，确保在特定的系统状态下才能解封密钥。

应用场景

tpmtotp 可广泛应用于：

1. 安全启动验证：在输入磁盘解密口令前，验证系统的启动状态是否未被篡改。
2. 远程设备管理：为远程服务器或物联网设备提供本地启动状态的安全确认。
3. 个人数据保护：作为额外的认证层，防止未经授权的系统启动。

项目特点

• 安全性强：基于TPM的硬件加密，保障了秘钥的安全存储和验证。
• 适应性强：支持UEFI非易失性存储，也可在无TPM服务的情况下工作。
• 灵活的PCR选择：允许用户选择特定PCR值来定制安全策略。
• 可视化验证：通过二维码生成与更新，方便手机端实时查看和验证。
• 易于集成：可以轻松地与 Plymouth 启动画面整合，不影响用户体验。

总之，tpmtotp 提供了一种实用且安全的方法，让您的系统启动过程更添一层保护。无论您是开发者、IT管理员还是寻求更好隐私保护的普通用户，都值得尝试这个强大的开源项目。立即加入，体验未来级别的安全认证吧！