Armazene Suas Chaves SSH no Seu Chip TPM!

Esta publicação detalha o processo de armazenamento de chaves privadas SSH dentro de um chip TPM, utilizando o tpm2-pkcs11 stack no Linux. Abrange a criação de tokens, a importação de chaves RSA/ECC256 geradas offline e a configuração do provedor PKCS#11 no ~/.ssh/config, garantindo que as chaves nunca permaneçam como arquivos em texto plano. São abordadas algumas compensações entre TPMs e HSMs portáteis, como Yubikeys: TPMs são vinculados ao dispositivo sem exigência de presença física, placas-mãe de consumo frequentemente apagam o TPM em atualizações de BIOS, e falhas históricas como ROCA (CVE-2017-15361) enfraqueceram chaves RSA geradas por chips TPM da Infineon. Para defensores, a recomendação é preferir chaves geradas offline e protegidas por senha, importadas para o TPM com backups seguros. É crucial adicionar usuários ao grupo tss em vez de executar as ferramentas como root e validar o conteúdo do token com tpm2_ptool verify e pkcs11-tool --list-objects antes de desativar as chaves baseadas em filesystem.