Ich hatte mal eine Systemkonfiguration, bei der der Schlüssel für ein LUKS-Gerät aus dem TPM extrahiert wurde. Das war kein Problem, weil man in die crypttab eintragen konnte, dass zum Bereitstellen des Schlüssels ein Shellskript ausgeführt werden sollte.

Seit die Linuxdistributionen auf systemd umgeschwenkt haben, kann man aber allerhand Optionen in der crypttab nicht mehr verwenden, unter anderem auch die Möglichkeit den Schlüssel von einem Programm ausgeben zu lassen. Ferner ist es kaum möglich systemd die Abhängigkeiten zwischen den verschiedenen Partitionen und virtuellen Dateisystemen so beizubringen, dass zuerst sauber die Voraussetzungen für das TPM-Tooling hochgefahren werden und erst danach ein LUKS-Gerät geöffnet und gemountet wird.

Ich würde aktuell aus zwei Gründen davon abraten, LUKS-Schlüssel in einem TPM zu speichern:

• systemd macht einem hier das Leben unnötig schwer.
• Da man keinen Einblick hat, was das TPM auf einem konkreten Mainboard unter der Haube so treibt, ist es fraglich, ob es überhaupt ein sicherer Aufbewahrungsort für Schlüssel ist.

Wenn man den Schlüssel ohnehin mit einem zusätzlichen Passwort absichern will, sind andere, einfachere Speichermechanismen mindestens genauso sicher und einfacher zu implementieren.