SSH鍵をTPMチップに保存する方法

記事

• SSH秘密鍵をTPMに格納し、抽出不可能にするチュートリアル
• Linuxでtpm2-pkcs11とssh-agentを連携して使用
• 鍵はハードウェア内に常駐し、署名処理もチップ内部で完結

ディスカッション

• @tptacek: フリート運用では短命証明書＋フィッシング耐性のあるIdPに比べると改善幅は限定的との見解
• TPMの信頼性への懸念：コンシューマー向けボードではBIOSアップデートで鍵が消える場合がある
• macOSのSecure Enclaveはサードパーティツール不要でよりクリーンな代替手段として言及
• 核心的な反論：鍵の窃取は防げても、ローカルマルウェアからの即時悪用は防げない

HNで議論する

原文（英語）: Put your SSH keys in your TPM chip