Как включить гибернацию вместе с полнодисковым шифрованием с tpm в ubuntu 25.10?

Question

[Born2com_fixtf2]

В ubuntu 25.10 появилась возможность включить полнодисковое шифрование с использованием tpm или tpm + пароль. Когда я устанавливаю ОС с полнодисковым шифрованием tpm + пароль и настраиваю ядро для использования гибернации (не путать со сном), то после перезагрузки ubuntu отказывается запускаться и меня выкидывает в настройки uefi. В чём может быть проблема, и как мне настроить гибернацию с полнодисковым шифрованием tpm + pin?

Comments

[shurshur]

Рисковые парни в новогоднюю ночь пытаются запустить новую фичу из non-LTS ветки

[rPman]

Помятуя, как с обычным шифрованные разделом были проблемы с гибернацией, простое решение разместить своп раздел на нешифрванном разделе, именно туда копируется содержимое памяти, и наверное размещение его шифованным блокирует загрузку

[historydev]

shurshur, ))

[Born2com_fixtf2]

shurshur, А в чём риск, если я экспериментирую с виртуалкой))

[shurshur]

Born2com_fixtf2, в вопросе про это не написано :)

PS: Я тоже несколько лет назад, поехав к отцу на НГ, где после моего переезда не осталось домашнего сервака и был только старый микротик, собирал под бой курантов билд openwrt для запуска в metarouter, чтобы vpn себе сделать для удалённого доступа туда. Старался ничего не сломать, ибо если что - я ж не там и придётся приезжать...

[Born2com_fixtf2]

shurshur, а есть разница, запускалась ли система в виртуалке или на настоящем железе?

[shurshur]

Born2com_fixtf2, честно говоря, не знаю, как в виртуалке эмулируется TPM и есть ли там разница. Но там вон пишут совет делать hibernate на незашифрованный диск и я бы начал именно с этого, если оно после этого заработает в виртуалке, то есть шанс заработать и на железе.

В любом случае, прям сразу вовсю тащить это в прод и вообще хранить на таких системах ценные данные без бэкапа я бы не советовал.

[Born2com_fixtf2]

shurshur, Дело не вот, что tpm отказывается отдавать ключ (в данном случае я просто ввёл бы ключ восстановления), а в том, что виртуальная материнка в принципе не может загрузить ОС, даже не давая мне ввести ключ восстановления и выкидывая меня в настройки uefi. swap я незашифрованным оставлять не хочу, иначе какой смысл вообще шифровать накопитель, если злоумышленники просто смогут либо прочитать раздел или файл swap или даже подменить его.

[shurshur]

Born2com_fixtf2, скорее всего это не так просто. Я не знаю как именно там это реализовали, но если расшифровку делает ядро, то нельзя просто при смонтированной файловой системе и запущенных процессах уводить всё в hibernate с шифрованием, потому что восстановиться система обратно тогда не сможет. И скорее всего восстановление системы из дампа надо тогда переносить из ядра в EFI, что само по себе может быть нетривиально.

[jcmvbkbc]

если расшифровку делает ядро

shurshur, расшифровку делает ядро

нельзя просто при смонтированной файловой системе и запущенных процессах уводить всё в hibernate с шифрованием, потому что восстановиться система обратно тогда не сможет.

Это прекрасно работает с шифрованными разделами без TPM. Наличие TPM меняет только то, откуда берётся ключ.

[Born2com_fixtf2]

jcmvbkbc,

Это прекрасно работает с шифрованными разделами без TPM. Наличие TPM меняет только то, откуда берётся ключ.

И именно это интересно: почему без tpm гибернация с полнодисковым шифрованием работает, а с tpm всё ломается?

[jcmvbkbc]

И именно это интересно

Born2com_fixtf2, я бы смотрел в логи на предмет того, что происходит. Но для правильной интерпретации логов нужно понимать, как всё должно работать.