In diesem Beitrag werden wir das Trusted Platform Module (TPM) für den RPi entmystifizieren, indem wir erkunden, wie dieser spezielle Hardware-Tresor Ihre digitale Identität schützt durch sichere Schlüsselverwaltung, lässt sich nahtlos in OpenSSL und Nginx integrieren, um Webdienste zu härten, und bietet eine robuste Festplattenverschlüsselung, die selbst bei Diebstahl Ihrer Speichermedien gesperrt bleibt.

TIPP: Holen Sie sich noch heute ein Lets Trust TPM für Ihren RPi bei Buyzero!

Passwörter und Schlüssel

In der Kryptographie sind Passwörter und Tasten haben unterschiedliche, aber verwandte Funktionen. Ein Passwort ist ein für Menschen lesbares Geheimnis (etwas, das Sie kennen), die in der Regel für die erste Authentifizierung verwendet werden. Da sich Menschen nur schwer zufällige Daten merken können, haben Passwörter oft geringe Entropie (leicht zu knacken), was sie anfällig für Erraten oder Brute-Force-Angriffe macht. Umgekehrt ist eine kryptographischer Schlüssel ist eine Hochentropie (schwer zu knacken), maschinengenerierte Zufallszeichenfolge (etwas, das Sie haben), die zum Sperren und Entsperren mathematischer Funktionen verwendet werden. In sicheren Systemen ist ein Kennwort oft nur der “Auslöser”, der einen viel stärkeren kryptografischen Schlüssel freigibt oder ableitet, so dass das System eine robuste Verschlüsselung verwenden kann, ohne dass sich der Benutzer eine 256-Bit-Kauderwelsch-Zeichenkette merken muss.

Die beiden wichtigsten Methoden zur Verwendung dieser Schlüssel sind symmetrisch und asymmetrisch Verschlüsselung. Bei der symmetrischen Verschlüsselung wird ein einziger gemeinsamer geheimer Schlüssel verwendet, um Daten zu verschlüsseln und zu entschlüsseln. Sie ist außergewöhnlich schnell und effizient und damit das “Arbeitspferd” für die Verarbeitung großer Datenmengen. Die asymmetrische Verschlüsselung verwendet ein mathematisch verknüpftes Paar: a öffentlicher Schlüssel für die Verschlüsselung und ein privater Schlüssel für die Entschlüsselung. Diese Methode ist zwar viel langsamer als symmetrische Methoden, aber sie löst das Problem der “Schlüsselverteilung”, da Sie Ihren öffentlichen Schlüssel sicher mit der Welt teilen können, ohne Ihren privaten Tresor zu gefährden.

Wie sich symmetrische und asymmetrische Schlüssel unterscheiden

Der Grund für zwei separate Schlüssel ist die Lösung des “Safe-in-the-Mail”-Problems: 

Wie senden Sie jemandem ein Geheimnis, wenn Sie nicht bereits ein gemeinsames Passwort haben?

Wenn Sie einen einzigen Schlüssel (symmetrisch) verwenden, müssen Sie diesen Schlüssel zuerst an die andere Person weitergeben. Wenn ein Angreifer den Schlüssel während der Übergabe abfängt, ist Ihre Sicherheit gebrochen. Die asymmetrische Verschlüsselung behebt dieses Problem, indem die Funktionen “Sperren” und “Entsperren” in zwei verschiedene Schlüssel aufgeteilt werden:

• Der öffentliche Schlüssel (Das offene Vorhängeschloss): Stellen Sie sich das wie ein offenes Vorhängeschloss vor, das Sie an jeden aushändigen, der es haben möchte. Andere können damit ein Fach abschließen, aber sobald das Fach zugeklickt ist, kann die Person, die es abgeschlossen hat, es nicht mehr öffnen.
• Der private Schlüssel (der einzige Schlüssel): Dies ist der physische Schlüssel, der geheim in Ihrer Tasche bleibt. Er ist der nur das diese Vorhängeschlösser öffnen kann.

Bei diesem System kann jeder auf der Welt eine Nachricht für Sie mit Ihrem “Vorhängeschloss” verschließen, aber nur Sie besitzen den “Schlüssel”, um den Inhalt zu sehen. So können zwei Personen sicher miteinander kommunizieren, ohne das Risiko einzugehen, ein gemeinsames Passwort über das Internet zu versenden.

Anwendungsfälle aus der realen Welt

• Symmetrische Verschlüsselung (Das Arbeitspferd): Dies wird hauptsächlich verwendet für Vollständige Festplattenverschlüsselung (FDE) auf Ihrem Computer oder Smartphone. Wenn Sie Ihr Gerät einschalten und ein Kennwort eingeben, verwendet das System einen schnellen symmetrischen Algorithmus (wie AES-256), um die Gigabytes an Daten auf Ihrem Laufwerk sofort zu entschlüsseln, wenn Sie darauf zugreifen. So wird sichergestellt, dass bei einem Diebstahl der Hardware die Daten unlesbar bleiben.
• Asymmetrische Verschlüsselung (The Gatekeeper): Dies ist die Grundlage von Digitale Signaturen und sicheres Webbrowsing (HTTPS). Wenn Sie die Website einer Bank besuchen, verwendet Ihr Browser den öffentlichen Schlüssel der Bank, um deren Identität zu verifizieren und ein temporäres Geheimnis zu verschlüsseln. Auf diese Weise können Sie eine private Verbindung mit einem Fremden über das Internet herstellen, ohne ihn jemals getroffen zu haben und ohne vorher ein Passwort auszutauschen.

TPMs und Schlüsselspeicher

Im Zusammenhang mit der Verschlüsselung ist ein TPM (Trusted Platform Module) ein spezielles “Sicherheitsprozessor”, die läuft unabhängig vom RPi und fungiert sowohl als Schlüsselgenerator und eine Hardware-Tresor. Es stellt sicher, dass sensible Schlüssel in einer isolierten Umgebung erstellt und verwendet werden, weit entfernt vom Betriebssystem, das von Malware beobachtet werden könnte. 

Wo die Schlüssel gespeichert sind

Um zu verstehen, warum ein TPM etwas Besonderes ist, müssen wir uns ansehen, wo die Schlüssel in einem Standardsystem (ohne TPM) im Vergleich zu einem TPM-gehärteten System liegen:

Merkmal	Standard (Kein TPM)	Mit TPM 2.0
Generation	Die Software verwendet die CPU, um Zufallszahlen auszuwählen.	Das TPM verfügt über einen physischen, hardwarebasierten Zufallszahlengenerator.
Speicherort	Die Schlüssel werden als Dateien auf Ihrer SD-Karte oder Festplatte gespeichert.	Die Schlüssel werden im TPM-Chip gespeichert oder von diesem “umhüllt”. **
Exposition	Um den Schlüssel zu verwenden, muss die CPU den Rohschlüssel in den System-RAM laden.	Der Schlüssel bleibt im TPM; die CPU sendet Daten zu das TPM zur Bearbeitung.

** Wrapping bedeutet, dass ein Schlüssel verschlüsselt und auf Ihrer Festplatte gespeichert wird, aber in einer Form, die nur vom TPM genutzt werden kann

Ihre Geheimnisse bleiben also im Wesentlichen in einem speziell entwickelten, angriffssicheren Gerät eingeschlossen. Sie werden niemals dem RAM ausgesetzt oder (noch schlimmer) auf Ihrer Festplatte gespeichert. 

Anwendungsunterstützung

Im Jahr 2026 hat sich die Unterstützung von Linux-Anwendungen für das TPM 2.0 von experimentellen Tools zu zentralen Systemdiensten entwickelt. Im Folgenden finden Sie die wichtigsten Anwendungen und Tools, die das TPM für mehr Sicherheit nutzen.

Webserver & Netzwerksicherheit

Diese Anwendungen verwenden das TPM, um sicherzustellen, dass die “Identität” des Servers (der private Schlüssel) niemals im Klartext auf der Festplatte liegt.

• Nginx & Apache: Durch die Verwendung des tpm2-openssl Anbieter (modern für OpenSSL 3.x) oder den tpm2-tss-Engine (Legacy) kann Nginx HTTPS-Datenverkehr mit einem privaten Schlüssel bedienen, der im TPM verbleibt.
• OpenSSL: Die grundlegende Bibliothek für fast alle Linux-Sicherheit. Die tpm2-openssl Projekt ermöglicht es Standard-Befehlszeilen-Tools, Schlüssel zu erzeugen, Dokumente zu signieren und CSRs direkt auf der TPM-Hardware zu erstellen.
• StrongSwan (VPN): Schützt die Identitäten von VPN-Clients, indem es die privaten Authentifizierungsschlüssel im TPM speichert und so verhindert, dass sie auf einem anderen Rechner geklont werden. 

Festplattenverschlüsselung & Systemstart 

Das TPM wird hier meist verwendet, um Verschlüsselungsschlüssel zu “versiegeln”, so dass das System nur entsperrt wird, wenn es nicht manipuliert wurde. 

• systemd-cryptenroll: Ein modernes Tool in der systemd-Suite, mit dem Sie ein TPM 2.0-Modul in ein LUKS-verschlüsseltes Laufwerk “einschreiben” können. Dies ermöglicht ein PIN-verschlüsseltes Booten.
• systemd-creds: Speichert und ruft sensible Anmeldedaten (wie Datenbankpasswörter), die von systemd-Diensten verwendet werden, sicher ab und bindet sie an das TPM. 

Nachrichtenübermittlung & Identität

Diese Tools helfen Privatpersonen, ihre digitalen Signaturen und ihre private Kommunikation zu schützen. 

• GnuPG (GPG): Seit Version 2.3 unterstützt GPG das Verschieben kompatibler Schlüssel in das TPM. Das bedeutet, dass Ihre Schlüssel zum Signieren von E-Mails oder zur Dateiverschlüsselung hardwaregeschützt sind.
• SSH: Durch die tpm2-pkcs11 Schnittstelle können Benutzer ihre privaten SSH-Schlüssel im TPM speichern. Selbst wenn ein Laptop gestohlen wird, kann der Angreifer den SSH-Schlüssel nicht “dumpen”, um auf entfernte Server zuzugreifen.

Entwickler & System Tools

• tpm2-Tools: Das Standard-“Schweizer Taschenmesser” für die Interaktion mit dem TPM über die Kommandozeile. Es enthält Befehle wie tpm2_getrandom zur Generierung hochwertiger Zufallszahlen für jede Anwendung.
• Keylime: Ein Open-Source-Projekt für Fern-Attestierung, Damit kann ein Server seinen Zustand und seine Integrität mit Hilfe seines TPMs gegenüber einem entfernten Monitor nachweisen. 

Schutz mit Vorbehalten

In den meisten herkömmlichen Konfigurationen hängt die Sicherheit Ihres Betriebssystems letztlich von folgenden Faktoren ab physische Sicherheit. Wenn ein Angreifer physisch auf den Inhalt Ihrer SD-Karte oder Festplatte zugreifen kann, kann er in der Regel Software-Passwörter umgehen und Ihre privaten Schlüssel kopieren. Das TPM ändert dieses Paradigma. Da das TPM manipulationssicher ist, die Schlüssel intern generiert und kryptografische Operationen innerhalb seines eigenen Siliziums durchführt, ist es gibt niemals brauchbare Geheimnisse preis auf den Rest des Systems. Dadurch wird die Verbindung zwischen dem Zugriff auf die Dateien und dem Zugriff auf die Verschlüsselungsschlüssel unterbrochen.

Diese Sicherheit ist jedoch mit einem wichtigen Wort der Vorsicht verbunden: Wenn Sie ein TPM verwenden, wird die physische Hardware zum “Single Point of Success”. Da Hochsicherheitsschlüssel “nicht migrierbar” sind (d.h. sie können nicht kopiert oder aus dem TPM entfernt werden), sind sie dauerhaft an diesen speziellen Chip gebunden. Wenn das TPM beschädigt wird oder die Hardware verloren geht, sind Ihre Daten praktisch weg.. Es gibt keine Schaltfläche “Passwort vergessen” für einen TPM-verschlüsselten Schlüssel.

Mehr dazu

Wenn Sie diesen Überblick interessant fanden, sollten Sie unseren Videokanal im Auge behalten. In den kommenden Wochen werde ich Ihnen Schritt für Schritt die beliebtesten Implementierungen aus der Praxis vorstellen, darunter:

• Härtung von OpenSSL: Generieren Sie Ihren ersten Hardware-gestützten Schlüssel.
• Sicheres Webhosting: Nginx für die Verwendung von TPM-residenten Zertifikaten konfigurieren.
• Festplattenverschlüsselung: Einrichten PIN-geschützte LUKS für einen manipulationssicheren Stiefel.

Halten Sie Ausschau nach dem ersten Video der Serie, das bald erscheint!

Wo Sie Ihr TPM erhalten

Wenn Sie die Vorteile eines TPMs für den Einsatz im Jahr 2026 erkunden möchten, stellen Sie sicher, dass Ihr TPM die TPM 2.0-Spezifikation unterstützt, da ältere 1.2-Module veraltet sind und keine modernen Algorithmen unterstützen. 

TIPP: Holen Sie sich noch heute ein Lets Trust TPM für Ihren RPi bei Buyzero!

Sichern Sie Ihre Anwendung oder Bereitstellung mit uns

Benötigen Sie oder Ihr Team eine Beratung zu Best Practices? Unser Expertenteam ist bereit, Ihnen dabei zu helfen, sich in komplexen Sicherheitsarchitekturen zurechtzufinden, robuste Verschlüsselungsstandards zu implementieren und sicherzustellen, dass Ihre Implementierungen sowohl gegen digitale als auch physische Bedrohungen gewappnet sind. Kontaktieren Sie unsere Experten unter [email protected] um noch heute mit der Sicherung Ihrer Bewerbungen zu beginnen.

Ressourcen

• https://community.infineon.com/t5/Knowledge-Base-Articles/Enabling-amp-testing-Infineon-OPTIGA-TPM-on-Raspberry-Pi-under-Linux/ta-p/623548 
• https://buyzero.de/en/products/letstrust-hardware-tpm-trusted-platform-module?srsltid=AfmBOoqiZlCRjbGeZrpgrD7CkfP5Qasf-WpWlbrFIwcJusDVNM73dM-2 
• https://www.sstic.org/media/SSTIC2021/SSTIC-actes/protecting_ssh_authentication_with_tpm_20/SSTIC2021-Article-protecting_ssh_authentication_with_tpm_20-iooss.pdf 
• https://www.youtube.com/watch?v=jtbWnod5hoY   (Keylime)
• https://www.infineon.com/gated/infineon-optiga-tpm-rpi-quickstarter-user-guide-usermanual-en_a3d6e6e3-6da2-4321-816d-8c6bcddc55ee 
• https://trustedcomputinggroup.org/wp-content/uploads/TCG-PC-Client-Platform-Firmware-Profile-Version-1.06-Revision-52_pub-3.pdf