claves SSH: más seguras con el chip TPM

Un artículo de raymii.org detalla cómo almacenar claves SSH en un chip TPM (Trusted Platform Module) en sistemas Linux. El autor, Remy van Elst, con experiencia en módulos de seguridad de hardware (HSM), explica que esta técnica ofrece una capa de seguridad adicional en comparación con el almacenamiento tradicional de claves SSH en el sistema de archivos. El TPM, presente en la mayoría de los equipos modernos (obligatorio en Windows 11), se utiliza comúnmente para verificar el proceso de arranque, pero también puede servir para almacenar claves de forma segura. El proceso implica instalar herramientas específicas (tpm2-tools, libtpm2-pkcs11, etc.), crear un token persistente, importar la clave SSH (generada previamente en una máquina segura) y configurar el entorno para que SSH pueda utilizar la clave almacenada en el TPM. Si bien el TPM es menos seguro que un HSM físico desconectable, es más seguro que almacenar claves en el disco duro y ofrece una alternativa viable. Una advertencia importante es que las actualizaciones del BIOS a menudo borran el TPM, por lo que se recomienda generar la clave SSH en una máquina segura y realizar una copia de seguridad.