可以使用 20 字节 0 的众所周知的密码作为 owner/SRK 密码吗？tpm-luks 可以选择使用那些众所周知的密码来执行这些操作，以便它们可以是非交互的。由于系统被锁定，我假设没有人能够利用这个？

如果您将所有者和密码保留为默认值或众所周知的值，您将打开绕过整个安全启动过程的大门。这在现场的嵌入式系统中更令人担忧，这些系统旨在防篡改（在这种情况下，篡改会导致它们无法操作或陷入功能受限的故障安全模式）。

如果您使用众所周知的所有者/密码，任何有经验或知识的人都可以更改底层操作系统映像/硬件配置、更新 TPM PCR 值并仍然访问文件系统密钥，从而绕过您正在实施的任何安全/完整性措施。

如果没有，将密码保存在加密的根分区上是否可行？系统在根分区被解密时是受信任的，因此在那里存储密码应该是安全的（并安全地访问它）？

当然，我可以看到这个工作，但是，一旦系统启动并被认为是“受信任的”，你仍然容易受到有人拿起密钥，然后允许他们从系统中删除驱动器并解密它。所以，当然，将它存储在那里是安全的......虽然它是加密的，但启动后它是一个风险。（这最终可能导致在“受信任的系统”上安装后门）

如果需要执行此类操作，将密码保存在其他安全位置并将其发送到机器会更好吗？不确定它是否比上面的第二个选项更安全。

TPM 实际上是您存储密钥的最佳场所。

是否有其他更好的解决方案来实现上述目标（TPM NVRAM 密钥的非交互式存储）？

当然。听起来您正在为一个单一的工具问题寻找复杂的解决方案：您的工具不允许您自动化所有权/设置密码。

我可能会检查裤子代码仓库，构建它并对其进行健全性测试，然后修改 tpm_takeownership 工具以添加非交互式所有者/密码提示选项，然后在升级过程中使用该自定义二进制文件。