}
 
 /*
- * Calculate the boot aggregate hash
+ * The boot_aggregate is a cumulative hash over TPM registers 0 - 7.  With
+ * TPM 1.2 the boot_aggregate was based on reading the SHA1 PCRs, but with
+ * TPM 2.0 hash agility, TPM chips could support multiple TPM PCR banks,
+ * allowing firmware to configure and enable different banks.
+ *
+ * Knowing which TPM bank is read to calculate the boot_aggregate digest
+ * needs to be conveyed to a verifier.  For this reason, use the same
+ * hash algorithm for reading the TPM PCRs as for calculating the boot
+ * aggregate digest as stored in the measurement list.
  */
-static int __init ima_calc_boot_aggregate_tfm(char *digest,
+static int __init ima_calc_boot_aggregate_tfm(char *digest, u16 alg_id,
                                              struct crypto_shash *tfm)
 {
-       struct tpm_digest d = { .alg_id = TPM_ALG_SHA1, .digest = {0} };
+       struct tpm_digest d = { .alg_id = alg_id, .digest = {0} };
        int rc;
        u32 i;
        SHASH_DESC_ON_STACK(shash, tfm);
 
        shash->tfm = tfm;
 
+       pr_devel("calculating the boot-aggregate based on TPM bank: %04x\n",
+                d.alg_id);
+
        rc = crypto_shash_init(shash);
        if (rc != 0)
                return rc;
        for (i = TPM_PCR0; i < TPM_PCR8; i++) {
                ima_pcrread(i, &d);
                /* now accumulate with current aggregate */
-               rc = crypto_shash_update(shash, d.digest, TPM_DIGEST_SIZE);
+               rc = crypto_shash_update(shash, d.digest,
+                                        crypto_shash_digestsize(tfm));
        }
        if (!rc)
                crypto_shash_final(shash, digest);
 int __init ima_calc_boot_aggregate(struct ima_digest_data *hash)
 {
        struct crypto_shash *tfm;
-       int rc;
+       u16 crypto_id, alg_id;
+       int rc, i, bank_idx = -1;
+
+       for (i = 0; i < ima_tpm_chip->nr_allocated_banks; i++) {
+               crypto_id = ima_tpm_chip->allocated_banks[i].crypto_id;
+               if (crypto_id == hash->algo) {
+                       bank_idx = i;
+                       break;
+               }
+
+               if (crypto_id == HASH_ALGO_SHA256)
+                       bank_idx = i;
+
+               if (bank_idx == -1 && crypto_id == HASH_ALGO_SHA1)
+                       bank_idx = i;
+       }
+
+       if (bank_idx == -1) {
+               pr_err("No suitable TPM algorithm for boot aggregate\n");
+               return 0;
+       }
+
+       hash->algo = ima_tpm_chip->allocated_banks[bank_idx].crypto_id;
 
        tfm = ima_alloc_tfm(hash->algo);
        if (IS_ERR(tfm))
                return PTR_ERR(tfm);
 
        hash->length = crypto_shash_digestsize(tfm);
-       rc = ima_calc_boot_aggregate_tfm(hash->digest, tfm);
+       alg_id = ima_tpm_chip->allocated_banks[bank_idx].alg_id;
+       rc = ima_calc_boot_aggregate_tfm(hash->digest, alg_id, tfm);
 
        ima_free_tfm(tfm);
 
 
 /* Add the boot aggregate to the IMA measurement list and extend
  * the PCR register.
  *
- * Calculate the boot aggregate, a SHA1 over tpm registers 0-7,
+ * Calculate the boot aggregate, a hash over tpm registers 0-7,
  * assuming a TPM chip exists, and zeroes if the TPM chip does not
  * exist.  Add the boot aggregate measurement to the measurement
  * list and extend the PCR register.
        int violation = 0;
        struct {
                struct ima_digest_data hdr;
-               char digest[TPM_DIGEST_SIZE];
+               char digest[TPM_MAX_DIGEST_SIZE];
        } hash;
 
        memset(iint, 0, sizeof(*iint));
        memset(&hash, 0, sizeof(hash));
        iint->ima_hash = &hash.hdr;
-       iint->ima_hash->algo = HASH_ALGO_SHA1;
-       iint->ima_hash->length = SHA1_DIGEST_SIZE;
-
+       iint->ima_hash->algo = ima_hash_algo;
+       iint->ima_hash->length = hash_digest_size[ima_hash_algo];
+
+       /*
+        * With TPM 2.0 hash agility, TPM chips could support multiple TPM
+        * PCR banks, allowing firmware to configure and enable different
+        * banks.  The SHA1 bank is not necessarily enabled.
+        *
+        * Use the same hash algorithm for reading the TPM PCRs as for
+        * calculating the boot aggregate digest.  Preference is given to
+        * the configured IMA default hash algorithm.  Otherwise, use the
+        * TCG required banks - SHA256 for TPM 2.0, SHA1 for TPM 1.2.
+        * Ultimately select SHA1 also for TPM 2.0 if the SHA256 PCR bank
+        * is not found.
+        */
        if (ima_tpm_chip) {
                result = ima_calc_boot_aggregate(&hash.hdr);
                if (result < 0) {