Ubuntu 即将推出支持 TPM 的全盘加密
通过一篇博文, 规范发布 比支持的全盘加密 TPM将在Ubuntu 23.10的下一版本中实现 《Mantic Minotaur》(预计下个月上映), 作为实验性功能 预计可以在 Ubuntu 24.04 LTS 中稳定实现
值得一提的是,这个新的实验性支持磁盘加密, 不需要密码 在启动时解锁磁盘, 感谢存储 用于解密可信平台模块中密钥的信息 (TPM)。
基于硬件和验证启动的加密驱动器自动解锁 简化企业和共享系统上驱动器加密的实施, 以及在每次重新启动后无法手动输入密码的远程服务器上。
这意味着受支持的平台将不再需要密码,并且用于解密加密数据的秘密将受到 TPM 的保护,并且只能由有权访问数据的早期启动软件自动恢复。 除了可用性改进之外,TPM 支持的 FDE 还可以保护用户免受“邪恶女仆”攻击,这种攻击可以利用缺乏向最终用户验证引导软件(即 initrd)的方法。
关于全盘加密的新实现,它是详细的并且在出版物中 “而不是自动生成配置” 本地系统上的引导加载程序,引导模式 GRUB 和内核选择逻辑设置为定义的配置 通过传递给 Snapd 的分布。
除此之外, linux内核被打包为镜像 统一内核 «乌基»,它结合了一个用于从UEFI(UEFI引导存根)加载内核的驱动程序、Linux内核映像和加载到内存中的initrd系统环境,用于根FS的预挂载阶段的初始初始化。
而 UKI 映像被编译为单个可执行文件 PE格式并经过数字签名, 从 UEFI 调用此映像可验证内核的完整性和有效性l 以及整个 initrd 的内容。 除了内核和引导加载程序之外,系统环境的所有其他组件都与经典 Ubuntu 中相同。
访问 解密参数存储在 TPM 在初始启动阶段完成,并且仅通过 initrd 映像完成 特别授权,由发行商进行数字签名。
需要强调的是 涉及的方案已经在Ubuntu Core中使用了两年 并在设备被盗或无人值守设备受到攻击时提供足够的数据保护。 通过使用 UEFI 安全启动,可以实现仅启动到经过验证的系统环境。 如果对初始启动 UKI 映像进行更改并且验证的启动链被破坏,TPM 将不允许访问用于解密的密钥。
在一部分 以前的加密支持 Ubuntu 中的完整磁盘, 新模型 基于 TPM 的实施 它的区别在于使用 Ubuntu Core 项目中使用的架构, 此外,安装程序还可以选择旧的全盘加密模式(需要密码)和新模式(在 TPM 中存储解密密钥的数据)。
当选择新模式时,GRUB引导加载程序和Linux内核以snap格式的软件包提供,磁盘加密由Snapd中的特殊代理管理(当选择旧模式时,GRUB和内核从传统的deb软件包安装) 。
最后 如果您有兴趣了解更多信息, 您可以在中查看详细信息 以下链接。