Поддържаното от TPM пълно дисково криптиране е на път към Ubuntu
Чрез публикация в блог, Canonical представен това пълно дисково криптиране, подкрепено от TPM ще бъде внедрен в следващата версия на Ubuntu 23.10 "Mantic Minotaur" (който се очаква да излезе следващия месец), като експериментална функция и се очаква, че може да бъде внедрен като стабилен в Ubuntu 24.04 LTS
Споменава се, че тази нова експериментална поддръжка за дисково криптиране, не изисква парола за отключване на диска при зареждане, благодарение на съхранението на информация за дешифриране на ключове в Trusted Platform Module (TPM).
Автоматично отключване на криптиран диск въз основа на хардуер и проверено зареждане опростява прилагането на криптиране на дискове в корпоративни и споделени системи, както и на отдалечени сървъри, където няма начин за ръчно въвеждане на парола след всяко рестартиране.
Това означава, че паролите вече няма да се изискват на поддържаните платформи и че тайната, използвана за декриптиране на криптирани данни, ще бъде защитена от TPM и автоматично възстановена само от софтуер за ранно зареждане, който е оторизиран за достъп до данните. В допълнение към подобренията на използваемостта, поддържаният от TPM FDE също така защитава своите потребители от атаки на „зла прислужница“, които могат да се възползват от липсата на начин за удостоверяване на софтуера за зареждане, т.е. initrd, за крайните потребители.
Относно новото внедряване на пълно дисково криптиране, той е подробен ив публикацията, която "вместо автоматично генериране на конфигурацията" буутлоудър на локалната система, режим на зареждане GRUB и логиката за избор на ядрото са зададени на дефинирана конфигурация от разпределението, което се предава на Snapd.
Освен, че, ядрото на linux е пакетирано като изображение на унифицирано ядро «Великобритания», който съчетава драйвер за зареждане на ядрото от UEFI (UEFI boot stub), изображението на ядрото на Linux и системната среда initrd, заредена в паметта, която се използва за първоначална инициализация в етапа преди монтиране на основната FS.
докато изображението на UKI се компилира като един изпълним файл във формат PE и е цифрово подписан, извикването на това изображение от UEFI проверява целостта и валидността на ядротоl и съдържанието на initrd като цяло. Освен ядрото и буутлоудъра, всички други компоненти на системната среда остават същите като в класическия Ubuntu.
Достъп до параметрите за дешифриране, съхранени в TPM се извършва в началния етап на зареждане и само от initrd изображение специално разрешени, цифрово подписани от дистрибуцията.
Подчертава се, че включената схема се използва в Ubuntu Core от две години и осигурява адекватна защита на данните в случай на кражба на устройство или атаки срещу необслужвано оборудване. Възможността за зареждане само в проверена системна среда се постига чрез използването на UEFI Secure Boot. Ако се направят промени в първоначалното UKI изображение за зареждане и проверената верига за зареждане е прекъсната, TPM няма да позволи достъп до ключа, използван за дешифриране.
От страна на предишна поддръжка на криптиране Пълен диск на Ubuntu, новият модел Реализация, базирана на TPM Той се отличава с използването на архитектурата, използвана в проекта Ubuntu Core, В допълнение, инсталаторът предлага възможност за избор на стария режим на криптиране на пълен диск, който изисква парола, и новия режим, който съхранява данни за ключове за декриптиране в TPM.
При избора на новия режим GRUB буутлоудъра и Linux ядрото се доставят в пакети в snap формат, а криптирането на диска се управлява от специален агент в Snapd (при избор на стария режим GRUB и ядрото се инсталират от традиционните deb пакети) .
Накрая Ако се интересувате да научите повече за това, можете да проверите подробностите в следваща връзка.