رمزگذاری کامل دیسک TPM به اوبونتو 23.10 می آید

TPM

رمزگذاری دیسک کامل با پشتیبانی TPM در راه اوبونتو است

از طریق یک پست وبلاگ، Canonical رونمایی شد از رمزگذاری کامل دیسک پشتیبانی شده توسط TPM در نسخه بعدی اوبونتو 23.10 پیاده سازی خواهد شد "Mantic Minotaur" (که انتظار می رود ماه آینده اکران شود) به عنوان یک ویژگی آزمایشی و انتظار می رود که بتوان آن را به صورت پایدار در اوبونتو 24.04 LTS پیاده سازی کرد

ذکر شده است که این پشتیبانی آزمایشی جدید برای رمزگذاری دیسک، نیازی به رمز عبور ندارد برای باز کردن قفل دیسک در هنگام بوت، به لطف ذخیره سازی اطلاعاتی برای رمزگشایی کلیدها در ماژول پلتفرم مورد اعتماد (TPM).

باز کردن خودکار یک درایو رمزگذاری شده بر اساس سخت افزار و بوت تایید شده اجرای رمزگذاری درایو در سیستم های شرکتی و اشتراکی را ساده می کند، و همچنین در سرورهای راه دور که هیچ راهی برای وارد کردن دستی رمز عبور پس از هر بار راه اندازی مجدد وجود ندارد.

این بدان معناست که دیگر در پلتفرم‌های پشتیبانی‌شده به عبارت‌های عبور نیازی نخواهد بود و راز مورد استفاده برای رمزگشایی داده‌های رمزگذاری‌شده توسط TPM محافظت می‌شود و به‌طور خودکار تنها توسط نرم‌افزار راه‌اندازی اولیه که مجاز به دسترسی به داده‌ها است، بازیابی می‌شود. علاوه بر بهبود قابلیت استفاده، FDE با پشتیبانی TPM از کاربران خود در برابر حملات "خدمتکار شیطانی" محافظت می کند که می تواند از نبود راهی برای تأیید اعتبار نرم افزار بوت، یعنی initrd، برای کاربران نهایی استفاده کند.

درباره اجرای جدید رمزگذاری کامل دیسک، مفصل است ودر نشریه ای که "به جای ایجاد خودکار پیکربندی" بوت لودر در سیستم محلی، حالت بوت GRUB و منطق انتخاب هسته روی یک پیکربندی تعریف شده تنظیم شده اند توسط توزیعی که به اسنپد ارسال می شود.

علاوه بر آن، هسته لینوکس به صورت تصویر بسته بندی شده است هسته یکپارچه «UKI»، که ترکیبی از یک درایور برای بارگیری هسته از UEFI (خرد بوت UEFI)، تصویر هسته لینوکس و محیط سیستم initrd بارگذاری شده در حافظه است که برای مقداردهی اولیه در مرحله پیش از نصب root FS استفاده می شود.

در حین تصویر UKI به عنوان یک فایل اجرایی منفرد کامپایل می شود در فرمت PE و امضای دیجیتال، فراخوانی این تصویر از UEFI یکپارچگی و اعتبار هسته را تأیید می کندl و محتویات initrd به عنوان یک کل. به غیر از هسته و بوت لودر، سایر اجزای محیط سیستم مانند اوبونتو کلاسیک باقی می مانند.

دسترسی به پارامترهای رمزگشایی ذخیره شده در TPM در مرحله بوت اولیه و فقط از یک تصویر initrd انجام می شود دارای مجوز ویژه، با امضای دیجیتالی توسط توزیع.

برجسته شده است که این طرح به مدت دو سال در اوبونتو Core استفاده شده است و حفاظت کافی از داده ها را در صورت سرقت دستگاه یا حمله به تجهیزات بدون مراقبت فراهم می کند. توانایی بوت شدن فقط در یک محیط سیستم تایید شده از طریق استفاده از UEFI Secure Boot به دست می آید. اگر تغییراتی در تصویر راه‌اندازی اولیه UKI ایجاد شود و زنجیره بوت تأیید شده شکسته شود، TPM اجازه دسترسی به کلید مورد استفاده برای رمزگشایی را نخواهد داد.

از طرف پشتیبانی از رمزگذاری قبلی دیسک کامل در اوبونتو، مدل جدید پیاده سازی مبتنی بر TPM با استفاده از معماری مورد استفاده در پروژه هسته اوبونتو متمایز می شود، علاوه بر این، نصب کننده توانایی انتخاب حالت رمزگذاری کامل دیسک قدیمی، که به رمز عبور نیاز دارد، و حالت جدید، که داده ها را برای کلیدهای رمزگشایی در TPM ذخیره می کند، ارائه می دهد.

هنگام انتخاب حالت جدید، بوت لودر GRUB و هسته لینوکس در بسته هایی با فرمت snap عرضه می شوند و رمزگذاری دیسک توسط یک عامل ویژه در Snapd مدیریت می شود (هنگام انتخاب حالت قدیمی، GRUB و هسته از بسته های deb سنتی نصب می شوند) .

سرانجام اگر شما علاقه مند به دانستن بیشتر در مورد آن هستید ، می توانید جزئیات را در قسمت لینک زیر


اولین کسی باشید که نظر

نظر خود را بگذارید

نشانی ایمیل شما منتشر نخواهد شد. بخشهای موردنیاز علامتگذاری شدهاند با *

*

*

  1. مسئول داده ها: میگل آنخل گاتون
  2. هدف از داده ها: کنترل هرزنامه ، مدیریت نظرات.
  3. مشروعیت: رضایت شما
  4. ارتباط داده ها: داده ها به اشخاص ثالث منتقل نمی شوند مگر با تعهد قانونی.
  5. ذخیره سازی داده ها: پایگاه داده به میزبانی شبکه های Occentus (EU)
  6. حقوق: در هر زمان می توانید اطلاعات خود را محدود ، بازیابی و حذف کنید.