टीपीएम-समर्थित पूर्ण डिस्क एन्क्रिप्शन उबंटू के रास्ते पर है
एक ब्लॉग पोस्ट के माध्यम से, विहित अनावरण पूर्ण डिस्क एन्क्रिप्शन द्वारा समर्थित की तुलना में टीपीएम को उबंटू 23.10 के अगले संस्करण में लागू किया जाएगा "मेंटिक मिनोटौर" (जिसके अगले महीने रिलीज़ होने की उम्मीद है), एक प्रायोगिक सुविधा के रूप में और उम्मीद है कि इसे Ubuntu 24.04 LTS में स्थिर रूप से लागू किया जा सकता है
यह उल्लेख किया गया है कि डिस्क एन्क्रिप्शन के लिए यह नया प्रयोगात्मक समर्थन, पासवर्ड की आवश्यकता नहीं है बूट पर डिस्क को अनलॉक करने के लिए, के भंडारण के लिए धन्यवाद विश्वसनीय प्लेटफ़ॉर्म मॉड्यूल में कुंजियों को डिक्रिप्ट करने की जानकारी (TPM).
हार्डवेयर और सत्यापित बूट के आधार पर एन्क्रिप्टेड ड्राइव का स्वचालित अनलॉकिंग कॉर्पोरेट और साझा सिस्टम पर ड्राइव एन्क्रिप्शन के कार्यान्वयन को सरल बनाता है, साथ ही दूरस्थ सर्वर पर जहां प्रत्येक रीबूट के बाद मैन्युअल रूप से पासवर्ड दर्ज करने का कोई तरीका नहीं है।
इसका मतलब यह है कि समर्थित प्लेटफ़ॉर्म पर अब पासफ़्रेज़ की आवश्यकता नहीं होगी और एन्क्रिप्टेड डेटा को डिक्रिप्ट करने के लिए उपयोग किया जाने वाला रहस्य एक टीपीएम द्वारा संरक्षित किया जाएगा और केवल प्रारंभिक बूट सॉफ़्टवेयर द्वारा स्वचालित रूप से पुनर्प्राप्त किया जाएगा जो डेटा तक पहुंचने के लिए अधिकृत है। अपनी प्रयोज्यता में सुधार के अलावा, टीपीएम-समर्थित एफडीई अपने उपयोगकर्ताओं को "दुष्ट नौकरानी" हमलों से भी बचाता है जो अंतिम उपयोगकर्ताओं के लिए बूट सॉफ़्टवेयर, यानी initrd को प्रमाणित करने के तरीके की कमी का फायदा उठा सकते हैं।
पूर्ण डिस्क एन्क्रिप्शन के नए कार्यान्वयन के बारे में, यह विस्तृत है औरn वह प्रकाशन "स्वचालित रूप से कॉन्फ़िगरेशन उत्पन्न करने के बजाय" स्थानीय सिस्टम पर बूटलोडर, बूट मोड GRUB और कर्नेल चयन तर्क एक परिभाषित कॉन्फ़िगरेशन पर सेट हैं वितरण द्वारा जो स्नैपडील को भेज दिया गया है।
इसके अलावा, लिनक्स कर्नेल को एक छवि के रूप में पैक किया गया है एकीकृत कर्नेल «यूकेआई», जो यूईएफआई (यूईएफआई बूट स्टब), लिनक्स कर्नेल छवि और मेमोरी में लोड किए गए initrd सिस्टम वातावरण से कर्नेल लोड करने के लिए एक ड्राइवर को जोड़ता है, जिसका उपयोग रूट एफएस के प्री-माउंट चरण में प्रारंभिक आरंभीकरण के लिए किया जाता है।
जब यूकेआई छवि को एकल निष्पादन योग्य फ़ाइल के रूप में संकलित किया गया है पीई प्रारूप में और डिजिटल रूप से हस्ताक्षरित है, यूईएफआई से इस छवि को कॉल करने से कर्नेल की अखंडता और वैधता की पुष्टि होती हैएल और समग्र रूप से initrd की सामग्री। कर्नेल और बूटलोडर के अलावा, सिस्टम वातावरण के अन्य सभी घटक क्लासिक उबंटू के समान ही रहते हैं।
तक पहुंच है डिक्रिप्शन पैरामीटर में संग्रहीत टीपीएम प्रारंभिक बूट चरण में और केवल एक initrd छवि से किया जाता है वितरण द्वारा विशेष रूप से अधिकृत, डिजिटल रूप से हस्ताक्षरित।
इस बात पर प्रकाश डाला गया है कि इसमें शामिल योजना का उपयोग उबंटू कोर में दो वर्षों से किया जा रहा है और डिवाइस चोरी या अप्राप्य उपकरणों पर हमले के मामले में पर्याप्त डेटा सुरक्षा प्रदान करता है। केवल सत्यापित सिस्टम वातावरण में बूट करने की क्षमता यूईएफआई सिक्योर बूट के उपयोग के माध्यम से प्राप्त की जाती है। यदि प्रारंभिक बूट यूकेआई छवि में परिवर्तन किए गए हैं और सत्यापित बूट श्रृंखला टूट गई है, तो टीपीएम डिक्रिप्शन के लिए उपयोग की जाने वाली कुंजी तक पहुंच की अनुमति नहीं देगा।
की ओर से पिछला एन्क्रिप्शन समर्थन उबंटू में पूर्ण डिस्क, नया मॉडल टीपीएम-आधारित कार्यान्वयन इसे उबंटू कोर प्रोजेक्ट में उपयोग किए गए आर्किटेक्चर के उपयोग से अलग किया गया है, इसके अलावा, इंस्टॉलर पुराने पूर्ण डिस्क एन्क्रिप्शन मोड का चयन करने की क्षमता प्रदान करता है, जिसके लिए पासवर्ड की आवश्यकता होती है, और नया मोड, जो टीपीएम में डिक्रिप्शन कुंजी के लिए डेटा संग्रहीत करता है।
नया मोड चुनते समय, GRUB बूटलोडर और लिनक्स कर्नेल को स्नैप प्रारूप में पैकेजों में आपूर्ति की जाती है, और डिस्क एन्क्रिप्शन को Snapd में एक विशेष एजेंट द्वारा प्रबंधित किया जाता है (पुराने मोड को चुनते समय, GRUB और कर्नेल को पारंपरिक डेब पैकेज से इंस्टॉल किया जाता है) .
अंत में यदि आप इसके बारे में अधिक जानने में रुचि रखते हैं, आप इसमें विवरण देख सकते हैं निम्नलिखित लिंक।