A TPM-támogatott teljes lemeztitkosítás útban van az Ubuntu felé
Egy blogbejegyzésen keresztül Canonical bemutatta mint a teljes lemeztitkosítás A TPM az Ubuntu 23.10 következő verziójában kerül megvalósításra "Mantic Minotaur" (amely várhatóan a jövő hónapban jelenik meg), kísérleti jellemzőként és várhatóan stabilként implementálható az Ubuntu 24.04 LTS-ben
Megemlítik, hogy ez az új kísérleti támogatás a lemeztitkosításhoz, nem igényel jelszót a lemez feloldásához rendszerindításkor, tárolásának köszönhetően információkat a kulcsok visszafejtéséhez a Trusted Platform Module-ban (TPM).
A titkosított meghajtó automatikus feloldása hardver és ellenőrzött rendszerindítás alapján Leegyszerűsíti a meghajtótitkosítás megvalósítását vállalati és megosztott rendszereken, valamint a távoli szervereken, ahol nincs mód a jelszó manuális megadására minden újraindítás után.
Ez azt jelenti, hogy a támogatott platformokon többé nem lesz szükség jelszavakra, és a titkosított adatok visszafejtéséhez használt titkot egy TPM védi, és csak az adatokhoz való hozzáférésre jogosult korai rendszerindítási szoftver állítja vissza automatikusan. A TPM-támogatású FDE a használhatósági fejlesztések mellett megvédi felhasználóit a "gonosz szolgálólány" támadásoktól is, amelyek kihasználhatják, hogy nincs mód a rendszerindító szoftver, azaz az initrd hitelesítésére a végfelhasználók felé.
A teljes lemeztitkosítás új megvalósításáról, ez részletes ésn a kiadvány, hogy "a konfiguráció automatikus generálása helyett" bootloader a helyi rendszeren, rendszerindítási mód A GRUB és a kernelválasztó logika meghatározott konfigurációra van állítva a Snapd-nek átadott disztribúció által.
Amellett, hogy, a linux kernel képként van csomagolva egységes kernel «Uki », amely egyesíti a kernel UEFI-ről (UEFI boot stub) való betöltésére szolgáló illesztőprogramot, a Linux kernel képfájlt és a memóriába betöltött initrd rendszerkörnyezetet, amelyet a gyökér FS beillesztés előtti szakaszában használnak a kezdeti inicializáláshoz.
míg az UKI képfájl egyetlen végrehajtható fájlként van lefordítva PE formátumban és digitálisan aláírva, ennek a képnek az UEFI-ből való meghívása ellenőrzi a kernel integritását és érvényességétl és az initrd tartalma mint egész. A kernelen és a rendszerbetöltőn kívül a rendszerkörnyezet minden egyéb összetevője ugyanaz marad, mint a klasszikus Ubuntuban.
Hozzáférés -ban tárolt visszafejtési paraméterek A TPM a kezdeti rendszerindítási szakaszban történik, és csak egy indítóképből külön felhatalmazott, a terjesztés által digitálisan aláírt.
Ki van emelve az érintett sémát két éve használják az Ubuntu Core-ban és megfelelő adatvédelmet biztosít eszközlopás vagy felügyelet nélküli berendezések elleni támadás esetén. A csak ellenőrzött rendszerkörnyezetből való rendszerindítás az UEFI Secure Boot használatával érhető el. Ha módosításokat hajtanak végre a kezdeti rendszerindító UKI képen, és az ellenőrzött rendszerindítási lánc megszakad, a TPM nem engedélyezi a hozzáférést a visszafejtéshez használt kulcshoz.
Részéről korábbi titkosítási támogatás teljes lemez az Ubuntuban, az új modellt TPM alapú megvalósítás Az Ubuntu Core projektben használt architektúra használata különbözteti meg, Ezenkívül a telepítő lehetőséget kínál a régi teljes lemez titkosítási mód kiválasztására, amelyhez jelszó szükséges, és az új módot, amely a TPM-ben tárolja a visszafejtési kulcsokhoz szükséges adatokat.
Az új mód kiválasztásakor a GRUB rendszerbetöltő és a Linux kernel snap formátumú csomagokban kerül forgalomba, a lemeztitkosítást pedig egy speciális ügynök kezeli a Snapd-ben (a régi mód kiválasztásakor a GRUB és a kernel a hagyományos deb csomagokból kerül telepítésre) .
Végül Ha érdekel, hogy többet tudjon meg róla, a részleteket a következő link.