Полнодисковое шифрование с поддержкой TPM уже на подходе к Ubuntu
Через сообщение в блоге, Обнародование Canonical чем полное шифрование диска, поддерживаемое TPM будет реализован в следующей версии Ubuntu 23.10. «Мантический Минотавр» (который, как ожидается, выйдет в следующем месяце), как экспериментальная функция и ожидается, что он может быть реализован как стабильный в Ubuntu 24.04 LTS.
Упоминается, что эта новая экспериментальная поддержка шифрования диска, не требует пароля чтобы разблокировать диск при загрузке, благодаря хранению информация для расшифровки ключей в модуле Trusted Platform (TPM).
Автоматическая разблокировка зашифрованного диска на основе аппаратного обеспечения и проверенной загрузки. Упрощает внедрение шифрования дисков в корпоративных и общих системах. а также на удаленных серверах, где нет возможности вручную вводить пароль после каждой перезагрузки.
Это означает, что парольные фразы больше не будут требоваться на поддерживаемых платформах, а секрет, используемый для расшифровки зашифрованных данных, будет защищен TPM и автоматически восстанавливаться только программным обеспечением ранней загрузки, авторизованным для доступа к данным. Помимо улучшения удобства использования, FDE на основе TPM также защищает своих пользователей от атак «злой горничной», которые могут воспользоваться отсутствием способа аутентификации загрузочного программного обеспечения, то есть initrd, для конечных пользователей.
О новой реализации полнодискового шифрования, это подробно ив публикации, что «вместо автоматического создания конфигурации» загрузчик в локальной системе, режим загрузки Для GRUB и логики выбора ядра установлена определенная конфигурация. дистрибутивом, который передается в Snapd.
Кроме того, ядро Linux упаковано в виде образа единое ядро «УКИ», объединяющий в себе драйвер загрузки ядра из UEFI (загрузочную заглушку UEFI), образ ядра Linux и загружаемую в память системную среду initrd, которая используется для первичной инициализации на предмонтированном этапе корневой ФС.
В то время как образ UKI компилируется как один исполняемый файл в формате PE и имеет цифровую подпись, вызов этого образа из UEFI проверяет целостность и достоверность ядраl и содержимое initrd в целом. За исключением ядра и загрузчика, все остальные компоненты системной среды остаются такими же, как в классической Ubuntu.
Доступ к параметры дешифрования, хранящиеся в TPM выполняется на начальном этапе загрузки и только из образа initrd. специально авторизованное издание, имеющее цифровую подпись.
Подчеркивается, что рассматриваемая схема использовалась в Ubuntu Core в течение двух лет. и обеспечивает адекватную защиту данных в случае кражи устройства или атак на оставленное без присмотра оборудование. Возможность загрузки только в проверенную системную среду достигается за счет использования безопасной загрузки UEFI. Если в исходный загрузочный образ UKI внесены изменения и проверенная цепочка загрузки нарушена, TPM не разрешит доступ к ключу, используемому для расшифровки.
Со стороны предыдущая поддержка шифрования полный диск в Ubuntu, новая модель реализации на основе TPM Он отличается использованием архитектуры, используемой в проекте Ubuntu Core, Кроме того, установщик предлагает возможность выбрать старый режим полного шифрования диска, для которого требуется пароль, и новый режим, в котором данные для расшифровки ключей сохраняются в TPM.
При выборе нового режима загрузчик GRUB и ядро Linux поставляются в пакетах в формате snap, а шифрованием диска занимается специальный агент в Snapd (при выборе старого режима GRUB и ядро устанавливаются из традиционных deb-пакетов) .
В конце концов Если вам интересно узнать об этом больше, вы можете проверить детали в по следующей ссылке.