| 导读 | 即将发布的 Ubuntu23.10 增加了一项实验性功能 —— 初步支持基于 TPM 的全磁盘加密。该功能利用系统的可信平台模块 (TPM),缺点是这种额外的安全性依赖于 Snaps,包括内核和 GRUB 引导加载器。 |
Ubuntu 开发商 Canonical 公司表示,Ubuntu 23.10 添加实验性 TPM 支持的全磁盘加密,以补充他们多年来一直提供的全磁盘加密。由于没有 TPM 集成。这将适用于经典的 Ubuntu 桌面系统。
从最初提供基于 eCryptfs 的主目录加密,然后补充了 Ubuntu 桌面和服务器的全磁盘加密。多年来,Ubuntu 支持了各种形式的磁盘加密,再到现在支持基于 TPM 的全磁盘加密。
不过此功能可能会让一些 Ubuntu 用户不满,因为这种 TPM 支持的全磁盘加密依赖于他们备受争议的 Snaps 打包格式进行交付。
Canonical 在公告解释道:
“经典 Ubuntu 桌面系统上的 TPM 支持的全磁盘加密基于 Ubuntu Core 相同的架构,它共享许多设计和实现原则。换句话说,引导加载程序 (shim 和 GRUB) 和内核资产将以 Snap 软件包的形式交付(通过 gadget 和 kernel snaps),而不是作为 Debian 软件包交付。
因此,Snapd 代理将负责在其生命周期内管理全磁盘加密。 引导加载程序逻辑包括引导模式选择和内核选择,编码在由 Snapd 提供的 GRUB 配置中,而不是在设备上自动生成。
最后,我们将使用统一内核映像,其中内核和 initramfs 将封装在一个包含执行内核的小存根的单个 PE 二进制文件中。这将作为单个工件进行签名。”
