Повне шифрування диска за допомогою TPM вже на шляху до Ubuntu
Через публікацію в блозі, Канонік представлений ніж повне шифрування диска за підтримки TPM буде реалізовано в наступній версії Ubuntu 23.10 «Mantic Minotaur» (який очікується вийде наступного місяця), як експериментальна функція і очікується, що він може бути реалізований як стабільний в Ubuntu 24.04 LTS
Згадується, що ця нова експериментальна підтримка шифрування диска, не вимагає пароля щоб розблокувати диск під час завантаження, завдяки зберіганню інформацію для розшифровки ключів у модулі Trusted Platform Module (TPM).
Автоматичне розблокування зашифрованого диска на основі апаратного забезпечення та перевіреного завантаження Спрощує впровадження шифрування дисків у корпоративних і спільних системах, а також на віддалених серверах, де немає можливості вручну вводити пароль після кожного перезавантаження.
Це означає, що парольні фрази більше не будуть потрібні на підтримуваних платформах, а секрет, який використовується для розшифровки зашифрованих даних, буде захищено TPM і автоматично відновлюватиметься лише програмним забезпеченням раннього завантаження, яке має доступ до даних. На додаток до покращення зручності використання, FDE із підтримкою TPM також захищає своїх користувачів від атак «злих покоївок», які можуть скористатися відсутністю способу автентифікації завантажувального програмного забезпечення, тобто initrd, для кінцевих користувачів.
Про нову реалізацію повного дискового шифрування, детально іn видання що "замість автоматичного генерування конфігурації" завантажувач локальної системи, режим завантаження Для GRUB і логіки вибору ядра встановлено певну конфігурацію дистрибутивом, який передається в Snapd.
Крім того, ядро Linux запаковано як образ уніфіковане ядро «Великобританія», який поєднує в собі драйвер для завантаження ядра з UEFI (завантажувальна заглушка UEFI), образ ядра Linux і системне середовище initrd, завантажене в пам’ять, яке використовується для початкової ініціалізації на етапі попереднього монтування кореневої FS.
в той час як образ UKI скомпільовано як один виконуваний файл у форматі PE та має цифровий підпис, виклик цього образу з UEFI перевіряє цілісність і валідність ядраl і вміст initrd в цілому. Окрім ядра та завантажувача, усі інші компоненти системного середовища залишаються такими ж, як і в класичній Ubuntu.
Доступ до параметри дешифрування, що зберігаються в TPM виконується на початковому етапі завантаження та лише з образу initrd спеціально авторизований, цифровий підпис розповсюдження.
Це підкреслюється задіяна схема використовувалася в Ubuntu Core протягом двох років і забезпечує адекватний захист даних у разі крадіжки пристрою або атак на обладнання, що залишається без нагляду. Можливість завантаження лише у перевірене системне середовище досягається за допомогою безпечного завантаження UEFI. Якщо в початковий завантажувальний образ UKI внесено зміни та перевірений ланцюжок завантаження порушено, TPM не надасть доступу до ключа, який використовується для розшифровки.
З боку попередня підтримка шифрування повний диск в Ubuntu, нова модель реалізації на основі TPM Він відрізняється використанням архітектури, яка використовується в проекті Ubuntu Core, Крім того, інсталятор пропонує можливість вибрати старий режим повного дискового шифрування, для якого потрібен пароль, і новий режим, який зберігає дані для ключів дешифрування в TPM.
При виборі нового режиму завантажувач GRUB і ядро Linux поставляються в пакетах у форматі snap, а шифруванням диска керує спеціальний агент у Snapd (при виборі старого режиму GRUB і ядро встановлюються з традиційних пакетів deb) .
В кінці кінців Якщо вам цікаво дізнатись більше про це, Ви можете перевірити деталі в наступне посилання.