即将推出的 Ubuntu 23.10“Mantic Minotaur”将引入 TPM 支持的全磁盘加密 (FDE) 作为实验性功能。
可信平台模块 (TPM) 全磁盘加密是一种结合硬件和软件来保护计算机硬盘驱动器上存储的数据的安全技术。
它是一种基于硬件的组件,即微控制器,通常集成到计算机主板中并提供各种与安全相关的功能,其中之一是帮助保护用于全磁盘加密的加密密钥。
在过去的 15 年里,Ubuntu 的全盘加密解决方案一直依赖于著名的 Linux 统一密钥设置 (LUKS),用户通过密码进行身份验证。同时,在Ubuntu Core 20及后续版本上,已经使用可信平台模块(TPM)实现了全盘加密。
该功能正在转移到 Ubuntu 桌面系统,因为它在即将发布的代号为“Mantic Minotaur”的 Ubuntu 23.10 中作为实验性功能提供,预计于 2023 年 10 月 12 日发布。
但首先,让我来分析一下这对于普通 Ubuntu 用户的实际好处。要使用 LUKS 加密,您必须输入在安装操作系统期间创建的密码,并将其用作每次启动时手动输入解密驱动器内容的密钥。
Ubuntu 23.10 安装程序
TPM 方法彻底改变了这一点。将不再需要密码,用于解密加密数据的秘密将受到 TPM 的保护,并且只能由授权访问数据的早期启动软件自动恢复。
此功能将作为实验性包含在 Ubuntu 23.10 安装程序中,您将可以在两个选项之间进行选择(当然,如果您想使用磁盘加密):
- TPM 支持的 FDE:这将安装传统的桌面系统,该系统从 SNAP 而不是本机 DEB 软件包获取其内核和引导加载程序资产。
- 非 TPM 支持的 FDE:将安装基于 DEB 的经典桌面系统,其布局与第一个选项相同,以简化潜在的升级路径。重要提示:这将是默认安装选项!
您可能立即注意到,Ubuntu 23.10 中支持 TPM 的全盘加密功能将使用 SNAP(Canonical 的与发行版无关的软件分发格式)来实现。
我们可能会认为选择这种方法的原因之一是将操作系统与 SNAP 进一步联系起来。这可能不会吸引该技术的反对者,但对于顽固的 Ubuntu 粉丝来说,这并不重要。
此外,Ubuntu 23.10预计将作为测试平台,在明年的Ubuntu 24.04 LTS版本中,该功能将处于完全稳定的状态,可在生产系统上使用。
最后,要尝试 TPM 支持的 FDE,您可以 在此处获取每日 Ubuntu 23.10“Mantic Minotaur”版本。然而,Canonical 强调,警告您谨慎使用它,并且仅用于测试,因为用户反馈非常重要。
有关 Ubuntu 中 TPM 支持的全盘加密实现的更多详细信息,您可以参考Ubuntu 博客上的公告。
