Дидье Рош (Didier Roche) из Canonical поделился планами по улучшению поддержки TPM-шифрования в Ubuntu 25.10. Изменения касаются установщика, Центра безопасности, а также приложения для обновления прошивок. В этом релизе функция все еще будет считаться экспериментальной.
Как таковое, полнодисковое шифрование при помощи парольной фразы поддерживается в Ubuntu уже много лет. А вот TPM-шифрование, использующее для аутентификации специальный TPM-чип на материнской плате, появилось не так давно - в релизе Ubuntu 23.10.
Разработчик рассказывает, что при активации TPM-шифрования система будет отслеживать работу большинства софта и прошивок, запускаемых непосредственно перед операционной системой, и разблокирует зашифрованный диск только в случае выполнения определенных условий. Это, к примеру, позволит обеспечить защиту от вмешательства в предзагрузочную среду и обезопасит от уязвимостей "Evil maid" в Initramfs.
При установке системы с включенным TPM будет предложено создать специальный ключ восстановления (recovery key), который позволит обойти полнодисковое шифрование (причем как TPM, так и обычное парольное). Это может потребоваться в случае, если пользователь обновил прошивку TPM, заменил часть оборудования, либо попросту забыл пароль шифрования:
Кроме того, приложение для обновления прошивок (Firmware Updater) теперь будет запрашивать этот ключ восстановления перед применением любых обновлений, которые могут повлиять на состояние TPM. А в Центре безопасности (Security Center) появится новая вкладка, где можно будет поменять пароль для полнодискового шифрования, а также сгенерировать новый ключ восстановления:
Установщик Ubuntu 25.10 будет более внимательно отслеживать критерии для включения шифрования TPM (в том числе потребуется аппаратная поддержка TPM v2, отсутствие известных неисправленных уязвимостей, корректная конфигурация и так далее). В противном случае установщик укажет подробную информацию, по какой причине невозможно активировать TPM-шифрование (а в следующей Ubuntu 26.04 LTS будут также и инструкции, как исправить эту проблему).
Под конец разработчик вновь акцентирует наше внимание на то, что поддержка TPM пока носит экспериментальный характер, и ее точно не стоит использовать в производственной среде. К примеру, на текущий момент TPM-шифрование по-прежнему несовместимо с бинарными драйверами NVIDIA (из-за того, что ядро находится в Snap-пакете при использовании TPM).
Добавить комментарий