Systemd 首席開發(fā)者 Lennart Poettering 在一篇有關(guān)于 Linux 上認(rèn)證啟動(dòng)和磁盤加密情況的長(zhǎng)篇博文中表示，雖然 Linux 對(duì)全盤加密(Full Disk Encryption，F(xiàn)DE)、UEFI SecureBoot 和可信平臺(tái)模塊(Trusted Platform Module，TPM)等技術(shù)的支持已經(jīng)有很久的歷史。

“但大多數(shù)發(fā)行版對(duì)它們的設(shè)置方式并不像它們應(yīng)該有的那樣安全，而且在某些方面可以相當(dāng)坦率的說是很奇怪。事實(shí)上，現(xiàn)在如果你的數(shù)據(jù)存儲(chǔ)在當(dāng)前的 ChromeOS、Android、Windows 或 MacOS 設(shè)備上，可能比存儲(chǔ)在一些典型的 Linux 發(fā)行版上更安全。”

根據(jù)介紹，通用的 Linux 發(fā)行版(即 Debian、Fedora、Ubuntu......)在 15 年前就采用了全盤加密，以及 LUKS/cryptsetup 基礎(chǔ)架構(gòu);Lennart 認(rèn)為，此舉是向更安全的環(huán)境邁出的一大步。之后在差不多十年前，大型發(fā)行版又開始將 UEFI SecureBoot 添加到其引導(dǎo)過程中。

對(duì)可信平臺(tái)模塊(TPM)的支持也在很久以前就被添加到了發(fā)行版中。但即使現(xiàn)在許多電腦上都內(nèi)置了 TPM 芯片，一般也不會(huì)在通用 Linux 發(fā)行版的默認(rèn)設(shè)置中使用。“這些技術(shù)目前如何在通用 Linux 發(fā)行版上組合在一起，對(duì)我來說并沒有太大意義——而且還達(dá)不到它們實(shí)際可以提供的效果。”

Lennart 在博文中概述了目前的技術(shù)、手頭的問題、以及在改善認(rèn)證和提供更好的安全方面需要改進(jìn)的地方。

如 Phoronix 所述，為了更好地提高安全性，還有一些 Linux 內(nèi)核 pr 正在等待 systemd 的處理，因此這項(xiàng)工作仍然需要時(shí)間來向上游推進(jìn);但這也將取決于 Linux 發(fā)行商是否也在可用時(shí)使用了這些功能。

更多詳細(xì)內(nèi)容可查看博客文章。

本文轉(zhuǎn)自O(shè)SCHINA

本文標(biāo)題：Systemd 首席開發(fā)者：Linux 在磁盤加密和認(rèn)證啟動(dòng)安全方面存在不足

本文地址：https://www.oschina.net/news/161639/authenticated-boot-disk-encryption-on-linux