將于下個月發(fā)布的 Ubuntu 23.10 增加了一項實驗性功能 —— 初步支持基于 TPM 的全磁盤加密。該功能利用系統(tǒng)的可信平臺模塊 (TPM)，缺點是這種額外的安全性依賴于 Snaps，包括內(nèi)核和 GRUB 引導(dǎo)加載器。

Ubuntu 開發(fā)商 Canonical 公司表示，Ubuntu 23.10 添加實驗性 TPM 支持的全磁盤加密，以補(bǔ)充他們多年來一直提供的全磁盤加密。由于沒有 TPM 集成。這將適用于經(jīng)典的 Ubuntu 桌面系統(tǒng)。

從最初提供基于 eCryptfs 的主目錄加密，然后補(bǔ)充了 Ubuntu 桌面和服務(wù)器的全磁盤加密。多年來，Ubuntu 支持了各種形式的磁盤加密，再到現(xiàn)在支持基于 TPM 的全磁盤加密。

不過此功能可能會讓一些 Ubuntu 用戶不滿，因為這種 TPM 支持的全磁盤加密依賴于他們備受爭議的 Snaps 打包格式進(jìn)行交付。

Canonical 在公告解釋道：

“經(jīng)典 Ubuntu 桌面系統(tǒng)上的 TPM 支持的全磁盤加密基于 Ubuntu Core 相同的架構(gòu)，它共享許多設(shè)計和實現(xiàn)原則。換句話說，引導(dǎo)加載程序 (shim 和 GRUB) 和內(nèi)核資產(chǎn)將以 Snap 軟件包的形式交付（通過 gadget 和 kernel snaps），而不是作為 Debian 軟件包交付。

因此，Snapd 代理將負(fù)責(zé)在其生命周期內(nèi)管理全磁盤加密。 引導(dǎo)加載程序邏輯包括引導(dǎo)模式選擇和內(nèi)核選擇，編碼在由 Snapd 提供的 GRUB 配置中，而不是在設(shè)備上自動生成。

最后，我們將使用統(tǒng)一內(nèi)核映像，其中內(nèi)核和 initramfs 將封裝在一個包含執(zhí)行內(nèi)核的小存根的單個 PE 二進(jìn)制文件中。這將作為單個工件進(jìn)行簽名?！?/p>

詳情：https://ubuntu.com/blog/tpm-backed-full-disk-encryption-is-coming-to-ubuntu