标签 TPM 下的文章

展望未来,Ubuntu 将允许你利用 TPM 支持的全磁盘加密。但是,这是你想要的吗?

Ubuntu 23.10 每日构建不断增加令人兴奋的新功能!

早些时候,我们介绍了 主要的 PPA 变化 和新的 基于 Flutter 的商店(也随最新的每日构建一起发布)。

现在,我们又看到了另一项重大更改,通过更改用户处理磁盘加密的方式(如果启用),增强 Ubuntu 系统的安全性。

该功能的初始支持将在 Ubuntu 23.10 中提供,并将在未来的 Ubuntu 版本中得到改进。

Ubuntu 23.10:TPM 支持的全磁盘加密

TPM 支持的 全磁盘加密 Full Disk Encryption (FDE)作为一项实验性功能引入,是 Ubuntu 过去 15 年处理 FDE 方式的重大变化。

在现有系统中,采用了密码机制,该机制将通过接受用户设置的密码来对用户进行身份验证,然后使用该密码提供对磁盘的访问。

所有这一切都是由于集成了 Linux 统一密钥设置 Linux Unified Key Setup (LUKS)框架而成为可能,该框架在块级别处理磁盘加密。

使用 TPM 支持的系统,主板上的 TPM 芯片将用于提供全磁盘加密,而无需密码。

芯片将处理锁定完整 EFI 状态的密钥 以及内核命令行的解密。只有当设备使用已定义为“授权”来访问机密数据的软件启动时,才有可能实现这一点。

? TPM 可信平台模块 Trusted Platform Module 的缩写。

但是,有一个问题。

TPM 支持的 FDE 基于与 Ubuntu Core 相同的架构,这导致了许多关键组件的共享,这些组件 以 Snap 包的形式提供。因此,引导加载程序(shim/GRUB)和内核文件等内容是通过 Snap 交付的。

幸运的是,这种新的 TPM 支持的 FDE 并不是加密磁盘的唯一方法。对于那些不想使用新系统的人来说,传统密码系统仍将存在

用户还可以使用新系统和密码来进一步增强安全性。

有关 TPM 支持的磁盘加密如何工作的技术细节,我建议你阅读 Ubuntu 的官方博客

有兴趣测试一下吗? ?

? 测试任何实验功能都可能导致全部数据丢失。因此,请自行承担风险。

好吧,TPM 支持的 FDE 已推出到 Ubuntu 23.10每日构建 中,你只需在安装过程中进行设置,如本文中的截图所示。

在 Ubuntu 安装程序中选择安装类型时,可在“高级功能”下使用新的 FDE 选项。

? 你对这个新的实验性功能有何看法? 在下面的评论中分享你的想法。

(题图:MJ/d89e5b66-af24-4a2f-b351-9257239819cd)


via: https://news.itsfoss.com/ubuntu-23-10-disk-encryption/

作者:Sourav Rudra 选题:lujun9972 译者:geekpi 校对:wxy

本文由 LCTT 原创编译,Linux中国 荣誉推出

微软称将保护客户免受 AI 版权诉讼

微软公司的法律事务总顾问表示,只要客户使用了他们在产品中内置的防护栏和内容过滤器,《微软 Copilot 版权承诺》将为客户提供保护。微软还承诺支付相关罚款或和解金,并表示已采取措施确保其 Copilot 尊重版权。他说,“我们向商业客户收取 Copilot 的费用,如果他们的使用产生了法律问题,我们应该把这个问题变成我们自己的问题,而不是客户的问题。”

消息来源:彭博社
老王点评:这是应有之义,为客户使用 AI 提供了信心。

Bcachefs 合并再生波折

在冲击 Linux 6.5 失败后,Bcachefs 再次向 Linux 6.6 发起了合并请求。但 Linus Torvalds 突然发现,不但 Bcachefs 的拉取请求没有使用带有 PGP 密钥和信任链的签名 Git 标签,更严重的是,它没有先进入 linux-next 树。这个事情让 Linus 感到烦恼,并警告 Bcachefs 不要“无视所有基本规则”,“如果你真的想把它合并到上游,就必须与上游合作。” Linus 说,“这一点不容讨价还价”,否则就“继续在主内核树之外做十年的开发工作吧”。并且,Linus 还发现 Bcachefs 会出现编译器错误,这本来应该通过 linux-next 的审核更容易地发现。

消息来源:Phoronix
老王点评:Linus 本来是乐于看到 Bcachefs 进入内核的,但是现在看起来“不守规矩”的 Bcachefs 很难在这个窗口进入 Linux 6.6 了。

Ubuntu 新增 TPM 支持的全磁盘加密功能

尽管没有集成可信平台模块(TPM),Ubuntu 多年来一直提供全磁盘加密支持。下个月发布的 Ubuntu 23.10 将实验性地引入对基于 TPM 的全磁盘加密的初步支持。但这个实验性的功能依赖于备受争议的 Snap 打包格式,引导加载器和内核将作为 Snap 包交付,而不是作为 Debian 包交付。并且,Ubuntu 还将使用统一内核镜像(UKI),将内核和 initramfs 封装在一个 PE 二进制文件中。

消息来源:Phoronix
老王点评:我既不喜欢 TPM,也不喜欢 Snap,更不喜欢统一内核镜像。真是难得集齐了。