Canonical公司Ubuntu桌面工程总监发布了25.10版本的开发路线图,其中包含了一项原本计划在23.10版本中推出的功能。
Jean-Baptiste Lallement在Ubuntu论坛上发布了代号为"Questing Quokka"的路线图,其中最引人注目的是基于可信平台模块(TPM)芯片的全盘加密功能,该功能仅适用于兼容的计算机。
这项功能早在近两年前就被报道过,当时希望能在"Mantic Minotaur"版本中准备就绪,公司当时还发布了详细的博客文章介绍其工作原理。基本原理没有太大变化,但现在有了更多细节。
首先需要明确的是,Ubuntu——像大多数现代Linux发行版一样——已经支持全盘加密(FDE)多年了。当前版本使用名为LUKS(Linux统一密钥设置)的复杂软件栈。这完全通过软件创建加密磁盘,使用Linux逻辑卷管理器(LVM)。它能正常工作,在现代硬件上速度也相当快。
LUKS的主要缺点是用户必须输入密钥短语来解密磁盘才能启动计算机。虽然对笔记本电脑来说还可以,但对服务器没有帮助。如果发生停电或其他意外重启,很可能没有人在场输入密钥,在此之前计算机无法启动,因此无法发送求助消息。由于大多数服务器没有专用显示器和键盘,甚至没人知道出了问题,这意味着需要使用网络键盘/视频/鼠标切换器和集成管理前端。另外一个较小的缺点是必须使用LVM,这意味着要告别GParted等友好工具。
新方法使用现代PC中的板载TPM 2.0芯片。这是Windows 11要求的设备之一,也是为什么在Windows 10支持结束后,许多完全正常的PC会被淘汰的原因。
TPM支持的FDE的基本原理是,加密密钥存储在芯片的加密内存中,当计算机启动时,经过适当签名的引导加载程序可以检索这些密钥,然后解锁卷,再加载签名的内核包。
要使此功能正常工作,需要配备TPM 2.0芯片的PC,必须有UEFI固件,并且必须启用安全启动,这也意味着必须设置为仅UEFI启动(即必须关闭传统启动)。因此,这项功能实际上仅限于能运行Windows 11的PC,但如果你想在较旧的PC上获得更高安全性(以性能为代价),安装程序中仍然提供旧的LUKS加密方法。
这种与安全启动兼容的启动过程必须与标准Linux启动过程略有不同。Canonical的实现采用了统一内核映像(UKI)系统,该系统由Lennart Poettering设计。至少Canonical没有像SUSE那样组建自己的TPM-FDE解锁方案。
使用TPM芯片管理加密时,密钥被安全存储,你无需输入。正在开发的安装程序会提醒你制作物理副本,或保存到可移动介质,或拍摄二维码。建议认真对待这个建议。如果丢失凭据,就可能永远失去数据。
你可能会想:"如果不需要输入密码短语,PC会自动解锁,那么如果被盗,不是也会为窃贼解锁吗?"是的,会的,但有一些额外的安全网。
显然,他们需要知道你的密码;不要与自动登录结合使用。其次,如果你愿意,还可以选择除TPM中存储的密钥外,还需要手动输入的密钥短语。第三,由于机器必须开启安全启动,从可移动介质启动就不那么容易,即使这样做,他们也无法看到磁盘内容。
由于这些新的统一内核包和加载它们的新型引导加载程序,如果启用这个新的FDE系统,Ubuntu将切换到不同的内核安装方式。对于UKI,Questing将通过snap安装和更新内核,就像在Ubuntu Core物联网发行版中已经做的那样。这会让snap反对者感到愤怒,但他们现在确实可以选择LUKS,或者当然也可以使用Devuan。
需要指出的是,GNU专家Richard Stallman坚决反对这些技术。正如Edward Snowden所说:Stallman是对的。"可信平台"并不意味着你可以信任你的计算机,而是意味着软件供应商可以信任PC阻止你对其进行修改。
Q&A
Q1:Ubuntu 25.10的TPM加密功能与现有的LUKS有什么区别?
A:TPM加密使用可信平台模块芯片存储加密密钥,无需用户输入密码即可自动启动,适合服务器使用。而LUKS需要用户每次启动时手动输入密钥短语,更适合个人电脑使用。
Q2:使用TPM加密需要什么硬件条件?
A:需要配备TPM 2.0芯片的PC,必须有UEFI固件并启用安全启动,还要设置为仅UEFI启动模式。基本上只有能运行Windows 11的电脑才支持这项功能。
Q3:如果电脑被盐会不会自动解锁给窃贼?
A:是的,但有多重保护措施:窃贼仍需要知道用户密码,可以设置额外的手动密钥短语,而且由于必须开启安全启动,很难从外部介质启动系统来绕过保护。
