تشفير القرص الكامل المدعوم من TPM في طريقه إلى Ubuntu
من خلال منشور مدونة ، كشف النقاب عن الكنسي من تشفير القرص الكامل المدعوم سيتم تنفيذ TPM في الإصدار التالي من Ubuntu 23.10 "مانتيك مينوتور" (الذي من المتوقع أن يصدر الشهر المقبل)، كميزة تجريبية ومن المتوقع أن يتم تنفيذه بشكل مستقر في Ubuntu 24.04 LTS
ويذكر أن هذا الدعم التجريبي الجديد لتشفير القرص، لا يتطلب كلمة مرور لفتح القرص عند التمهيد، بفضل تخزين معلومات لفك تشفير المفاتيح في وحدة النظام الأساسي الموثوق به (TPM).
الفتح التلقائي لمحرك الأقراص المشفر استنادًا إلى الأجهزة والتمهيد الذي تم التحقق منه يبسط تنفيذ تشفير محرك الأقراص على أنظمة الشركات والأنظمة المشتركة، وكذلك على الخوادم البعيدة حيث لا توجد طريقة لإدخال كلمة المرور يدويًا بعد كل عملية إعادة تشغيل.
وهذا يعني أن عبارات المرور لن تكون مطلوبة بعد الآن على الأنظمة الأساسية المدعومة وأن السر المستخدم لفك تشفير البيانات المشفرة سيتم حمايته بواسطة TPM وسيتم استرداده تلقائيًا فقط بواسطة برنامج التمهيد المبكر المصرح له بالوصول إلى البيانات. بالإضافة إلى تحسينات قابلية الاستخدام، فإن FDE المدعوم من TPM يحمي أيضًا مستخدميه من هجمات "الخادمة الشريرة" التي يمكنها الاستفادة من عدم وجود طريقة لمصادقة برنامج التمهيد، أي initrd، للمستخدمين النهائيين.
حول التنفيذ الجديد لتشفير القرص بالكامل، فهو مفصل ون المنشور ذلك "بدلاً من إنشاء التكوين تلقائيًا" محمل الإقلاع على النظام المحلي، وضع التمهيد يتم تعيين منطق تحديد GRUB و kernel على تكوين محدد بواسطة التوزيع الذي تم تمريره إلى Snapd.
إلى جانب ذلك ، يتم حزم نواة لينكس كصورة نواة موحدة «المملكة المتحدة»، والذي يجمع بين برنامج تشغيل لتحميل النواة من UEFI (قاعدة تمهيد UEFI)، وصورة Linux kernel وبيئة نظام initrd المحملة في الذاكرة، والتي تُستخدم للتهيئة الأولية في مرحلة التثبيت المسبق لـ root FS .
في حين يتم تجميع صورة UKI كملف واحد قابل للتنفيذ بتنسيق PE وموقع رقميًا، يؤدي استدعاء هذه الصورة من UEFI إلى التحقق من سلامة وصلاحية النواةl ومحتويات initrd ككل. وبصرف النظر عن النواة ومحمل الإقلاع، تظل جميع المكونات الأخرى لبيئة النظام كما هي في Ubuntu الكلاسيكي.
الوصول إلى معلمات فك التشفير المخزنة في يتم تنفيذ TPM في مرحلة التمهيد الأولية ومن خلال صورة initrd فقط مرخص خصيصًا، وموقع رقميًا من قبل التوزيع.
يبرز أن تم استخدام المخطط المعني في Ubuntu Core لمدة عامين ويوفر حماية كافية للبيانات في حالة سرقة الجهاز أو الهجمات على المعدات غير المراقبة. يتم تحقيق القدرة على التمهيد فقط في بيئة نظام تم التحقق منها من خلال استخدام UEFI Secure Boot. إذا تم إجراء تغييرات على صورة التمهيد الأولي UKI وتعطلت سلسلة التمهيد التي تم التحقق منها، فلن يسمح TPM بالوصول إلى المفتاح المستخدم لفك التشفير.
من جانب دعم التشفير السابق قرص كامل في أوبونتو, النموذج الجديد التنفيذ القائم على TPM ويتميز باستخدام البنية المستخدمة في مشروع Ubuntu Core، بالإضافة إلى ذلك، يوفر برنامج التثبيت القدرة على تحديد وضع تشفير القرص الكامل القديم، والذي يتطلب كلمة مرور، والوضع الجديد، الذي يقوم بتخزين البيانات لمفاتيح فك التشفير في TPM.
عند اختيار الوضع الجديد، يتم توفير محمل الإقلاع GRUB ونواة Linux في حزم بتنسيق snap، وتتم إدارة تشفير القرص بواسطة وكيل خاص في Snapd (عند اختيار الوضع القديم، يتم تثبيت GRUB والنواة من حزم deb التقليدية) .
أخيرا إذا كنت مهتمًا بمعرفة المزيد عنها ، يمكنك التحقق من التفاصيل في الرابط التالي.